¿Qué es un tracking wall y en qué se parece a las lentejas?

Explicaremos qué es un tracking wall y su relación con el consentimiento para el tratamiento de datos personales no limitado a lo estrictamente necesario.

La estrategia de la Unión Europea del Mercado Único Digital ha sido uno de los impulsores de la reforma que ha dado lugar al ya por todos conocido (y por muchos detestado), RGPD. Pero por si los juristas no tuviéramos poco, la UE no ha parado ahí y continúan los cambios para adaptar la normativa a la era actual.

Uno de estos otros cambios es la reforma de la Directiva 2002/58/EC, conocida como e-Privacy, posteriormente revisada en 2009 y que en España fue traspuesta en la LSSI (Ley de Servicios de servicios de la sociedad de la información y de comercio electrónico). Así, en enero de 2017 la Comisión Europea presentó una propuesta de Reglamento e-Privacy que sustituirá a la Directiva.

Desde entonces, el Reglamento ha pasado por varias propuestas, cientos de enmiendas, presiones lobistas y varios quebraderos de cabeza, y lo que queda por llover. Después de la Propuesta de la Comisión, a finales de 2017 vio la luz la Propuesta del Parlamento. Aún falta conocer la postura final del Consejo, y después comenzarán los trílogos, es decir, negociaciones a tres hasta tener una versión definitiva.

¿Era de verdad necesario actualizar también la Directiva e-Privacy?

Pues sí señores. Igual que era necesario darle un lavado de cara a la normativa de protección de datos, la e-Privacy también anda necesitada ya cambios. A ninguno se nos escapan los avances tecnológicos de los últimos años, las nuevas realidades de la economía digital y en concreto los cambios en el sector de las comunicaciones electrónicas.

El futuro Reglamento promete potenciar la seguridad y el buen uso de los datos independientemente de la tecnología que se use, porque la norma actual ya tiene lagunas, así como crear confianza en los servicios digitales.

¿Y no nos servía solo con el RGPD?

El RGPD actúa como norma general para regular tolo lo relativo al tratamiento de datos personales, cualquiera que sea el sector de actividad o la forma de tratamiento. Es como que el que tiene un primo médico de familia.

Por otro lado, el marco e-Privacy es la norma especial que regula todo lo que tenga que ver con comunicaciones electrónicas. Por ejemplo, las materias de comunicaciones comerciales no solicitadas (spam), las cookies y otras tecnologías similares o la confidencialidad de las comunicaciones (tanto el contenido como los metadatos), tienen una regulación especial en el marco e-Privacy. Este sería nuestro primo el médico especializado en cirugía.

Volvamos un poco al tema

Las personas podemos usar servicios como páginas web, plataformas de música o vídeo online, cuentas de email, servicios de mensajería instantánea, etc… sin pagar dinero. Eso es así porque los proveedores recogen cantidades masivas de datos sobre los usuarios a los que luego dan usos, como el perfilado y la publicidad comportamental y personalizada. Por eso cuando buscas en Amazon unas gafas de sol, las malditas gafas te persiguen por la web durante semanas, independientemente de la web que visites.

Esto mueve dinero (mucho), y supone ir un paso más allá de la publicidad contextual, que sería por ejemplo, mostrar anuncios de gafas de sol en una web relacionada con las gafas o con crema solar. Obviamente este tipo de publicidad también es útil, pero puede ser algo menos efectivo que perseguir a una persona con las gafas de sol exactas que ha buscado días atrás, aunque ahora visite una web que nada tiene que ver, como una web sobre café.

¿Y qué decías de las lentejas?

Para que esto funcione, en la Unión Europea se decidió que había que contar con el consentimiento de los usuarios, y de ahí vienen, entre otras cosas, los dichosos avisos de cookies.

Una forma un poco más directa de conseguir el consentimiento han sido los conocidos como “tracking walls”. Básicamente se trata se sistemas que dan al usuario dos opciones muy sencillas: o lo tomas o lo dejas, como las lentejas vamos. O lo tomas, y accedes al servicio o la web a cambio de que nos des consentimiento para que recojamos tus datos y los compartamos con terceros, o lo dejas y no puedes acceder al servicio. Esto crea una barrerra (wall) que solo puedes traspasar consintiendo a un tratamiento de datos que vas más allá de lo que es necesario.

Un ejemplo de cómo se presenta un “tracking wall” al usuario sería el de la imagen siguiente, que viene a decir algo así “Para que Medium funcione, recogemos datos de los usuarios y los compartimos con nuestros socios. Para poder usar Medium, debes aceptar nuestra Política de Privacidad, incluyendo la política de cookies”. Además del texto, solo se incluye la opción de aceptar los términos.

Consideraciones aparte sobre si antes de aceptar nuestros dispositivos ya tienen las cookies almacenadas (que eso es otra batalla), vamos a centrarnos en este tipo concreto de consentimiento. Antes de nada, tenemos que comprender que los datos que se recaban no son necesarios para prestar el servicio (ya sea el acceso a la web, a un servicio, ect.). Esto hace que los señores de la Unión Europea se retuerzan en su asiento y que hayan querido atajarlo de dos maneras: una, de forma general en el RGPD, y otra, de forma más específica en el Reglamento e-Privacy (o al menos en una de las propuestas, así que habrá que ver en qué queda al final).

La propuesta de Reglamento e-Privacy no contiene una definición de consentimiento, sino que nos envía a la del RGPD, que lo define como:

“toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen” (art. 4.11 RGPD).

Parece que el consentimiento recabado con fórmulas como las de la imagen de arriba no es muy libre. Pero es que además el RGPD también nos advierte de esto. El art. 7.4 dice que, si la prestación de un servicio se liga a la concesión de un consentimiento para tratar datos nuestros que no son necesarios, no ha habido libertad. Vamos que el consentimiento no es válido. Los considerandos 42 y 43 del RGPD también nos dan la misma idea.

Por si fuera poco, el Grupo de Trabajo del Artículo 29 en sus últimas Directrices sobre el consentimiento de abril de 2018 también se puso en el equipo contrario a lo que llamaban “bundled consent”. Se trata de un término surgido en Alemania, que viene a ser esto mismo.

Pero sin embargo, ni el RGPD ni el GT 29 dicen expresamente que las “tracking walls” estén expresamente prohibidas, sino que se trata de una presunción.

Para rizar un poco más el rizo, el Reglamento e-Privacy también ha querido meterse en el fregao. Bien es cierto que lo menciona en la versión del Parlamento, así que aún no sabemos si logrará colarse en la versión final, pero la versión enmendada del art. 8 dice (en inglés):

«No user shall be denied access to any information society service or functionality, regardless of whether the service is remunerated or not, on grounds that he or she has not given consent (…) to the processing of personal information (…) that is not necessary for the provision of a service or functionality”.

De una traducción no oficial de esto se extrae que lo que nos dice este párrafo es que a ningún usuario puede denegársele acceso a un servicio de la sociedad de la información solo por el hecho de no consentir a que se traten sus datos personales cuando estos no son necesarios. Y añade el párrafo, independientemente de que el servicio sea remunerado o no. Esta coletilla tiene trampa porque hay argumentos a favor de pagar con datos aquellos servicios que no se pagan con dinero (por tanto, a favor de las “tracking walls” para servicios gratuitos). De alcanzar la versión definitiva, esta prohibición expresa va a poner en aprietos a más de un publicista.

Conclusiones

En resumen, parece que cuando nos encontramos con una “tracking wall” o cualquier otra opción de “lo tomas o lo dejas”, no tenemos una opción real de elegir si queremos que se traten nuestros datos personales y el consentimiento puede no ser lícito. Esto es porque monitorizar de forma intensiva todo nuestro comportamiento online no es necesario para poder proveer a los usuarios de un servicio de, por ejemplo, comercio electrónico y puede ser abusivo. Por otro lado las “tracking walls” son solo una las formas en las que los usuarios nos encontramos con opciones del tipo “lo tomas o lo dejas”.

En el RGPD la redacción deja un mayor margen de subjetividad, aunque la propuesta de e-Privacy parece ir más a la diana.

Una opción es la oferta de servicios a cambio de dinero, pero sin anuncios, lo que parece que implicaría no recoger más datos de los necesarios (los conocidos como data-free services), como por ejemplo este:

El problema de estas opciones es que hay quien argumenta que con esto la privacidad y la protección de datos personales (que en la UE son derechos fundamentales), se convertirían en un derecho “de los ricos”. De aquellos que pudieran permitirse pagar para no ver anuncios.

Además, también se da la paradoja que se los usuarios decimos que nuestra privacidad nos importa más que nuestros padres (o hijos, o mascota, lo dejamos a cada uno), pero luego no actuamos en consecuencia y relevamos nuestros datos a cambio de cualquier cosa (como cuando damos acceso a sabe-Dios-qué cada vez que nos bajamos una app). De ahí que el debate se abra a propuestas más proteccionistas como la prohibición total de los “tracking walls” que nos protejan de ciertos abusos.

En todo caso, se trata de un tema abierto, sin una solución única pero sin duda de máxima “dat-actualidad”.