Pese a los anuncios de declive de la publicidad comportamental (o basada en el comportamiento) y su sustitución por modelos de negocio que impliquen una menor intromisión en el derecho fundamental a la protección de datos personales, en los últimos meses se ha asistido a una expansión sin precedentes de los llamados modelos de consentimiento o pago, ilustrativos de la relevancia de ese tipo de publicidad en el marco del ofrecimiento de servicios digitales y de la puesta a disposición de contenidos en línea. Esos modelos hacen referencia al ofrecimiento al usuario, como presupuesto de la utilización del servicio, de la opción entre prestar el consentimiento al tratamiento de sus datos personales por el prestador del servicio (para facilitar ese tipo de publicidad) o pagar una cantidad de dinero para poder utilizar el servicio, como alternativa a la prestación del consentimiento al tratamiento de sus datos personales. Se trata de una evolución condicionada por los recientes avances en el Derecho de la UE -incluida la célebre STJUE de 4 de julio de 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, reseñada aquí- en lo relativo a los límites de ciertas bases de licitud del tratamiento de datos personales. En especial, el limitado alcance como base de licitud de la relativa a que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte -art. 6.1.b) RGPD- condiciona el interés del responsable del tratamiento por obtener el consentimiento del interesado y poder fundar así el tratamiento en la base prevista en el artículo 6.1.a). La referencia expresa por el TJUE en esa sentencia (apdo. 150) a que la obtención del consentimiento del interesado en los términos exigidos por el RGPD en determinadas situaciones puede requerir que el prestador de servicios de red social ofrezca a los usuarios, como alternativa a la utilización del servicio previa aceptación del tratamiento de sus datos personales, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos “en su caso a cambio de una remuneración adecuada”, es un elemento que contribuye también al desarrollo de esos modelos. En este contexto, con respecto a la actividad de las grandes plataformas en línea, reviste singular importancia la adopción la semana pasada por el Comité Europeo de Protección de Datos (CEPD o EDPB) de su Dictamen 8/2024 sobre esta concreta cuestión (Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms), especialmente por la relevancia de los criterios que incorpora para valorar los límites de tales prácticas como vía para la obtención por las plataformas en línea de gran tamaño de un consentimiento del interesado que cumpla con los requisitos exigidos por el RGPD (y la Directiva 2002/58 y sus disposiciones de transposición, que son las relevantes en materia de cookies).
I. Contexto del nuevo documento
Cabe comenzar recordando
que el artículo 6.1 RGPD contiene una lista exhaustiva y taxativa de los casos
en los que un tratamiento de datos personales puede considerarse lícito. En
relación con el tratamiento de los datos de sus usuarios por los prestadores de
servicios digitales y quienes proporcionan contenidos en línea, reviste
especial importancia la interpretación de la base de licitud establecida en el
artículo 6.1.b), que considera lícito “el tratamiento necesario para la
ejecución de un contrato en el que el interesado es parte o para la aplicación
a petición de este de medidas precontractuales.” Con carácter cumulativo a la
existencia y validez de un contrato en el que el interesado sea parte -a
decidir conforme al Derecho contractual (nacional) aplicable-, el primer inciso
del artículo 6(1)(b) RGPD requiere que el tratamiento sea «necesario» para la
ejecución del contrato. Cuando la prestación de un servicio en el marco de un
contrato se supedita al consentimiento al tratamiento de datos personales que
no son necesarios para la ejecución de dicho contrato no cabe recurrir al
artículo 6(1)(b) RGPD sino que típicamente será necesario haber obtenido el
consentimiento del interesado para su tratamiento, conforme al artículo 6(1)(a)
y 7 RGPD.
La STJUE de 4 de julio
de 2023, en relación con la actividad de los grandes prestadores de servicios
de red social, estableció que el empleo del término “necesario para la
ejecución de un contrato” en el artículo 6.1.b) RGPD supone que el tratamiento
de datos en cuestión “debe ser objetivamente indispensable para conseguir un
fin que forme parte integrante de la prestación contractual destinada al
interesado”, lo que implica que el responsable debe poder demostrar “por qué el
objeto principal del contrato no podría alcanzarse sin el tratamiento en
cuestión” (apdo. 98). El tratamiento de datos debe ser “esencial para permitir
la correcta ejecución del contrato” celebrado entre el responsable y el
interesado, sin que “existan otras soluciones practicables y menos intrusivas”
(apdo. 99), lo que debe evaluarse en el contexto de cada uno de los varios
servicios o de elementos separados de un servicio a los que vaya referido el
contrato en cuestión (apdo. 100). La justificación basada en la personalización
de los contenidos no resulta suficiente a los efectos del artículo 6.1.b) RGPD.
La personalización no se considera objetivamente indispensable para una
finalidad que forme parte integrante de los servicios de red social (apdo.
102). Por otra parte, la insuficiencia de la justificación basada en “la
utilización homogénea y fluida de los servicios propios del grupo Meta” se
vincula con la posibilidad de suscribir por separado esos diferentes servicios
(apdo. 103).
En esa misma
sentencia el Tribunal de Justicia estableció también los límites de la
satisfacción de intereses legítimos perseguidos por el responsable o por un
tercero, como base alternativa del tratamiento de datos personales de sus
usuarios por las redes sociales (artículo 6.1.f) RGPD). Como posibles
“intereses legítimos” que podrían fundar su tratamiento si concurrieran los
requisitos del artículo 6.1.f) RGPD, destaca el análisis de la personalización
de la publicidad, en la medida en que el Tribunal lo vincula con la gratuidad
del servicio de red social prestado por Facebook. Pese a que el tratamiento de
datos personales con fines de mercadotecnia directa pueda constituir un interés
legítimo del responsable a los efectos de esa norma, el Tribunal de Justicia
rechazó que ese sea el caso cuando la ponderación se proyecta sobre el
tratamiento de datos personales que la red social lleva a cabo para
personalizar la publicidad a cambio de ofrecer los servicios de manera
gratuita. Elementos muy relevantes para apreciar que ese interés del
responsable no puede prevalecer sobre los derechos e intereses del afectado son
el alcance del tratamiento y su impacto sobre el interesado –destacando el
Tribunal el alcance particularmente amplio del tratamiento controvertido que se
proyecta sobre datos potencialmente ilimitados (apdo. 118 de la sentencia)-,
así como las expectativas razonables de este último. En concreto, el Tribunal
afirma que “pese a la gratuidad de los servicios de una red social en línea como
Facebook, el usuario de esta no debería esperar razonablemente que, sin su
consentimiento, el operador de esa red social trate los datos personales de ese
usuario con fines de personalización de la publicidad”, lo que lleva a excluir
que el interés del prestador de servicio en la personalización de la publicidad
para financiar su actividad pueda prevalecer a los efectos de que el artículo
6.1.f) RGPD proporciona una base para la licitud de ese tratamiento (apdo.
117).
La eventual
imposibilidad por parte del operador de la red social de fundar el tratamiento
de datos controvertido en las bases de licitud relativas a la necesidad para la
ejecución del contrato (art. 6.1.b RGPD) y a la satisfacción de intereses
legítimos del responsable (art. 6.1.f RGPD), atribuye especial relevancia al
consentimiento por parte del interesado (art. 6.1.a y, con respecto al
consentimiento explícito cuando se trata de categorías especiales de datos,
art. 9.2.a RGPD). A este respecto, la STJUE de 4 de julio de 2023 no llevó a
cabo una interpretación del consentimiento en general a los efectos del RGPD,
término objeto de definición en su artículo 4.11, sino que se limitó a un
aspecto particular que se suscita en relación con la obtención del
consentimiento de los usuarios por el operador de una red social como Facebook.
Como es conocido, el artículo 4.11 RGPD define el consentimiento como “toda
manifestación de voluntad libre, específica, informada e inequívoca por la que
el interesado acepta, ya sea mediante una declaración o una clara acción
afirmativa, el tratamiento de datos personales que le conciernen”. La cuestión
planteada al Tribunal de Justicia iba referida únicamente a la interpretación
del requisito de que el consentimiento se preste libremente, cuando se presta
ante un operador que ocupa una posición dominante en el mercado de las redes
sociales en línea.
El Tribunal de Justicia puso de relieve que la
peculiar situación del operador de una red social que ocupa una posición de
dominio en el mercado no excluye que el interesado pueda dar su consentimiento
y que el mismo sea la base jurídica del tratamiento, pero sí exige la
imposición de requisitos específicos para poder establecer que los usuarios han
prestado libremente su consentimiento a un tratamiento de datos personales como
el controvertido. En primer lugar, se exige que en el marco del proceso
contractual los usuarios tengan “la libertad de negarse individualmente a
prestar su consentimiento a operaciones particulares de tratamiento de datos
que no sean necesarias para la ejecución del contrato, sin verse por ello
obligados a renunciar íntegramente a la utilización del servicio ofrecido por
el operador de la red social en línea, lo que implica que se ofrezca a dichos
usuarios, en su caso a cambio de una remuneración adecuada, una alternativa
equivalente no acompañada de tales operaciones de tratamiento de datos” (apdo.
150 de la sentencia). En segundo lugar, con carácter adicional, se exige que se
permita a los usuarios dar su consentimiento por separado, por una parte, con
respecto al tratamiento de los datos relativos a su comportamiento dentro de la
red social, y, por otra, con respecto al resto de los datos. Sin esta
posibilidad debe presumirse que su consentimiento con respecto a los datos que
no van referidos a su comportamiento en la red social no es libre.
II. Posición del Comité: carencias de la mera posibilidad de elegir
entre las dos opciones básicas y recomendación de la puesta a disposición de otras alternativas
gratuitas
El Comité recuerda que la exigencia de que el
consentimiento del interesado sea una “manifestación de voluntad libre”,
requiere una elección y un control reales para los interesados cuando lo
presta, de modo que no concurre cuando el interesado no goza de verdadera o
libre elección o no puede denegar o retirar su consentimiento sin sufrir
perjuicio alguno (cdo. 42 RGPD). Además, el consentimiento no constituye un
fundamento jurídico válido para el tratamiento cuando exista un desequilibro
claro entre el interesado y el responsable del tratamiento (cdo. 43 RGPD).
Conforme al artículo 7.4 RGPD, para evaluar si el consentimiento se ha dado
libremente, debe tenerse en cuenta en la mayor medida posible el hecho de si,
entre otras cosas, la ejecución de un contrato, incluida la prestación de un
servicio, se supedita al consentimiento al tratamiento de datos personales que
no son necesarios.
El ofrecimiento al
interesado por grandes plataformas de la mera posibilidad de elegir entre dos
opciones, como es propio de los modelos más simples de consentimiento o pago,
no cumplirá en las situaciones típicas con los que es exigible para que el
consentimiento sea libre y válido a los efectos del RGPD. El Comité considera
que lo apropiado a esos efectos es que el responsable ofrezca al interesado
alguna alternativa de otro tipo, en particular una alternativa equivalente que
no implique el pago de un precio, como una versión gratuita con formas diferentes
de publicidad que no impliquen el tratamiento de datos personales o impliquen
el tratamiento de un menor número de datos personales sin publicidad
comportamental. El Comité constata que no existe “siempre” una obligación de
que las grandes plataformas ofrezcan sus servicios de manera gratuita, pero el
ofrecimiento de esa opción adicional facilitará la prueba por su parte de que
el consentimiento ha sido prestado de manera libre y se ha dado al interesado
una elección real cuando ha optado por consentir el tratamiento de sus datos
personales (apdos. 75 a 77 del Dictamen).
Además, puede resultar determinante para
apreciar que se ha eliminado o reducido el perjuicio -tener que pagar para
acceder al servicio o no poder acceder- que puede suponer para los usuarios no
prestar su consentimiento, lo que constituye una exigencia en especial en las
situaciones en las que concurre un claro desequilibrio de poder entre el
responsable y el interesado (apdos. 78-79 y 96 y ss en relación con los
criterios para establecer la existencia de desequilibrio). Los aludidos
perjuicios en ausencia de una alternativa adicional de este tipo pueden ser
especialmente severos cuando se trata de servicios de las plataformas que son
muy relevantes para la vida diaria del usuario o sus relaciones sociales, o
para acceder a redes profesionales o de empleo, especialmente cuando se trata
de redes con un elevado número de usuarios y en situaciones en las que no es
sencillo para el usuario trasladar su actividad a otra plataforma con un impacto
semejante (apdos 87 a 92).
En lo relativo a las condiciones para el
consentimiento, el Comité presta especial atención a la previsión en el
artículo 7.4 RGPD, acerca de la necesidad de controlar si la prestación del
servicio se supedita al consentimiento al tratamiento de datos personales que
no son necesarios para tal prestación. Constata que de la STJUE de 4 de julio
de 2023 resulta que los modelos de consentimiento o pago no están en principio
prohibidos, pero interpreta la posición del Tribunal al respecto en el sentido
de que a los interesados que opten por no dar su consentimiento debe
ofrecérseles una "alternativa equivalente", lo que puede ser determinante
para apreciar que los interesados no se enfrenten a una situación de
condicionalidad que dé lugar a un consentimiento inválido (apdo. 117). Esa
"alternativa equivalente" se referiría a una versión alternativa del
servicio ofrecido por el mismo responsable del tratamiento que no implique el
consentimiento para el tratamiento de datos personales con fines de publicidad
comportamental. El Dictamen considera que, si la versión alternativa es
diferente sólo en la medida necesaria como consecuencia de que el responsable
se ve privado de la posibilidad de tratar datos personales con fines de
publicidad comportamental, en principio podrá considerarse equivalente.
III. Presupuestos de la exigencia de remuneración y requisitos adicionales
La posibilidad planteada por el propio
Tribunal de Justicia de que la alternativa equivalente se ofrezca a los usuarios
“en su caso a cambio de una remuneración adecuada”, lleva al Comité a recordar
su criterio de que los datos personales no pueden considerarse una mercancía, y
que los responsables del tratamiento deben evitar que el derecho fundamental a
la protección de datos se transforme en un elemento que los interesados tengan
que pagar para disfrutar. El Comité
considera que la exigencia de una remuneración cabe únicamente cuando se den determinadas
circunstancias, en función de las posibles alternativas a la publicidad que
implican el tratamiento de menos datos personales y la posición de los
interesados, lo que requerirá un análisis casuístico por los interesados de si
la remuneración y su concreta cuantía resultan adecuadas a la luz de las circunstancias
y no menoscaban la posibilidad elegir. La remuneración exigida no debe impedir
a los interesados denegar su consentimiento, ni hacerles sentirse obligados a
prestarlo. (apdos. 131-134).
Además, al solicitar el consentimiento del
interesado, las grandes plataformas en línea deben tener en cuenta que otra
condición para que el consentimiento sea libre es la disociación de los fines
del tratamiento de los datos. Cuando se le presenta un modelo de
"consentimiento o pago", el interesado debe tener libertad para
elegir la finalidad del tratamiento o las operaciones de tratamiento que acepta
(cdo. 43 RGPD). Cuando el responsable del tratamiento combina varios fines para
el tratamiento y pretende obtener el consentimiento de manera conjunta, no cabe
apreciar que exista libertad. La exigencia de que el consentimiento sea
específico está estrechamente relacionada con esa necesidad de disociación de
las finalidades del tratamiento que el interesado acepta (apdos. 139-140 del
Dictamen).
IV. Reflexiones finales
El consentimiento como base de licitud del tratamiento en el marco del
RGPD está sometido a requisitos específicos, como ha quedado señalado en
relación especialmente con los artículos 4.11, 6 y 7 del RGPD. El singular
interés del nuevo Dictamen en este contexto se vincula con que tiene por objeto
específico analizar los límites que tales requisitos imponen al empleo de
modelos de consentimiento o pago como fundamento del tratamiento de datos
personales de los usuarios, proporcionando un valioso complemento de sus Directrices
5/2020 sobre consentimiento (reseñadas aquí).
Ese interés se refuerza porque el concepto de consentimiento del RGPD
resulta también determinante en la interpretación de la Directiva 2002/58/CE
sobre la privacidad y las comunicaciones electrónicas y sus normas de
transposición. En particular, el empleo de modelos de consentimiento o pago se
ha expandido con respecto a la obtención del consentimiento de cookies o
elementos similares como vía para recabar información relevante en relación con
la publicidad comportamental. El que en tales situaciones el consentimiento
venga exigido por lo dispuesto en el artículo 5.3 de la Directiva 2002/58/CE
con respecto al consentimiento del interesado en relación con el almacenamiento
de información, o la obtención de acceso a la información ya almacenada, en su
equipo terminal, no afecta a la relevancia del Dictamen, en la medida en que el
concepto de consentimiento en ese instrumento es coincidente con el del RGPD
(como recuerda en el apdo. 43 del Dictamen).
Ahora bien, el alcance del Dictamen es limitado, en la medida en que,
pese a la generalización de los modelos de consentimiento o pago, el CEPD opta
por restringir su análisis a la actividad de las grandes plataformas en línea,
que por su posición en el mercado y la eventual existencia de un desequilibrio
de poder plantean cuestiones específicas y están asociadas a singulares
riesgos en este ámbito. Por lo tanto, va referido básicamente a las actividades
que ya habían sido objeto de los análisis previos del Tribunal de Justicia y
del propio Comité. En general, las conclusiones del Dictamen no son
extrapolables con respecto a la actividad de otros prestadores de servicios que
no encajan en esa categoría.