miércoles, 24 de abril de 2024

Límites a la licitud de los modelos de consentimiento o pago en materia de datos personales

 

           Pese a los anuncios de declive de la publicidad comportamental (o basada en el comportamiento) y su sustitución por modelos de negocio que impliquen una menor intromisión en el derecho fundamental a la protección de datos personales, en los últimos meses se ha asistido a una expansión sin precedentes de los llamados modelos de consentimiento o pago, ilustrativos de la relevancia de ese tipo de publicidad en el marco del ofrecimiento de servicios digitales y de la puesta a disposición de contenidos en línea. Esos modelos hacen referencia al ofrecimiento al usuario, como presupuesto de la utilización del servicio, de la opción entre prestar el consentimiento al tratamiento de sus datos personales por el prestador del servicio (para facilitar ese tipo de publicidad) o pagar una cantidad de dinero para poder utilizar el servicio, como alternativa a la prestación del consentimiento al tratamiento de sus datos personales. Se trata de una evolución condicionada por los recientes avances en el Derecho de la UE -incluida la célebre STJUE de 4 de julio de 2023, Meta Platforms e.a. (Conditions générales d’utilisation d’un réseau social), C-252/21, EU:C:2023:537, reseñada aquí- en lo relativo a los límites de ciertas bases de licitud del tratamiento de datos personales. En especial, el limitado alcance como base de licitud de la relativa a que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte -art. 6.1.b) RGPD- condiciona el interés del responsable del tratamiento por obtener el consentimiento del interesado y poder fundar así el tratamiento en la base prevista en el artículo 6.1.a). La referencia expresa por el TJUE en esa sentencia (apdo. 150) a que la obtención del consentimiento del interesado en los términos exigidos por el RGPD en determinadas situaciones puede requerir que el prestador de servicios de red social ofrezca a los usuarios, como alternativa a la utilización del servicio previa aceptación del tratamiento de sus datos personales, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos “en su caso a cambio de una remuneración adecuada”, es un elemento que contribuye también al desarrollo de esos modelos. En este contexto, con respecto a la actividad de las grandes plataformas en línea, reviste singular importancia la adopción la semana pasada por el Comité Europeo de Protección de Datos (CEPD o EDPB) de su Dictamen 8/2024 sobre esta concreta cuestión (Opinion 08/2024 on Valid Consent in the Context of Consent or Pay Models Implemented by Large Online Platforms), especialmente por la relevancia de los criterios que incorpora para valorar los límites de tales prácticas como vía para la obtención por las plataformas en línea de gran tamaño de un consentimiento del interesado que cumpla con los requisitos exigidos por el RGPD (y la Directiva 2002/58 y sus disposiciones de transposición, que son las relevantes en materia de cookies).


I. Contexto del nuevo documento

            Cabe comenzar recordando que el artículo 6.1 RGPD contiene una lista exhaustiva y taxativa de los casos en los que un tratamiento de datos personales puede considerarse lícito. En relación con el tratamiento de los datos de sus usuarios por los prestadores de servicios digitales y quienes proporcionan contenidos en línea, reviste especial importancia la interpretación de la base de licitud establecida en el artículo 6.1.b), que considera lícito “el tratamiento necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.” Con carácter cumulativo a la existencia y validez de un contrato en el que el interesado sea parte -a decidir conforme al Derecho contractual (nacional) aplicable-, el primer inciso del artículo 6(1)(b) RGPD requiere que el tratamiento sea «necesario» para la ejecución del contrato. Cuando la prestación de un servicio en el marco de un contrato se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato no cabe recurrir al artículo 6(1)(b) RGPD sino que típicamente será necesario haber obtenido el consentimiento del interesado para su tratamiento, conforme al artículo 6(1)(a) y 7 RGPD.

          La STJUE de 4 de julio de 2023, en relación con la actividad de los grandes prestadores de servicios de red social, estableció que el empleo del término “necesario para la ejecución de un contrato” en el artículo 6.1.b) RGPD supone que el tratamiento de datos en cuestión “debe ser objetivamente indispensable para conseguir un fin que forme parte integrante de la prestación contractual destinada al interesado”, lo que implica que el responsable debe poder demostrar “por qué el objeto principal del contrato no podría alcanzarse sin el tratamiento en cuestión” (apdo. 98). El tratamiento de datos debe ser “esencial para permitir la correcta ejecución del contrato” celebrado entre el responsable y el interesado, sin que “existan otras soluciones practicables y menos intrusivas” (apdo. 99), lo que debe evaluarse en el contexto de cada uno de los varios servicios o de elementos separados de un servicio a los que vaya referido el contrato en cuestión (apdo. 100). La justificación basada en la personalización de los contenidos no resulta suficiente a los efectos del artículo 6.1.b) RGPD. La personalización no se considera objetivamente indispensable para una finalidad que forme parte integrante de los servicios de red social (apdo. 102). Por otra parte, la insuficiencia de la justificación basada en “la utilización homogénea y fluida de los servicios propios del grupo Meta” se vincula con la posibilidad de suscribir por separado esos diferentes servicios (apdo. 103).

             En esa misma sentencia el Tribunal de Justicia estableció también los límites de la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero, como base alternativa del tratamiento de datos personales de sus usuarios por las redes sociales (artículo 6.1.f) RGPD). Como posibles “intereses legítimos” que podrían fundar su tratamiento si concurrieran los requisitos del artículo 6.1.f) RGPD, destaca el análisis de la personalización de la publicidad, en la medida en que el Tribunal lo vincula con la gratuidad del servicio de red social prestado por Facebook. Pese a que el tratamiento de datos personales con fines de mercadotecnia directa pueda constituir un interés legítimo del responsable a los efectos de esa norma, el Tribunal de Justicia rechazó que ese sea el caso cuando la ponderación se proyecta sobre el tratamiento de datos personales que la red social lleva a cabo para personalizar la publicidad a cambio de ofrecer los servicios de manera gratuita. Elementos muy relevantes para apreciar que ese interés del responsable no puede prevalecer sobre los derechos e intereses del afectado son el alcance del tratamiento y su impacto sobre el interesado –destacando el Tribunal el alcance particularmente amplio del tratamiento controvertido que se proyecta sobre datos potencialmente ilimitados (apdo. 118 de la sentencia)-, así como las expectativas razonables de este último. En concreto, el Tribunal afirma que “pese a la gratuidad de los servicios de una red social en línea como Facebook, el usuario de esta no debería esperar razonablemente que, sin su consentimiento, el operador de esa red social trate los datos personales de ese usuario con fines de personalización de la publicidad”, lo que lleva a excluir que el interés del prestador de servicio en la personalización de la publicidad para financiar su actividad pueda prevalecer a los efectos de que el artículo 6.1.f) RGPD proporciona una base para la licitud de ese tratamiento (apdo. 117).

          La eventual imposibilidad por parte del operador de la red social de fundar el tratamiento de datos controvertido en las bases de licitud relativas a la necesidad para la ejecución del contrato (art. 6.1.b RGPD) y a la satisfacción de intereses legítimos del responsable (art. 6.1.f RGPD), atribuye especial relevancia al consentimiento por parte del interesado (art. 6.1.a y, con respecto al consentimiento explícito cuando se trata de categorías especiales de datos, art. 9.2.a RGPD). A este respecto, la STJUE de 4 de julio de 2023 no llevó a cabo una interpretación del consentimiento en general a los efectos del RGPD, término objeto de definición en su artículo 4.11, sino que se limitó a un aspecto particular que se suscita en relación con la obtención del consentimiento de los usuarios por el operador de una red social como Facebook. Como es conocido, el artículo 4.11 RGPD define el consentimiento como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. La cuestión planteada al Tribunal de Justicia iba referida únicamente a la interpretación del requisito de que el consentimiento se preste libremente, cuando se presta ante un operador que ocupa una posición dominante en el mercado de las redes sociales en línea.

            El Tribunal de Justicia puso de relieve que la peculiar situación del operador de una red social que ocupa una posición de dominio en el mercado no excluye que el interesado pueda dar su consentimiento y que el mismo sea la base jurídica del tratamiento, pero sí exige la imposición de requisitos específicos para poder establecer que los usuarios han prestado libremente su consentimiento a un tratamiento de datos personales como el controvertido. En primer lugar, se exige que en el marco del proceso contractual los usuarios tengan “la libertad de negarse individualmente a prestar su consentimiento a operaciones particulares de tratamiento de datos que no sean necesarias para la ejecución del contrato, sin verse por ello obligados a renunciar íntegramente a la utilización del servicio ofrecido por el operador de la red social en línea, lo que implica que se ofrezca a dichos usuarios, en su caso a cambio de una remuneración adecuada, una alternativa equivalente no acompañada de tales operaciones de tratamiento de datos” (apdo. 150 de la sentencia). En segundo lugar, con carácter adicional, se exige que se permita a los usuarios dar su consentimiento por separado, por una parte, con respecto al tratamiento de los datos relativos a su comportamiento dentro de la red social, y, por otra, con respecto al resto de los datos. Sin esta posibilidad debe presumirse que su consentimiento con respecto a los datos que no van referidos a su comportamiento en la red social no es libre.

II. Posición del Comité: carencias de la mera posibilidad de elegir entre las dos opciones básicas y recomendación de la puesta a disposición de otras alternativas gratuitas

          El Comité recuerda que la exigencia de que el consentimiento del interesado sea una “manifestación de voluntad libre”, requiere una elección y un control reales para los interesados cuando lo presta, de modo que no concurre cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno (cdo. 42 RGPD). Además, el consentimiento no constituye un fundamento jurídico válido para el tratamiento cuando exista un desequilibro claro entre el interesado y el responsable del tratamiento (cdo. 43 RGPD). Conforme al artículo 7.4 RGPD, para evaluar si el consentimiento se ha dado libremente, debe tenerse en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios.

                El ofrecimiento al interesado por grandes plataformas de la mera posibilidad de elegir entre dos opciones, como es propio de los modelos más simples de consentimiento o pago, no cumplirá en las situaciones típicas con los que es exigible para que el consentimiento sea libre y válido a los efectos del RGPD. El Comité considera que lo apropiado a esos efectos es que el responsable ofrezca al interesado alguna alternativa de otro tipo, en particular una alternativa equivalente que no implique el pago de un precio, como una versión gratuita con formas diferentes de publicidad que no impliquen el tratamiento de datos personales o impliquen el tratamiento de un menor número de datos personales sin publicidad comportamental. El Comité constata que no existe “siempre” una obligación de que las grandes plataformas ofrezcan sus servicios de manera gratuita, pero el ofrecimiento de esa opción adicional facilitará la prueba por su parte de que el consentimiento ha sido prestado de manera libre y se ha dado al interesado una elección real cuando ha optado por consentir el tratamiento de sus datos personales (apdos. 75 a 77 del Dictamen).

 Además, puede resultar determinante para apreciar que se ha eliminado o reducido el perjuicio -tener que pagar para acceder al servicio o no poder acceder- que puede suponer para los usuarios no prestar su consentimiento, lo que constituye una exigencia en especial en las situaciones en las que concurre un claro desequilibrio de poder entre el responsable y el interesado (apdos. 78-79 y 96 y ss en relación con los criterios para establecer la existencia de desequilibrio). Los aludidos perjuicios en ausencia de una alternativa adicional de este tipo pueden ser especialmente severos cuando se trata de servicios de las plataformas que son muy relevantes para la vida diaria del usuario o sus relaciones sociales, o para acceder a redes profesionales o de empleo, especialmente cuando se trata de redes con un elevado número de usuarios y en situaciones en las que no es sencillo para el usuario trasladar su actividad a otra plataforma con un impacto semejante (apdos 87 a 92).  

En lo relativo a las condiciones para el consentimiento, el Comité presta especial atención a la previsión en el artículo 7.4 RGPD, acerca de la necesidad de controlar si la prestación del servicio se supedita al consentimiento al tratamiento de datos personales que no son necesarios para tal prestación. Constata que de la STJUE de 4 de julio de 2023 resulta que los modelos de consentimiento o pago no están en principio prohibidos, pero interpreta la posición del Tribunal al respecto en el sentido de que a los interesados que opten por no dar su consentimiento debe ofrecérseles una "alternativa equivalente", lo que puede ser determinante para apreciar que los interesados no se enfrenten a una situación de condicionalidad que dé lugar a un consentimiento inválido (apdo. 117). Esa "alternativa equivalente" se referiría a una versión alternativa del servicio ofrecido por el mismo responsable del tratamiento que no implique el consentimiento para el tratamiento de datos personales con fines de publicidad comportamental. El Dictamen considera que, si la versión alternativa es diferente sólo en la medida necesaria como consecuencia de que el responsable se ve privado de la posibilidad de tratar datos personales con fines de publicidad comportamental, en principio podrá considerarse equivalente.

III. Presupuestos de la exigencia de remuneración y requisitos adicionales

La posibilidad planteada por el propio Tribunal de Justicia de que la alternativa equivalente se ofrezca a los usuarios “en su caso a cambio de una remuneración adecuada”, lleva al Comité a recordar su criterio de que los datos personales no pueden considerarse una mercancía, y que los responsables del tratamiento deben evitar que el derecho fundamental a la protección de datos se transforme en un elemento que los interesados tengan que pagar para disfrutar. El Comité considera que la exigencia de una remuneración cabe únicamente cuando se den determinadas circunstancias, en función de las posibles alternativas a la publicidad que implican el tratamiento de menos datos personales y la posición de los interesados, lo que requerirá un análisis casuístico por los interesados de si la remuneración y su concreta cuantía resultan adecuadas a la luz de las circunstancias y no menoscaban la posibilidad elegir. La remuneración exigida no debe impedir a los interesados denegar su consentimiento, ni hacerles sentirse obligados a prestarlo. (apdos. 131-134).

Además, al solicitar el consentimiento del interesado, las grandes plataformas en línea deben tener en cuenta que otra condición para que el consentimiento sea libre es la disociación de los fines del tratamiento de los datos. Cuando se le presenta un modelo de "consentimiento o pago", el interesado debe tener libertad para elegir la finalidad del tratamiento o las operaciones de tratamiento que acepta (cdo. 43 RGPD). Cuando el responsable del tratamiento combina varios fines para el tratamiento y pretende obtener el consentimiento de manera conjunta, no cabe apreciar que exista libertad. La exigencia de que el consentimiento sea específico está estrechamente relacionada con esa necesidad de disociación de las finalidades del tratamiento que el interesado acepta (apdos. 139-140 del Dictamen).  

IV. Reflexiones finales

            El consentimiento como base de licitud del tratamiento en el marco del RGPD está sometido a requisitos específicos, como ha quedado señalado en relación especialmente con los artículos 4.11, 6 y 7 del RGPD. El singular interés del nuevo Dictamen en este contexto se vincula con que tiene por objeto específico analizar los límites que tales requisitos imponen al empleo de modelos de consentimiento o pago como fundamento del tratamiento de datos personales de los usuarios, proporcionando un valioso complemento de sus Directrices 5/2020 sobre consentimiento (reseñadas aquí).

        Ese interés se refuerza porque el concepto de consentimiento del RGPD resulta también determinante en la interpretación de la Directiva 2002/58/CE sobre la privacidad y las comunicaciones electrónicas y sus normas de transposición. En particular, el empleo de modelos de consentimiento o pago se ha expandido con respecto a la obtención del consentimiento de cookies o elementos similares como vía para recabar información relevante en relación con la publicidad comportamental. El que en tales situaciones el consentimiento venga exigido por lo dispuesto en el artículo 5.3 de la Directiva 2002/58/CE con respecto al consentimiento del interesado en relación con el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en su equipo terminal, no afecta a la relevancia del Dictamen, en la medida en que el concepto de consentimiento en ese instrumento es coincidente con el del RGPD (como recuerda en el apdo. 43 del Dictamen).

              Ahora bien, el alcance del Dictamen es limitado, en la medida en que, pese a la generalización de los modelos de consentimiento o pago, el CEPD opta por restringir su análisis a la actividad de las grandes plataformas en línea, que por su posición en el mercado y la eventual existencia de un desequilibrio de poder plantean cuestiones específicas y están asociadas a singulares riesgos en este ámbito. Por lo tanto, va referido básicamente a las actividades que ya habían sido objeto de los análisis previos del Tribunal de Justicia y del propio Comité. En general, las conclusiones del Dictamen no son extrapolables con respecto a la actividad de otros prestadores de servicios que no encajan en esa categoría.