La AEPD incorpora a su guía de cookies los criterios del CEPD sobre “pay or consent”

La Agencia Española de Protección de Datos (AEPD) publicó en mayo de 2024 una versión actualizada de su guía sobre el uso de las cookies (disponible aquí). La novedad consiste en incorporar los criterios del Comité Europeo de Protección de Datos (CEPD) expresados a través del Dictamen 08/2024 sobre el consentimiento válido en el contexto de los modelos de consentimiento o pago aplicados por las grandes plataformas en línea (disponible solo en inglés  aquí).

La AEPD ha modificado de nuevo su guía sobre el uso de cookies con la finalidad de adaptarla a los criterios del CEPD expresados en su dictamen sobre el consentimiento válido en el contexto de los modelos de consentimiento o pago aplicados por las grandes plataformas en línea, que fue publicado en abril de 2024.

En la nueva versión de la guía de cookies la AEPD modifica el apartado relativo a la posibilidad de denegación de acceso al servicio en caso de rechazo de las cookies. Ya en la versión previa (julio de 2023) se había indicado que sería posible que se dieran “determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio”.

Para que esta posibilidad fuera admisible la AEPD ya dejaba claro en su guía que tenían que concurrir dos requisitos. Por una parte, que se informara de manera adecuada al usuario y, por otra parte, que se le ofreciera “una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies”.

Con la versión actualiza la AEPD busca clarificar cuál es el significado y alcance de “la gratuidad de acceso a los servicios de internet” y centra la atención en las cuestiones relativas a las circunstancias y condiciones de los modelos de “consentimiento o remuneración” (conocidos en inglés como “pay or consent”) que pueden utilizarse por grandes plataformas en línea para realizar publicidad comportamental sobre la base de un consentimiento válido para el tratamiento de datos personales.

La AEPD añade también un resumen del dictamen del CEPD y expone las cuestiones relevantes, que son:

1. El dictamen se refiere únicamente a  “la oferta por parte de las grandes plataformas en línea de acceso al servicio sin publicidad comportamental mediante el pago de una tarifa”. Aunque ni el dictamen del CEPD ni la guía de la AEPD lo indiquen, estas grandes plataformas de acceso son los conocidos como guardianes de acceso previstos en el Reglamento (UE) 2022/1925 del Parlamento Europeo y del Consejo de 14 de septiembre de 2022 sobre mercados disputables y equitativos en el sector digital y por el que se modifican las Directivas (UE) 2019/1937 y (UE) 2020/1828 (Reglamento de Mercados Digitales). La designación de los guardianes de acceso se lleva a cabo por la Comisión Europea, habiéndose producido las primeras designaciones en 2023.
2. La oferta limitada a una única alternativa de pago no permite obtener un consentimiento válido para el tratamiento de datos personales con fines de publicidad comportamental. El consentimiento no será válido si las grandes plataformas se limitan a ofrecer “una elección binaria entre el consentimiento para el tratamiento de datos personales con fines de publicidad comportamental y el pago de una tarifa que evite dichos tratamientos de datos personales”.
3. La alternativa por defecto al acceso al servicio con tratamiento de datos personales para ofrecer publicidad comportamental no puede ser el pago. La AEPD señala que “las grandes plataformas en línea deben considerar la posibilidad de proporcionar a los interesados una «alternativa equivalente» que no implique el pago de una tarifa.”
4. Alternativa equivalente cuando se cobra una tarifa. Si se opta por cobrar una tarifa, una “alternativa equivalente” puede ser una “alternativa gratuita, sin publicidad comportamental”.
5. Minimización del tratamiento de datos personales. La AEPD, remitiéndose a lo indicado por el CEPD, plantea que será una publicidad basada en un menor tratamiento de datos o de ningún dato personal. Y a modo de ejemplo indica que podría ser una publicidad basada en una selección de materias que elija el interesado de una lista facilitada por la plataforma.

La AEPD concluye este apartado de su guía afirmando que la “alternativa gratuita es un factor particularmente importante a la hora de valorar si el consentimiento otorgado para la publicidad comportamental sería considerado como válido y no se ha producido detrimento al interesado”.

La necesidad de obtener un consentimiento válido para el tratamiento de datos con fines de publicidad comportamental no es algo nuevo, sino que ya era necesario con la derogada Directiva 95/46/CE y fue objeto de análisis por el Grupo de Trabajo del artículo 29 en su Dictamen 2/2010 sobre publicidad comportamental en línea, WP 171, adoptado el 22 de junio de 2010.