Puntos clave sobre los modelos de “Pay or consent” | Fieldfisher
Skip to main content
Insight

Puntos clave sobre los modelos de “Pay or consent”

Sonia Gracia
19/06/2024
Close-up image of several credit cards laid out flat, with focus on the raised numbers of one card in the foreground. The image is illuminated with a mix of purple and blue light, giving it a modern and tech-savvy appearance.

Hace ya unos meses, hemos visto como varios actores de servicios digitales gratuitos, tales como, periódicos o plataformas de redes sociales, han incorporado como modelo de negocio dar a elegir a los usuarios entre acceder gratuitamente al servicio si consienten el tratamiento de sus datos para publicidad comportamental o, si no facilitan ese consentimiento, tener que pagar una cuota para acceder a su servicio digital, lo que se conoce como modelos de consentimiento “pay or consent”. 

Hace ya unos meses, hemos visto como varios actores de servicios digitales gratuitos, tales como, periódicos o plataformas de redes sociales, han incorporado como modelo de negocio dar a elegir a los usuarios entre acceder gratuitamente al servicio si consienten el tratamiento de sus datos para publicidad comportamental o, si no facilitan ese consentimiento, tener que pagar una cuota para acceder a su servicio digital, lo que se conoce como modelos de consentimiento “pay or consent”. 

Todo esto se debe a que las Autoridades de Control Neerlandesa, Noruega y Alemana (Hamburgo) solicitaron a la Comité Europeo de Protección de Datos (o EDPB por sus siglas en inglés) que proporcionara orientaciones sobre cuándo y cómo las grandes plataformas en línea podrían aplicar modelos de "Pay or consent" para la publicidad basada en el comportamiento, garantizando al mismo tiempo que el consentimiento obtenido sea válido y libremente otorgado, a la luz de la Sentencia C-252/21, caso Bundeskartellamt, lo que ha resultado, en la Opinión 02/204 sobre el consentimiento válido en el contexto de modelos de consiente o paga implementados por grandes plataformas en línea.

¿Cuándo aplica lo establecido en el Dictamen? 

En primer lugar, es importante saber si estamos ante un modelo “pay or consent”, el EDPB ha proporcionado una primera definición oficial de estos modelos: 

“modelos dónde un responsable del tratamiento ofrece a los interesados decidir entre, al menos, dos opciones con el objetivo de acceder a un servicio en línea ofrecido por dicho responsable: el interesado puede 1) consentir el tratamiento de sus datos personales para un fin determinado o 2) decidir pagar una cantidad y acceder al servicio online sin que sus datos personales se traten para dicho fin.”

En segundo lugar, destacar que el Dictamen únicamente se centra en analizar en los modelos cuyo fin de tratamiento es la publicidad comportamental dónde los usuarios o pagan por acceder al servicio o deben consentir ser rastreados y targetizados con fines de publicidad comportamental por parte del responsable del tratamiento ya que modelo de negocio de este responsable normalmente está financiado a través de publicidad online basada en el comportamiento del usuario. 

En último lugar, que únicamente afecta a grandes plataformas en línea o LOP, según el Dictamen un proveedor de servicios en línea será considerado LOP si se cumplen los siguientes requisitos: 

  1. Si se trata de plataformas que atraen a una gran cantidad de usuarios. 
  2. Según la posición del actor en el mercado.
  3. Si realiza tratamientos a gran escala, para ello, debemos dirigirnos a las siguientes Directrices. En cualquier caso, se deberá tener en cuenta el número de interesados afectados, volumen de los datos personales obtenidos de estos y la extensión geográfica. 
  4. Que se aplique de lleno las definiciones establecidas por la DSA1 o la DMA2

¿Cómo implementar el “pay or consent”? 

A lo largo del Dictamen se desgranan los requisitos para la obtención de un consentimiento válido de los usuarios aplicado a estos modelos, pero una respuesta rápida sería que se ofrezca una alternativa gratuita del servicio (o FAWBA por sus siglas en inglés) en la que los usuarios puedan aceptar o rechazar el tratamiento de sus datos personales para publicidad comportamental sin tener un bloqueo de acceso al servicio. 

Una respuesta larga, sería que el consentimiento obtenido cumpla con los siguientes requisitos:

  • Ofrecer una FAWBA. La oferta de una alternativa gratuita sin publicidad basada en el comportamiento entendiendo que la oferta de (sólo) una alternativa de pago al servicio que incluye el tratamiento con fines de publicidad comportamental no debe ser el camino a seguir por defecto para los responsables del tratamiento. El EDPB recomienda a los responsables del tratamiento que consideren la posibilidad de ofrecer a los interesados una "alternativa equivalente" que no implique el pago de una tasa ni el tratamiento con fines de publicidad basada en el comportamiento, pero puede tratar datos personales con otros fines, siempre que el tratamiento cumpla con el RGPD y la Directiva sobre privacidad y comunicaciones electrónicas. Esta alternativa gratuita "facilita a los responsables del tratamiento demostrar que el consentimiento se da libremente", y es un "factor especialmente importante a tener en cuenta a la hora de evaluar si los interesados pueden ejercer una opción real y, por tanto, si el consentimiento es válido".
  • Condicionado. El EDPB señala que cualquier tasa impuesta no puede hacer que las personas se sientan obligadas a dar su consentimiento. Los proveedores de servicios gratuitos en línea deben evaluar, caso por caso, tanto si la tasa es apropiada de manera pormenorizada. como determinar el importe adecuado teniendo en cuenta las circunstancias específicas. 
  • Perjuicio. Las grandes plataformas en línea deben considerar si la decisión de no consentir puede afectar negativamente a la capacidad de un interesado para acceder a un servicio destacado, a su acceso a redes profesionales o perder su acceso a contenidos o seguidores.
  • Desequilibrio de poder. Los proveedores de grandes plataformas en línea también deben evaluar, caso por caso, si existe un desequilibrio de poder entre el interesado y dicha plataforma. Hay que tener en cuenta la posición de la plataforma, el nivel de dependencia de las personas y el público principal del servicio. 
  • Granularidad: cuando se presenta un modelo de "pay or consent", la persona debe poder elegir libremente los fines individuales del tratamiento que acepta, en lugar de enfrentarse a una solicitud de consentimiento que agrupa varios fines.  

Asimismo, el EDPB subraya que los datos personales no pueden considerarse una mercancía comercializable, y las grandes plataformas en línea deben tener presente la necesidad de evitar que el derecho fundamental a la protección de datos se transforme en una característica por la que los particulares tengan que pagar para 
Por último, destacar que el EDPB también anunció que en el futuro elaborará directrices sobre los modelos de "pay or consent" con un alcance más amplio y tiene la intención de colaborar con las partes interesadas en estas directrices.

¿Y cómo afecta esto a nivel local? ¿Cuáles serían los siguientes pasos? 

En España, la AEPD ha adoptado el Dictamen del EDPB incorporando una referencia en Guía de cookies, en Mayo 2024, resumiendo las conclusiones de ésta siguiente lo establecido por el Dictamen, pudiendo desprenderse que la aplicará en su totalidad en nuestro territorio. Asimismo, está pendiente de que se pronuncie respecto el modelo de Meta a raíz de una reclamación presentada a dicha Agencia. 

En cualquier caso, aquellas grandes plataformas en línea afectadas directamente por el Dictamen (y quizás también las medianas por lo de “Cuando las barbas de tu vecino…”) deberían empezar a realizar las siguientes acciones: 

  1. Revisar el modelo actual implementado. Ver si se entra la definición establecida por el Dictamen para grandes plataformas en línea y si el modelo encaja al analizado por le EDPB. 
  2. Ofrecer una alternativa equivalente. El Dictamen sugiere que ofrecer a los usuarios una alternativa gratuita sin publicidad basada en el comportamiento a la de pago que sea similar. Esto tendría un impacto en los modelos económicos de las plataformas en línea ya que deben hacer una “réplica” de su servicio de formas que podría no ajustarse a la viabilidad comercial o a sus objetivos empresariales.
  3. Evaluar alternativas al rastreo del usuario con fines de publicidad comportamental. Utilizar publicidad contextual o general que requiera el tratamiento de menos o de ningún dato personal del usuario, como, por ejemplo, que se basase en una selección de materias que elija dicho usuario de entre una lista de asuntos de interés facilitada por la plataforma. 

 

 


 

[1] Una vez que el número de destinatarios activos de una plataforma o de destinatarios activos de un motor de búsqueda en línea, calculado como un promedio durante un período de seis meses, asciende a un porcentaje importante de la población de la Unión, los riesgos sistémicos que la plataforma en línea o el motor de búsqueda en línea entraña pueden tener un impacto desproporcionado en la Unión. Debe considerarse que existe un alcance tan significativo cuando dicho número exceda de un umbral operativo fijado en cuarenta y cinco millones, es decir, una cifra equivalente al 10 % de la población de la Unión. Este umbral operativo debe mantenerse actualizado por lo que la Comisión debe estar facultada para completar las disposiciones del presente Reglamento mediante la adopción de actos delegados, cuando sea necesario.

[1] Guardianes de acceso: Una empresa será designada como guardián de acceso si:

a) tiene una gran influencia en el mercado interior;

b) presta un servicio básico de plataforma que es una puerta de acceso importante para que los usuarios profesionales lleguen a los usuarios finales, y

c) tiene una posición afianzada y duradera, por lo que respecta a sus operaciones, o es previsible que alcance dicha posición en un futuro próximo.

2.   Se presumirá que una empresa cumple los respectivos requisitos establecidos en el apartado 1:

a) en relación con el apartado 1, letra a), cuando la empresa consiga un volumen de negocios anual en la Unión igual o superior a 7 500 000 000 EUR en cada uno de los tres últimos ejercicios, o cuando su capitalización bursátil media o su valor justo de mercado equivalente ascienda como mínimo a 75 000 000 000 EUR en el último ejercicio, y preste el mismo servicio básico de plataforma en al menos tres Estados miembros;

b) en relación con el apartado 1, letra b), cuando proporcione un servicio básico de plataforma que, en el último ejercicio, haya tenido al menos 45 millones mensuales de usuarios finales activos establecidos o situados en la Unión y al menos 10 000 usuarios profesionales activos anuales establecidos en la Unión, identificados y calculados de conformidad con la metodología y los indicadores establecidos en el anexo;

c) en relación con el apartado 1, letra c), cuando se hayan alcanzado los umbrales establecidos en la letra b) del presente apartado en cada uno de los últimos tres ejercicios.

Áreas de especialización

Tech & Data