La respuesta de la AEPD sobre el “Pay or okay” de las cookies


¿Alguna vez has entrado a una página web y te ha salido un banner de cookies en el que te obligan a pagar por rechazar las cookies? Pues que sepas que esto ya no es legal.

A esta práctica le llaman el “Pay or okay”. En este caso es una forma de manipular al usuario para que acabe aceptando las cookies con tal de no tener que pagar por rechazarlas.

Ya os comentamos en el anterior artículo que no estábamos a favor de ello, pero que era una práctica que estaba en auge, sobre todo en las páginas web de los medios de comunicación. Y, por fin, la AEPD (Agencia Española de Protección de Datos) se ha posicionado en contra de esta práctica, siguiendo con lo que ha señalado el CEPD (Comité Europeo de Protección de Datos) en el dictamen 8/2024.

En las pasadas semanas la AEPD ha actualizado su Guía sobre el Uso de las Cookies y ha añadido esta información en el punto 3.2.10 sobre la “posibilidad de denegación de acceso al servicio en caso de rechazo a las cookies”.

En este apartado se deja claro que para que se exprese el consentimiento de forma libre, el acceso a los servicios y funcionalidades de una página web no puede supeditarse a la aceptación de las cookies.

¿Entonces qué alternativas se pueden utilizar? Te explicamos los cambios más relevantes de esta normativa a continuación:

  • No se pueden utilizar los “muros de cookies” que obliguen al usuario a tener que aceptar las cookies para poder acceder al servicio o sitio web.
  • Se puede denegar el acceso al servicio o a funcionalidades concretas si las cookies son necesarias para su funcionamiento, pero siempre que se informe adecuadamente al usuario y que se ofrezca una alternativa equivalente sin necesidad de aceptar las cookies. Esta opción podría ser de pago, pero no debe ser la única opción.
  • Las grandes plataformas (como redes sociales o medios de comunicación) no pueden ofrecer únicamente una alternativa de pago al servicio que incluya el tratamiento con fines de publicidad comportamental. Deberán buscar otras alternativas equivalentes que no impliquen el pago de una tarifa, como por ejemplo: un servicio gratuito con publicidad general o contextual (que no trate datos personales del usuario) o un servicio de pago que no incluya publicidad comportamental.

Con esta aclaración queda claro que el pago por evitar la publicidad comportamental no debe ser la opción predeterminada y que las cookies no deberían ser la única forma de acceder a un servicio o sitio web, sino que deben haber más alternativas.

Durante el primer semestre de 2025 el CEPD publicará una Guía de aplicación general sobre la validez del consentimiento en modelos “pay or okay”. Estaremos atentos para darte más detalles.

El equipo de PymeLegal