Pagar para rechazar cookies, o como las autoridades de protección de datos se saltan el RGPD

...Y como rechazarlas sin pagar

Desde el pasado 11 de Enero de 2024, habrás visto como en muchas webs para acceder a su contenido, estás obligado a aceptar cookies o pagar para rechazarlas. Esto ha causado mucho revuelo sobre su legalidad y demás, y en este artículo voy a exponer información de por que no es tan legal como nos quieren hacer pensar desde la AEPD y dar una pequeña opinión al respecto.

Por redes sociales, estos días ha habido mucha gente comentando que es ilegal, que van a denunciar la práctica ante la AEPD y demás. Pues bien, hay que destacar que, esta medida, precisamente ha sido impulsada por la AEPD desde verano pasado en su nueva guía de cookies, la cual por cierto, es de obligado cumplimiento desde el pasado 11 de Enero.

Pero esta guía no ha sido diseñada solo por la AEPD… Sino que ha contado con la colaboración de asociaciones de anunciantes y de economía digital como Asociación Española de la Economía Digital, Asociación Española de Anunciantes, IAB Spain y Autocontrol. ¿Creéis que una guía diseñada en colaboración con organizaciones de marketing y publicidad puede respetar la privacidad de los usuarios y cumplir el RGPD? O sois como yo, de los que pensáis que la AEPD se ha bajado los pantalones y nos ha dejado vendidos haciendo una dejadez de funciones. Vamos a salir de dudas.

En esa guía, en su punto 3.2.9 relativo a la retirada del consentimiento para el uso de cookies, se indica lo siguiente:

“Podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies.”

Esto ya estaba en la guía anterior, pero como indica la AEPD:

“La Guía anterior ya precisaba que para que el consentimiento pudiera considerarse otorgado libremente, el acceso al servicio y a sus funcionalidades no podía estar condicionado a que el usuario consistiese el uso de cookies. Por tanto, podía haber supuestos en los que la no aceptación de la utilización de cookies impidiese el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informase al usuario y se ofreciese por parte del editor una alternativa de acceso al servicio sin necesidad de aceptar el uso de cookies. La nueva versión de la Guía aclara que dicha alternativa no tendrá por qué ser necesariamente gratuita.”

La nueva guía de la AEPD además del cambio indicado, también es una adaptación de la anterior a las directrices del Comité Europeo de Protección de Datos (CEPD), concretamente a las Directrices 5/2020 sobre el consentimiento en el sentido del Reglamento (UE) 2016/679.

¿Que dicen el RGPD y las directivas del CEPD al respecto?

Antes de dar mi opinión y ver como saltar estas limitaciones, vamos a ver algunos aspectos interesantes de la legislación para luego entender el por que de ciertos razonamientos.

El Reglamento General de Protección de Datos de la UE, en su artículo 4 punto 11, define el consentimiento del interesado de la siguiente forma:

“«Consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”

Esto podemos enriquecerlo con lo que indica la directiva del CEPD indicada anteriormente, la cual en su punto 3.1 referente a la manifestación de voluntad libre indica lo siguiente:

“El término «libre» implica elección y control reales por parte de los interesados. Como norma general, el RGPD establece que, si el sujeto no es realmente libre para elegir, se siente obligado a dar su consentimiento o sufrirá consecuencias negativas si no lo da, entonces el consentimiento no puede considerarse válido. Si el consentimiento está incluido como una parte no negociable de las condiciones generales se asume que no se ha dado libremente. En consecuencia, no se considerará que el consentimiento se ha prestado libremente si el interesado no puede negar o retirar su consentimiento sin perjuicio. A la hora de valorar si el consentimiento se ha dado libremente, deben considerarse también las situaciones concretas en las que el consentimiento se supedita a la ejecución de contratos o a la prestación de un servicio tal y como se describe en el artículo 7, apartado 4. El artículo 7, apartado 4, se ha redactado de manera no exhaustiva mediante el uso de la expresión «entre otras cosas», lo que significa que puede haber otras circunstancias que entren en el ámbito de aplicación de esta disposición. En términos generales, el consentimiento quedará invalidado por cualquier influencia o presión inadecuada ejercida sobre el interesado (que puede manifestarse de formas muy distintas) que impida que este ejerza su libre voluntad.”

Para aclarar lo anterior, veamos que dice el artículo 7 punto 4 del RGPD y los considerando 42 y 43:

“Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”

Considerando 42:

“Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo (10), debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”

Considerando 43:

“Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aún cuando este no sea necesario para dicho cumplimiento.”

La directriz 3.1.1 relativa a desequilibrio de poder, en su punto 24 indica lo siguiente:

“Los desequilibrios de poder no se limitan a las autoridades públicas y a los empleadores, sino que también pueden producirse en otras situaciones. Como ha subrayado el GT29 en diversos dictámenes, el consentimiento solo puede ser válido si el interesado puede realmente elegir y no existe riesgo de engaño, intimidación, coerción o consecuencias negativas importantes (por ejemplo, costes adicionales sustanciales) si no da su consentimiento. El consentimiento no será libre en aquellos casos en los que exista un elemento de compulsión, presión o incapacidad para ejercer la libre voluntad.”

Sigamos con conceptos, la directriz 3.1.2 relativa a condicionalidad del CEPD, indica lo siguiente en diferentes puntos: Punto 27:

“La obligación de autorizar el uso de datos personales más allá de lo estrictamente necesario limita las opciones del interesado y le impide ejercer su libre consentimiento. “

Punto 39:

“Para que el consentimiento se manifieste libremente, el acceso a los servicios y funcionalidades no puede supeditarse a que el usuario preste su consentimiento al almacenamiento de información, o al acceso a la información ya almacenada, en el equipo terminal del usuario (las denominadas «barreras de cookies»).”

La directriz 3.1.2 relativa a perjuicios del CEPD, en su punto 46, indica lo siguiente:

“El responsable del tratamiento debe demostrar que es posible negar o retirar el consentimiento sin sufrir perjuicio alguno (considerando 42). Por ejemplo, el responsable del tratamiento debe demostrar que la retirada del consentimiento no conllevará ningún coste para el interesado y, por tanto, ninguna clara desventaja para quienes retiren el consentimiento.”

La directriz 5.2 Retirada del consentimiento en su punto 114 indica lo siguiente:

“Cuando el consentimiento se obtenga por medios electrónicos mediante un único clic del ratón, deslizando el dedo por una pantalla o pulsando una tecla, los interesados deben poder, en la práctica, retirar su consentimiento de manera igualmente sencilla. Cuando el consentimiento se obtenga mediante el uso de una interfaz de usuario específica de algún servicio [por ejemplo, a través de un sitio web, una aplicación, una cuenta de inicio, una interfaz de un dispositivo de IdC (internet de las cosas) o por correo electrónico], no hay duda de que el interesado debe poder retirar el consentimiento a través de la misma interfaz electrónica, ya que cambiar a otra interfaz con el único fin de retirar el consentimiento requeriría un esfuerzo injustificado. Asimismo, el interesado debe poder retirar su consentimiento sin sufrir perjuicio alguno. Esto significa, entre otras cosas, que el responsable debe hacer posible la retirada de consentimiento de manera gratuita y sin que disminuya el nivel en la prestación del servicio”

¿Es legal el consiente o paga que fomenta la AEPD?

Una vez asimilados algunos conceptos reglamentarios interesantes, ya podéis tener una idea de si según el RGPD y algunas directrices de la CEPD es legal el consiente o paga que se fomenta desde la AEPD, pero si aun no lo tienes claro, estas preguntas pueden servir para aclararlo.

¿El consentimiento se da libremente cuando para rechazarlas hay que pagar?

¿El muro de cookies, me permite acceder a la web aceptando solo algunos consentimientos?

Si acepto las cookies y luego vuelvo a la configuración y las rechazo, ¿Puedo seguir navegando por la web sin ningún perjuicio?

¿Si pago por rechazarlas, es 100% seguro que no existe ningún tipo de rastreo?

¿Las cookies de rastreo son imprescindibles para el funcionamiento de la web?

Éstas son solo algunas de las preguntas que se me ocurren que pueden aclarar a cada uno si esta práctica es legal o no, y a las que voy a dar mi respuesta.

Para la primera, si aceptas las cookies por la coacción de tener que pagar si rechazas, el consentimiento deja de ser libre y está coaccionado. Por tanto, incumple el punto 11 del articulo 4 del RGPD, los puntos 24, 27, 39 de las directrices del CEPD.

Para la segunda, actualmente he probado en diferentes webs, y si aceptas cookies y luego rechazas el consentimiento, muestran el muro de “consiente o paga”. Esto incumple el considerando 42 del RGPD y los puntos 46 y 114 de las directrices del CEPD.

Para la tercera pregunta, esto no lo he podido comprobar, tendría que comprobarlo alguien que pague, pero si que he podido comprobar que la gran mayoría de webs tiene una mala configuración de cookies en la que realizan tratamiento y envío de datos antes de aceptarlas o rechazarlas, lo que incumple RGPD. esto podéis verlo en el apartado multimedia de mi cuenta @juanro49@fe.disroot.org https://fe.disroot.org/@juanro49/media, donde hace tiempo estuve analizando diferentes webs y adjunté imágenes de ese incumplimiento.

Para la cuarta pregunta, como es evidente, el tracking no es imprescindible para que funciones una web.

Además el “Cookie compilance” de la UE indica que se debe permitir a los usuarios acceder a su servicio incluso si se niegan a permitir el uso de ciertas cookies.

Con esto, se puede ver que el consiente o paga que fomenta la AEPD, es ilegal ya que incumple varios aspectos del RGPD y de directrices aclaratorias que hace la CEPD sobre éste, pero claro, hasta que se reclame y haya sentencias en contra, para lo que puede pasar meses o mas de un año, al ser la AEPD la máxima autoridad de protección de datos en España, es “legal”.

Y esto no lo digo solo yo, lo dicen los tribunales, porque esto no es nuevo, es algo que en otros países como Austria o Alemania ha estado vigente, e incluso hace pocos meses lo adoptó Meta y con lo que @noybeu@mastodon.social se ha peleado como se indica en estas noticias

“Pay or Okay” on tech news site heise.de illegal, decides German DPA. Major implications for many other German news pages.

“Pay or Okay” - the beginning of the end? “PUR Abo” on derStandard.at illegal according to Austrian DPA

¿Que los medios necesitan financiación? Por supuesto, los periodistas no trabajan gratis y tienen que comer, aunque tengan que aguantar que el mantenido que manda en su empresa se quede con la mayor parte de esas ganancias y a ellos les pague una miseria, pero que lo hagan de forma legal y de forma ética, es decir, ¿Quieren publicidad? Perfecto, Pon publicidad no personalizada que no afecte a la privacidad del usuario. ¿Que quieres restringir el acceso a la web? Perfecto, pon artículos de pago como ya hacen diferentes medios, en lugar de una configuración ilegal de cookies. Pero si usan prácticas poco legítimas o ilegales de financiación que perjudiquen al resto, que no vengan llorando a los usuarios si éstos usan prácticas que les jodan a ellos.

Esto recordando que servicios como Google Analitycs, que usan casi todas esas webs, incumplen RGPD, es mas, todo servicio de empresa con sede en USA es ilegal en la UE, ya que incumplen el RGPD debido a la ley Cloud Act que allí existe. Por eso por mucho que se esfuercen desde la UE con los escudos de privacidad y diferentes tratados de cesión de datos, todos serán tumbados por los tribunales mientras siga vigente. Max Schrems ya ha conseguido tumbar 2 tratados, y los que quedan.

Mientras se declara ilegal, ¿Como me salto este abuso?

Aunque incumple RGPD, al permitirlo la AEPD no será declarado ilegal hasta que se reclame y haya sentencia, lo que puede tardar bastante. Mientras, tendremos que lidiar con esos mensajes… o no, porque como sabéis, las restricciones en internet son como poner puertas al campo.

Lo primero de todo, es que os instaléis en vuestro sistema un navegador decente como Firefox, o derivados de éste, como pueden ser también LibreWolf o Mull para Android y dejéis de usar las basuras de Chrome, Edge, Safari etc, porque eso es lo que son, basura cuyas empresas se enriquecen a costa de tu privacidad.

Las pestañas privadas tampoco valen, se ha demostrado que no son tan privadas. Además, al aceptar las cookies de seguimiento, das permiso a que la web ceda a terceros, mediante la herramienta de analíticas y seguimiento que usen, tus datos (IP, dispositivo, etc), aunque solo sea mientras estás en esa sesión “privada”, los cuales se pueden relacionar con datos que ya tienen para identificarte. Es decir, las cookies no son malas per se, son los permisos que das al aceptar ciertas de ellas, y si das esos permisos una vez, ya han recopilado datos suficientes que puedan ligar a un perfil que ya tengan de ti para monetizar tu información.

Una vez instalado, lo primero que hay que hacer es en el apartado de privacidad, poner la protección contra rastreo en modo estricto para bloquear todo lo posible y marcar las opciones para evitar rastreo.

Protección rastreo Firefox No rastrear

Como esa protección es limitada, vamos a necesitar ayuda adicional en forma de extensiones:

  • uBlock: Imprescindible en el internet del siglo XXI, bloquea todo tipo de rastreo, lo usaremos para bloquear el banner de cookies
  • Privacy badger: Otro bloqueador de trackers, complementario a uBlock
  • LocalCDN: Reemplaza librerias remotas innecesarias con contenido local, evitando peticiones a servicios de rastreo.
  • NoScript: Bloquea los scripts de las webs. Usar solo si se es usuario “avanzado” ya que puede “romper” webs.

Una vez instalados (yo voy con uBlock, privacy badger y localcdn), ya podremos navegar de forma casi tranquila. Personalmente no recomiendo las extensiones que rechazan automáticamente las cookies, ya que en casos como éste que dan la opción de aceptar o rechazar pagando, las aceptan automáticamente.

Para poder rechazar las cookies sin pagar, tenemos dos opciones:

  • Deshabilitar javascript en la web. Esto podemos hacerlo con NoScript y también con uBlock Deshabilitar javascript

  • Si la pagina web no funciona sin javascript, podemos configurar un filtro en uBlock. En España, la gran mayoría de webs usan el SDK de Didomi para gestionar los banners, por lo que tendremos que bloquear las peticiones del banner. para ello, en la seccion de filtros de uBlock, tendremos que añadir la linea ||privacy-center.org^ y aplicar cambios. Con eso, bloquearemos los banners de la gran mayoría de webs. Si para alguna no funciona, tendremos que depurar las conexiones que hace esa web, para ver cual es la que lanza el banner para bloquearla añadiéndola a los filtros. Filtros uBlock

  • Otra opción es usar el modo lectura de Firefox si no se sabe configurar lo anterior

Otro aspecto importante es con Privacy Badger, bloquear las conexiones a servicios de analíticas que incumplan RGPD, como analitycs de Google, Microsoft, Amazon, etc. De esta forma invalida el uso de esas herramientas por parte de webs y si se quejan, que migren a otras que si cumplan RGPD como Matomo por ejemplo, ya que no se puede permitir que se financien a costa de la privacidad de los usuarios.

Otra opción es directamente no acceder a sus webs y que les den. Para ello, existe una recopilación de medios que usan este mecanismo para bloquearlos https://codeberg.org//kyva/activismo-digital/src/branch/main/niPagarNiCookies.md.


Este artículo de @Juanro49@plume.nogafam.es está licenciado bajo CC BY-SA 4.0

moneda libre G1