Ir al contenido

¿Es legal cobrar por rechazar cookies? Todo lo que debes saber

Cobrar por rechazar cookies es legal en España a día de hoy, pero se deben tener en cuenta varios aspectos para evitar sanciones. Conoce lo que dice la normativa vigente sobre cookies y el consentimiento de usuarios en sitios web, y cómo esto afecta a tu empresa.
Blog / ¿Es legal cobrar por rechazar cookies? Todo lo que debes saber
Publicado por Usercentrics
Tiempo de lectura 8 mins
Feb 20, 2025

¿Por qué algunas webs cobran por rechazar cookies?

Ante el escenario actual en que las leyes de protección de datos obligan a solicitar el permiso del usuario para instalar cookies no esenciales, muchas empresas han incluido en sus sitios webs banners de consentimiento que dan a elegir entre pagar o aceptar cookies. Es una de las formas en que empresas como, por ejemplo, los medios de comunicación, buscan sacar rentabilidad a su sitio web, consiguiendo información publicitaria de valor a cambio de ofrecer contenido. Esta táctica, también conocida como «pay or OK», puede resultar problemática a nivel legal. 

No hablamos, en este caso, de dejar de mostrar publicidad si el usuario no consiente o de instalar cookies no esenciales, sino de bloquear el acceso al sitio web si el usuario no quiere pagar ni aceptar cookies no esenciales. 

La Directiva ePrivacy establece las bases para el uso de cookies y tecnologías similares. Para garantizar la privacidad de datos, las empresas deben tener en cuenta algunos criterios.

Estas son algunas de las claves:

  • El uso de cookies no esenciales requiere el consentimiento del usuario
  • El banner de consentimiento debe ser visible, accesible e intuitivo
  • Se debe proporcionar una opción para aceptar, rechazar o gestionar las cookies de manera sencilla
  • La empresa tiene el deber de informar sobre las cookies que utiliza
  • El usuario debe poder acceder de forma fácil a la política de cookies y de privacidad
  • Se deben facilitar los canales oportunos para ejercer los derechos sobre los datos
  • La empresa tiene la responsabilidad de tomar las medidas necesarias para proteger los datos
  • Cualquier transferencia de datos a terceros, especialmente a nivel internacional, debe ser comunicada
  • El responsable del sitio web debe asegurarse de que los encargados del tratamiento cumplan con la legislación

Estos son solo algunos de los aspectos clave que las empresas deben tener en cuenta. En todo caso, es recomendable contar con el asesoramiento de un profesional en materia de protección de datos.

Comprueba en qué medida estás cumpliendo la normativa de protección de datos y evita multas con Usercentrics CMP.

Probar Usercentrics Web CMP

¿Permite el RGPD cobrar por rechazar cookies?

La cuestión de si se puede cobrar por rechazar cookies es un tema complejo y ha generado cierta controversia. El RGPD en concreto no se refiere a esta práctica en cuestión, así que no establece de forma explícita la prohibición ni autorización para ello. 

La Agencia Española de Protección de Datos publicó una guía sobre cookies en mayo de 2024 de la cual se deriva que, en sentido estricto, no es ilegal incluir la opción de pagar para no ser rastreado con tecnologías de seguimiento no esenciales. Una vez dicho esto, lo que sí se entiende claramente es que no se pueden ofrecer solo dos opciones opuestas: pagar o aceptar. 

La clave está en ofrecer una alternativa equivalente al usuario, aunque no sea gratuita. Es decir, si un usuario decide no aceptar cookies, debe tener la posibilidad de acceder a un servicio similar, aunque con algunas limitaciones. Además, el precio cobrado debe ser proporcional al valor de los datos recolectados y al servicio que se ofrece sin cookies.

La AEPD dice lo siguiente:

«El dictamen 8/2024 señala que, en la mayoría de los casos, no será posible que las grandes plataformas en línea cumplan los requisitos para entender que el consentimiento ha sido válidamente otorgado por los interesados si aquellas solo ofrecen a los usuarios una elección binaria entre el consentimiento para el tratamiento de datos personales con fines de publicidad comportamental y el pago de una tarifa que evite dichos tratamientos de datos personales.

Y añade el CEPD que la oferta de (únicamente) una alternativa de pago al servicio que incluya el tratamiento con fines de publicidad comportamental no debe ser el camino por defecto para los responsables del tratamiento, indicando que, al desarrollar la alternativa a la versión del servicio con tratamiento de datos personales para ofrecer publicidad comportamental, las grandes plataformas en línea deben considerar la posibilidad de proporcionar a los interesados una “alternativa equivalente” que no implique el pago de una tarifa».

Agencia Española de Protección de Datos. (2024). Guía sobre el uso de las cookies (p. 30, punto 3.2.9). https://www.aepd.es/guias/guia-cookies.pdf

Por lo tanto, si bien no hay un impedimento legal para ofrecer banners de consentimiento donde se dé la opción de pagar para no aceptar las cookies, ofrecer una elección binaria no garantiza que el consentimiento sea válido. Por tanto, la empresa que no valore este punto, podría arriesgarse a ser sancionada por la AEPD.

Cabe recordar que el consentimiento debe ser libre, específico e informado. Si las empresas no cumplen con estas condiciones, podrían infringir el artículo 7 del RGPD sobre las condiciones del consentimiento.

La guía también indica que se espera que durante el primer semestre de 2025 el CEPD publique una guía de aplicación general sobre la validez del consentimiento en modelos «pay or okay». Por tanto, conviene que las empresas se mantengan al tanto para evitar posibles multas económicas elevadas por incumplir la normativa vigente.

¿Qué implicaciones tiene para los usuarios?

Las personas que navegan por internet tienen el derecho a ser informadas en todo momento sobre cualquier clase de rastreo de su información. Desde su ubicación geográfica, dirección IP hasta sus hábitos de navegación, los usuarios pueden ser fácilmente identificados por sitios web y aplicaciones.

Este rastreo no solo puede afectar a su privacidad, sino que también puede ser utilizado para fines comerciales, como la publicidad personalizada, o incluso para fines más intrusivos. De acuerdo con la normativa vigente, como el RGPD, los usuarios tienen derecho a conocer cómo se utilizan sus datos personales y a controlar su privacidad en línea. 

A pesar de la creciente tendencia de cobrar por rechazar cookies, los usuarios pueden recurrir a recursos tecnológicos que les permitan protegerse, como:

  • El uso de navegadores que bloquean las cookies por defecto
  • Acceder a los sitios web desde el modo incógnito
  • Usar extensiones para bloquear anuncios y rastreadores
  • Solicitar una red privada virtual o VPN para navegar de forma encriptada

Hay que tener en cuenta que el modo incógnito solo funciona de manera parcial como estrategia de privacidad. Aunque las cookies se eliminen, los sitios web pueden utilizar otras técnicas para rastrear al usuario, como tu dirección IP o huellas digitales del navegador. Sin embargo, estas técnicas son menos precisas y menos directas que las cookies.

Ejemplos prácticos: empresas que aplican este modelo

El sitio web de la revista digital Xataka, que ofrece contenido variado de distintos temas especializados, como ciencia y tecnología, cuenta con un banner de consentimiento basado en el concepto «pay or OK». En su caso, el usuario que decide leer su contenido debe elegir entre rechazar las cookies y suscribirse al sitio o bien aceptar y leer gratis.

Las personas que aceptan ser rastreadas consienten así a que el responsable del tratamiento y sus 871 socios recopilen información personal, como su perfil de navegación, entre otros datos.

A continuación vemos otro ejemplo de banner de consentimiento, en este caso del periódico online OKDiario. En este caso se muestra en la imagen el banner que aparece como segunda capa, una vez el usuario rechaza el uso de cookies. Al rechazar el consentimiento, el usuario puede seguir navegando por el sitio web, pero con la limitación de no recibir contenido personalizado y posiblemente con una mayor presencia de publicidad genérica.

En el caso de Xataka, el usuario pierde el acceso a cualquier tipo de contenido si rechaza las cookies. Este tipo de banners son los que han generado más polémica y controversia. 

Buenas prácticas para las empresas respecto al uso de cookies

El uso de cookies es una práctica esencial para muchas empresas que operan en línea, pero también es una fuente de preocupación para los usuarios. Antes de instalar cookies en el dispositivo del usuario, asegúrate de obtener su consentimiento informado. Esto implica explicar claramente qué datos se recopilan y para qué se utilizan.

Diseña un banner que permita a los usuarios aceptar, rechazar o personalizar qué cookies desean permitir. Evita prácticas manipulativas como el uso de opciones confusas o colores que dificulten rechazar cookies.

Asimismo, mantén una política detallada en la que se explique el tipo de cookies utilizadas (necesarias, analíticas, publicitarias, etc.) y su finalidad. Incluye información sobre terceros que puedan tener acceso a los datos.

Respecto a las estrategias de monetización, una alternativa ética al uso indiscriminado de datos personales es ofrecer modelos de suscripción de pago que incluyan contenido premium o servicios adicionales. Este enfoque permite a las empresas generar ingresos mientras respetan la privacidad de los usuarios, evitando convertir sus datos personales en moneda de cambio. Aunque este modelo puede no ser aplicable a todos los sectores, es particularmente adecuado para aquellos que ofrecen contenido de alto valor, como medios de comunicación, plataformas educativas o servicios especializados.

Conclusión

Las empresas que operan con datos de ciudadanos de la UE deben aplicar el RGPD en su tratamiento de datos. Cobrar por rechazar cookies es una práctica legal bajo ciertas condiciones, pero es importante que se realice de manera transparente y respetando los derechos de los usuarios. La decisión de implementar esta práctica debe evaluarse cuidadosamente, considerando tanto los aspectos legales como éticos.

Es fundamental mirar con visión largoplacista cuando se trata de temas de privacidad. Las leyes son cada vez más estrictas y ,además, existen soluciones que facilitan automatizar y registrar los procesos. Invertir en mejorar los protocolos y recursos de protección de datos para empresas es invertir en el futuro.

Plataformas como Usercentrics ofrecen soluciones personalizadas para gestionar el consentimiento de cookies, automatizar procesos y garantizar el cumplimiento normativo, brindándote tranquilidad y mejorando la experiencia de tus usuarios.

Comprueba en qué medida cumples con la normativa de protección de datos y evita multas con Usercentrics CMP.

Descarga la checklist del RGPD

Descargo de responsabilidad: Usercentrics no provee asesoría legal y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.

Preguntas frecuentes

¿Es legal cobrar por rechazar cookies?

Sí, bajo ciertas condiciones. La normativa europea, como el RGPD, permite que las empresas cobren por rechazar cookies si cumplen con ciertos requisitos. El usuario debe conocer claramente las opciones que tiene (aceptar cookies, rechazarlas y pagar) y las consecuencias de cada una. Además, la opción de pago debe ofrecer un servicio similar al que se obtiene aceptando cookies, aunque sea más limitada. Respecto al precio, debe ser razonable lo que se pide para poder ofrecer el servicio sin cookies.

¿Qué dice la AEPD al respecto?

La Agencia Española de Protección de Datos (AEPD) ha emitido directrices sobre esta práctica, indicando que es legal siempre y cuando se cumplan los requisitos mencionados anteriormente. La AEPD enfatiza la importancia de que la información sea clara y comprensible para el usuario, y que este tenga la libertad de elegir sin sentirse presionado.

¿Cómo rechazar cookies sin pagar?

La mayoría de los navegadores permiten configurar las preferencias de cookies para bloquearlas o eliminarlas. Estas extensiones de navegador bloquean la mayoría de las cookies de seguimiento. Ciertos navegadores ofrecen una protección adicional y bloquean las cookies por defecto, como Brave o Firefox Focus. Además, la mayoría ofrecen un modo incógnito o privado que permite navegar sin ser rastreado.

¿Qué derechos tienen los usuarios?

Los usuarios tienen diversos derechos en relación con el tratamiento de sus datos personales y las cookies. En primer lugar, cualquier clase de tecnología de seguimiento no esencial debe ser aprobada de forma explícita antes de que el sitio web la instale. Además, los usuarios cuentan con el derecho a la información, a acceder a sus datos en cualquier momento, a pedir que se rectifiquen o supriman (derecho al olvido), a oponerse o solicitar su portabilidad. Asimismo, las empresas deben garantizar que el tratamiento de datos se realiza de forma segura, con medidas técnicas y organizativas para poder garantizarlo, y notificando al interesado en caso de que se produzca cualquier brecha de seguridad que afecte a su información personal.