Columnas
“Pay or Ok”: examinando la validez del consentimiento en línea
El proyecto de ley de protección de datos en Chile plantea desafíos respecto a la validez del consentimiento en línea. ¿Es genuino el consentimiento cuando se debe elegir entre aceptar el uso de datos o pagar por privacidad?
Por Jorge Tisné Niemann *
En nuestro país, como es sabido, el esperado proyecto de ley de protección de datos (“PDL”), que modifica sustancialmente la actual ley N° 19.628, se encuentra en el tercer trámite constitucional. La comisión mixta se ha reunido en distintas oportunidades y se espera que logre destrabar las últimas diferencias en el corto plazo. Con esto, Chile tendría un nuevo estándar en la materia, exigiendo la máxima diligencia de todos los responsables que tratan datos personales para adaptar sus procesos a dichos lineamientos.
Si bien las modificaciones que el PDL contempla son variadas, se debe advertir que, en materia de fuentes de licitud, el consentimiento continúa siendo la regla general para tratar datos personales. Ahora bien, el consentimiento propuesto es más riguroso que el que se recoge en la actual ley N° 19.628, pues en general, solo será válido en la medida que el responsable logre acreditar que fue otorgado por el titular de forma (i) libre, (ii) informada, (iii) específica respecto a sus finalidades, (iv) previa y (v) de manera inequívoca, sea a través de una declaración verbal, escrita, un medio electrónico equivalente o mediante un acto afirmativo para declarar su voluntad.
En relación con este nuevo estándar, similar al europeo previsto en el Reglamento General de Protección de Datos (“RGPD”), actualmente existe un modelo de negocios implementado por plataformas digitales que ha tensionado la validez del consentimiento. Esta conducta supone la implementación de modelos denominados “pague o acepte” (pay or ok) en los que el responsable del tratamiento ofrece al titular una alternativa dual para acceder al servicio en línea.
La primera posibilidad consiste en aceptar inmediatamente el tratamiento de sus datos, incluyendo el seguimiento a sus hábitos de navegación, para luego ser objeto de publicidad comportamental basada en su perfil específico e intereses (behavioral targeting). Como alternativa, se ofrece al titular pagar una comisión o tasa (que puede ser única, semanal, mensual o anual) para acceder a los servicios sin que su información sea tratada, evitando así ser objeto de publicidad basada en comportamiento. En caso de no optar por ninguna de estas opciones, generalmente se le niega al titular la posibilidad de acceder al servicio en línea.
El modelo de consentimiento o pago ha requerido evaluar la libertad en el consentimiento, lo que a su vez, permite atribuirle validez como fuente de legalidad para el tratamiento de datos personales. La pregunta subyacente es: ¿tiene el titular una alternativa real y genuina al prestar su consentimiento cuando para acceder a un servicio, debe elegir entre aceptar el tratamiento de sus datos con la finalidad de recibir publicidad comportamental o, en caso contrario, pagar para resguardar su privacidad?
Esta pregunta supone un interesante caso en donde coinciden derechos como la libertad de desarrollar una actividad económica y el derecho a la protección de datos. La nueva disyuntiva que presenta el modelo en comento no es de fácil solución pues existen distintos argumentos plausibles.
Por ejemplo, en la Guía sobre el uso de Cookies de la Agencia Española de Protección de Datos (enero de 2024), específicamente se dispone que “podrán existir determinados supuestos en los que la no aceptación de la utilización de cookies impida el acceso al sitio web o la utilización total o parcial del servicio, siempre que se informe adecuadamente al respecto al usuario y se ofrezca una alternativa, no necesariamente gratuita, de acceso al servicio sin necesidad de aceptar el uso de cookies” (p. 29).
Frente a este escenario, las agencias de Países Bajos, Noruega y Hamburgo (Alemania) requirieron al Comité Europeo de Protección de Datos (“EDPB”) para que se pronunciara sobre la validez del consentimiento en el nuevo modelo implementado por grandes plataformas digitales (lo anterior conforme al artículo 64 del RGPD). El EDPB emitió su Opinión 8/2024 con fecha 17 de abril, mediante el cual entregó lineamientos específicos sobre la materia.
En ese sentido, el EDPB revisó pormenorizadamente los requisitos con los que debe contar un consentimiento válidamente otorgado para luego ofrecer consideraciones al modelo objeto de estudio. Así, concluyó que, en la mayoría de los casos, las grandes plataformas tendrán dificultades para demostrar la validez del consentimiento si ofrecen a los titulares de datos solo la opción binaria de aceptar el tratamiento de sus datos para la publicidad comportamental o pagar una tasa para evitarlo.
Asimismo, destaca que el derecho a la protección de datos no debe ser entendido como un producto comercializable. Por lo tanto, no puede transformarse en un privilegio que pueda ser aprovechado exclusivamente por aquellos que puedan pagar por él. Luego, se propone ofrecer una tercera alternativa equivalente y diversa a los titulares, que no suponga el pago de una tasa y que no conlleve el tratamiento de sus datos para publicidad comportamental (aunque pudiendo involucrar otros tipos de tratamientos).
Esta nueva alternativa, además, debe cumplir con los principios del tratamiento de datos previstos en el RGPD. Una medida como la descrita permitiría al responsable del tratamiento acreditar que el titular tuvo la posibilidad de optar libremente por esa alternativa, lo que redundaría en un consentimiento otorgado válidamente conforme a los principios y reglas que orientan la protección de datos.
Si bien estas consideraciones del EDPB deben ser analizadas caso a caso y están planteadas a la luz del RGPD, es innegable que dicho cuerpo normativo ha servido de base para el PDL nacional. En ese sentido, las prevenciones planteadas en este y otros casos deben ser examinadas en nuestro país con el objeto de orientar la implementación práctica de la próxima regulación en la materia.
Asimismo, el modelo pay or ok demuestra una vez más que la disciplina de la protección de datos es dinámica, debiendo abordar y responder frente a inéditos desafíos que plantean los desarrollos tecnológicos y las distintas industrias. Lo anterior, resulta especialmente importante para garantizar el debido resguardo al derecho fundamental a la autodeterminación informativa consagrado en el artículo 19 N° 4 de la Constitución de Chile.
* Jorge Tisné Niemann es Asociado Senior área IP, datos y tecnología de Bofill Mir Abogados. Doctor en Derecho, Universidad de los Andes y LLM en Tecnología, Innovación y Derecho de la Universidad de Edimburgo.