Te contamos todo lo que necesitas saber sobre el último dictamen del Comité Europeo de Protección de Datos sobre losmodelos “consiente o paga” (consent or pay) utilizados por las principales plataformas online. 👇
Contexto
- Multa en Irlanda: La Comisión de Protección de Datos (DPC) de Irlanda impuso a Meta una multa de 390 millones de euros por cuestiones relacionadas con sus prácticas de publicidad personalizada.
- Intento de implementación de Meta: Meta puso en marcha elmodelo“Pay or OK” en sus plataformas Facebook e Instagram, exigiendo a los usuarios que bien presten su consentimiento a la publicidad personalizada o bien paguen.
- Dictamen vinculante del Comité Europeo de Protección de Datos: En noviembre de 2023, el Comité Europeo de Protección de Datos publicó un dictamen vinculante que prohibía las prácticas de publicidad personalizada de Meta en el Espacio Económico Europeo, lo que intensificó aún más el análisis del uso de los datos personales en la publicidad.
- Solicitud de una postura formal: En respuesta a los acontecimientos y a las preocupaciones actuales, las Autoridades de Protección de Datos de los Países Bajos, Noruega y Hamburgo solicitaron al Comité Europeo de Protección de Datos que encarara formalmente la cuestión de los modelos de “consiente o paga”, en particular los que utilizan grandes plataformas como Meta.
- Dictamen del Comité Europeo de Protección de Datos: El Comité Europeo de Protección de Datos publicó un extenso dictamen sobre los modelos de “consiente o paga” utilizados por las grandes plataformas online, en respuesta a las dudas suscitadas por las Autoridades de Protección de Datos.
Dictamen del Comité Europeo de Protección de Datos: Principales lecciones aprendidas
Según el Comité Europeo de Protección de Datos, si a los usuarios se les da simplemente la doble opción de prestar su consentimiento para el tratamiento de sus datos personales con fines de publicidad basada en el comportamiento o de pagar una tarifa, estas plataformas online no podrán por lo general cumplir las condiciones necesarias para que se preste un consentimiento válido.
👉 El Comité Europeo de Protección de Datos recomienda que las grandes plataformas online no solo ofrezcan alternativas de pago como enfoque de base, sino que consideren la posibilidad de ofrecer una “alternativa equivalente” que no requiera pago. Si se cobra una tarifa por acceder a este servicio alternativo, las plataformas también deben ofrecer otra opción que sea gratuita.
Lo ideal sería que esta opción gratuita no incluya la publicidad basada en el comportamiento; en su lugar, se sugiere que incluya tipos de publicidad menos intrusivos que traten los datos personales de forma mínima o que no lleguen a tratarlos.
Esta alternativa no debe implicar ningún tratamiento con fines de publicidad basada en el comportamiento y puede ser, por ejemplo, una versión del servicio con una forma diferente de publicidad que implique el tratamiento de menos datos personales o de ningún dato personal, como puede ser la publicidad contextual o general o la publicidad basada en temas que el interesado haya seleccionado de una lista de temas de interés.
Esta recomendación es fundamental para garantizar que el consentimiento sea legítimo y se preste libremente, a fin de evitar situaciones en las que los usuarios se sientan presionados a dar su consentimiento al tratamiento de datos porque no existen otras opciones viables.
Es decir, lo anterior podría implicar la necesidad de proporcionar a los usuarios tres opciones en lugar de dos:
- Aceptar todo: esta opción incluye el consentimiento para el tratamiento de datos con fines de publicidad basada en el comportamiento.
- Aceptar con publicidad no basada en el comportamiento: esta opción incluye el consentimiento, pero sin que los datos se utilicen con fines de publicidad basada en el comportamiento.
- Pagar: esta opción incluye el acceso de pago sin tratamiento de datos personales con fines de publicidad basada en el comportamiento.
Evaluación de la validez del consentimiento
El Comité Europeo de Protección de Datos apuntó que deberían tenerse en cuenta los siguientes criterios a la hora de determinar la validez del consentimiento.
- Condicionalidad: los responsables del tratamiento deben garantizar que se cumplan todos los requisitos para que el consentimiento sea válido y se haya prestado libremente. Es necesario comprobar la legitimidad del consentimiento caso por caso.
- Posibles efectos perjudiciales: los responsables del tratamiento no pueden imponer condiciones que perjudiquen a los interesados por no dar su consentimiento, dando lugar a restricciones de acceso a servicios, redes profesionales o contenidos.
- Desequilibrio de poder: los responsables del tratamiento deben evaluar el dominio del mercado, la dependencia a los proveedores (efecto lock-in), los niveles de dependencia y las características de la audiencia para evitar desequilibrios de poder.
- Granularidad: los interesados deben poder prestar su consentimiento para las distintas actividades de tratamiento de datos.
Futuras medidas del Comité Europeo de Protección de Datos
El Comité Europeo de Protección de Datos tiene la intención de comunicarse con las partes interesadas durante la elaboración de directrices que traten los modelos de “consiente o paga” de forma más exhaustiva. La finalidad de estas próximas directrices es dejar más claro de qué forma pueden las plataformas online utilizar estos modelos sin dejar de cumplir la ley.
Seguiremos de cerca la publicación de estas directrices y te informaremos cuando estén publicadas.
Recoger el consentimiento del usuario de conformidad con la normativa sobre privacidad en varios idiomas y legislaciones
¡Empieza ya!