Loading

Blog details

El CEPD publica su opinión sobre los modelos «Pay or Ok»

El CEPD publica su opinión sobre los modelos «Pay or Ok»

El CEPD destaca la necesidad de cumplir con todos los requisitos del RGPD, especialmente aquellos relacionados con el consentimiento válido.

 

El comercio electrónico y la protección de datos se encuentran en constante evolución, y en este escenario es fundamental que las empresas comprendan cómo cualquier nueva práctica que implique el tratamiento de datos personales puede afectar la privacidad de sus usuarios y el cumplimiento normativo. En este sentido, el dilema en torno a la legalidad de los modelos «consentir o pagar», también conocidos como «pay or ok», ha generado preocupaciones recientes en la industria, especialmente en relación con el consentimiento válido y el concepto de alternativas equivalentes. Tras una solicitud de las autoridades de supervisión de los Países Bajos, Noruega y Hamburgo (Alemania) después de que varias grandes plataformas online comenzaran a implementar modelos de «pay or ok» relacionados con la publicidad conductual, el CEPD ha emitido su opinión sobre los requisitos para el consentimiento válido en este contexto, señalando también que obtener el consentimiento no exime al responsable del cumplimiento con el resto de los principios y obligaciones del RGPD.

 

¿Qué son los modelos ‘pay or ok’?

Los modelos «pay or ok» presentan a los usuarios la opción de consentir al tratamiento de datos personales con fines de publicidad conductual y otros al acceder al servicio online o pagar una tarifa para acceder al mismo sin que sus datos personales sean tratados para esos fines. Cabe destacar que, aunque esta segunda opción puede implicar ausencia de rastreo, también podría conllevar un rastreo con finalidades diferentes a las de publicidad conductual, por ejemplo, para análisis y mejora del uso del sitio web. Si bien estos modelos ofrecen a los usuarios un cierto grado de control sobre sus datos, también plantean dilemas significativos en relación con la protección de datos y el cumplimiento del RGPD.

En primer lugar, la validez del consentimiento es una preocupación clave. El RGPD exige que el consentimiento sea libre, específico, informado y inequívoco. En el contexto de los modelos «pay or ok», los usuarios pueden sentirse presionados para otorgar su consentimiento al tratamiento de datos para acceder a los servicios, algunos de los cuales incluso podrían considerarse servicios esenciales, como la búsqueda de empleo, lo que podría socavar el principio del consentimiento libremente otorgado. Además, existe el riesgo de ambigüedad respecto a los términos del consentimiento, especialmente si los usuarios no están completamente informados sobre las consecuencias de sus elecciones. Además, se señala también la proporcionalidad del tratamiento, ya que las empresas deben asegurarse de que la recogida y el tratamiento de datos de los usuarios sean necesarios y proporcionales a los servicios ofrecidos.

 

Requisitos para un consentimiento válido bajo el RGPD

El CEPD enfatiza que el consentimiento válido en el contexto de los modelos «pay or ok» debe cumplir con los requisitos del RGPD. En este sentido, el consentimiento debe ser libre, específico, informado e inequívoco. El CEPD lleva a cabo una evaluación de la legalidad del consentimiento recogido en el ámbito de los modelos «pay or ok», con las siguientes conclusiones clave:

  • Los responsables del tratamiento deben ofrecer una alternativa equivalente de forma gratuita, que podría ser una versión del servicio con una forma diferente de publicidad que implique el tratamiento de menos datos personales o ningún dato personal en absoluto. La existencia de esta alternativa debe considerarse como un factor determinante al evaluar si los interesados pueden ejercer una elección real y, por lo tanto, si el consentimiento es válido.
  • Cuando se presente un modelo de «pay or ok», el usuario debe poder elegir las finalidades individuales que acepta, en lugar de tener que consentir a un conjunto de finalidades.
  • Se debe proporcionar información completa sobre el tratamiento de datos personales antes de recoger el consentimiento, que permita a los individuos comprender las actividades de tratamiento en cuestión. Por ejemplo, debe quedar claro exactamente por qué estarían pagando una tarifa y cómo eso afectaría el tratamiento de datos.
  • La retirada del consentimiento no debería automáticamente inscribir al interesado en la suscripción de pago, sino que debería resultar en que se presenten nuevamente las diferentes alternativas disponibles. A la inversa, la terminación de la suscripción de pago no equivale a dar consentimiento.

 

Debe tenerse en cuenta que, si bien la Opinión del CEPD se centra en las grandes plataformas online, el análisis del cumplimiento de los requisitos del RGPD se aplica a cualquier empresa o servicio online que trate datos personales bajo los modelos «pay or ok».

 

El concepto de ‘alternativa equivalente’: ¿qué es?

El CEPD destaca que los usuarios deben tener opciones genuinas más allá de consentir al tratamiento de datos para publicidad conductual o pagar para que no se utilicen sus datos personales para estos fines. Esto implica proporcionar a los usuarios alternativas significativas que ofrezcan beneficios comparables sin depender del tratamiento de datos para publicidad conductual.

Si bien el TJUE indicó en la sentencia del caso Bundeskartellamt que cuando las operaciones de tratamiento de datos no son estrictamente necesarias para el cumplimiento del contrato, los usuarios deben poder negarse a consentir dichas operaciones de tratamiento y se les debe ofrecer una alternativa «si es necesario por una tarifa adecuada», no se proporcionaron detalles adicionales sobre el significado de las expresiones «alternativa equivalente» o «si es necesario por una tarifa adecuada». En su opinión, el CEPD señala que para que la alternativa sea equivalente, también debe, entre otros requisitos, omitir las operaciones de tratamiento que se llevarían a cabo como condición previa del tratamiento para fines de publicidad conductual.

 

Otras consideraciones del CEPD

Junto con los requisitos para el consentimiento válido y la evaluación de proporcionalidad, el CEPD también aborda la necesidad de cumplir con otros principios y obligaciones exigidos por el RGPD.

La limitación de la finalidad y la minimización de datos son clave para garantizar que los datos personales se recopilen y traten únicamente para fines específicos, explícitos y legítimos, minimizando el riesgo de tratamiento excesivo o innecesario de datos. Estos principios desempeñan un papel fundamental en este contexto, ya que la publicidad conductual puede implicar la recopilación y tratamiento de grandes cantidades de datos personales, incluida la combinación de varias fuentes que podrían resultar en un monitoreo intrusivo de los sujetos.

El tratamiento de datos personales sobre niños es otro punto de preocupación bajo los modelos «pay or ok», dado que los niños merecen protección adicional como individuos vulnerables y, por lo tanto, no deben estar sujetos a publicidad conductual.

 

Según Cristina Contero Almagro, una de las socias gerentes de Aphaia, “Dado que la publicidad conductual es una forma especialmente intrusiva de publicidad, que conlleva riesgos significativos para los derechos y libertades fundamentales de los sujetos de datos, los responsables del tratamiento deben llevar a cabo una Evaluación de Impacto de Protección de Datos cuando consideren la implementación de modelos ‘pay or ok’ o cuando evalúen alternativas equivalentes en este contexto. Las empresas también deben tener en cuenta cualquier implicación que estas decisiones puedan tener en relación con su cumplimiento de otras leyes relevantes, como la Directiva ePrivacy”.

A medida que los requisitos normativos continúan evolucionando, las empresas deben permanecer actualizadas, asegurando que la innovación y el crecimiento no vayan en detrimento del cumplimiento con el RGPD y otras leyes de protección de datos.

¿Usas cookies en tu página web? Eleva tus estándares de protección de datos con Aphaia. Pregúntanos y te ayudaremos a reforzar tus prácticas de cumplimiento, incluidas las políticas y procesos necesarios, con la tranquilidad de contar con un asesoramiento experto. Contacta con nosotros hoy.

Prev post
Multa a una empresa por tratamiento ilegítimo de datos con finalidades de marketing
abril 18, 2024
Next post
Recomendaciones sobre el desarrollo de sistemas de IA de las autoridades de control europeas
mayo 2, 2024