Hoy, al visitar casi cualquier sitio web europeo, se encontrará con un muro antes de leer una sola palabra de contenido. No es un muro de pago tradicional, sino algo más extraño: un banner de aceptar o pagar[s] que le obliga a elegir entre aceptar el rastreo publicitario invasivo o entregar los datos de su tarjeta de crédito. El jefe nos pidió investigar cómo esto se volvió legal, y la respuesta, sinceramente, es más indignante que los propios banners.
Qué significa realmente aceptar o pagar
El modelo es simple. Un sitio web bloquea el acceso a su contenido y presenta dos opciones: “Aceptar” (lo que activa cookies de rastreo, perfiles conductuales y publicidad dirigida) o “Suscribirse” (pagar una cuota mensual, generalmente entre tres y trece euros, para navegar sin ser rastreado). No hay una tercera alternativa. Su privacidad tiene un precio.
El grupo defensor de la privacidad noyb descubrió que estos sistemas de aceptar o pagar logran tasas de consentimiento del 99 % al 99.9 %[s], mientras que estudios muestran que solo entre el 0.16 % y el 7 % de las personas realmente desean ser rastreadas. Esa brecha lo dice todo: casi nadie elige el rastreo porque lo quiere. Lo elige porque la alternativa cuesta dinero que no desea gastar en un sitio que quizá visite una sola vez.
¿Cómo llegamos aquí desde 2010?
En 2010, internet no se parecía en nada a esto. Las cookies existían, por supuesto. Llevaban presentes desde mediados de los 90, creadas como un mecanismo simple para que los servidores web distinguieran un navegador de otro[s]. Podía eliminarlas cuando quisiera. No había ventanas emergentes pidiendo su consentimiento, ni muros de pago vinculados a sus preferencias de privacidad. Simplemente navegaba.
El problema comenzó con buenas intenciones. La Directiva de Privacidad Electrónica de la UE, aprobada originalmente en 2002 y modificada en 2009[s], introdujo el requisito de que los sitios web obtuvieran consentimiento antes de colocar cookies no esenciales en su dispositivo. El objetivo era proteger a las personas del rastreo invisible. El resultado fue la primera ola de banners de cookies, molestos pero que al menos ofrecían una elección genuina entre sí o no.
Luego llegó el Reglamento General de Protección de Datos (RGPD) en 2018, que endureció aún más los requisitos de consentimiento. Los sitios web ya no podían esconder una casilla de “Acepto” preactivada en sus términos de servicio. El consentimiento debía ser libre, específico, informado e inequívoco. Esto era un avance sobre el papel. En la práctica, generó una carrera armamentista entre reguladores que escribían normas más estrictas y empresas que encontraban formas creativas de eludirlas.
El modelo de aceptar o pagar fue la última solución creativa. Periódicos en Austria y Alemania lo impulsaron, y en noviembre de 2023, Meta lo adoptó para Facebook e Instagram en toda Europa, tras una señal del máximo tribunal de la UE de que el consentimiento era la única base legal[s] para su publicidad dirigida.
¿Es realmente legal algo de esto?
Depende de a quién se pregunte y del tamaño de la empresa. En abril de 2024, la Junta Europea de Protección de Datos (EDPB, por sus siglas en inglés) emitió el Dictamen 08/2024[s], que estableció que, para las grandes plataformas en línea, los modelos de aceptar o pagar “no serán posibles” de cumplir con los requisitos de consentimiento del RGPD “en la mayoría de los casos”. La presidenta de la EDPB lo dijo claramente: “Los responsables del tratamiento deben asegurarse en todo momento de no convertir el derecho fundamental a la protección de datos en una característica por la que los individuos deban pagar para disfrutarla”.
En el caso específico de Meta, la Comisión Europea fue más allá. En abril de 2025, multó a Meta con 200 millones de euros[s] por violar la Ley de Mercados Digitales con su modelo de aceptar o pagar. El razonamiento de la Comisión fue directo: un servicio de pago no puede ser una alternativa equivalente a un servicio históricamente gratuito[s] porque las condiciones de acceso son fundamentalmente distintas.
Pero aquí está el detalle: esto no significa que el modelo de aceptar o pagar esté prohibido de forma absoluta. Editores y sitios web más pequeños aún lo utilizan, y algunos reguladores nacionales en Austria, Francia y Países Bajos han señalado que podría ser aceptable si se implementa de manera justa, con precios razonables y sin diseños manipulativos. El dictamen de la EDPB se dirigió específicamente a las grandes plataformas, y las directrices más amplias aún están en desarrollo.
¿Podemos volver al internet de 2010?
No realmente. La infraestructura de rastreo que hace rentable el modelo de aceptar o pagar no existía en 2010. Hoy, cada editor de sitios web, aplicación móvil y marca publicitaria participa en sistemas de pujas en tiempo real[s] para mostrar anuncios personalizados. Ese ecosistema genera ingresos que financian el internet gratuito como lo conocemos. Desmantelarlo requeriría un nuevo modelo de negocio para el contenido en línea o un nivel de regulación que aún no existe.
La propuesta Digital Omnibus de la UE, publicada en noviembre de 2025, intenta reducir el problema. Busca trasladar las normas sobre cookies al marco del RGPD, crear señales de consentimiento basadas en navegadores[s] para que usted configure sus preferencias una sola vez y los sitios web las respeten automáticamente, y prohibir volver a solicitar el consentimiento durante seis meses[s] después de una negativa. Pero la propia Comisión admite que la fatiga por los banners de cookies es un problema cuya solución está “muy retrasada”[s], y los analistas legales afirman que el fin tan esperado de los banners de cookies aún no está a la vista[s].
El sistema basado en navegadores suena prometedor, pero los estándares técnicos aún no existen y no serán obligatorios hasta alrededor de 2028 como muy pronto. Incluso el cronograma optimista sitúa la adopción completa del Digital Omnibus en 2027.
Qué significa esto para usted
Por ahora, está atrapado con los banners de aceptar o pagar en muchos sitios web europeos. El mejor consejo práctico: use un navegador que bloquee las cookies de terceros por defecto (Firefox y Safari ya lo hacen), instale un bloqueador de contenido y sepa que hacer clic en “Aceptar” en un muro de aceptar o pagar significa que está aceptando ser perfilado en la web con fines publicitarios. Si un sitio no le permite entrar sin rastreo o pago, pregúntese si el contenido realmente vale alguno de esos precios.
El internet de 2010 no volverá. Pero el internet de 2028 podría ser marginalmente menos hostil, si la UE logra terminar lo que empezó.
El modelo de aceptar o pagar, a veces llamado “pagar o aceptar”, representa el último y posiblemente más sofisticado intento de conciliar los requisitos de consentimiento del RGPD con las realidades económicas de la publicación digital financiada por publicidad. La persona que dirige esta publicación nos pidió rastrear cómo este mecanismo se volvió legalmente viable, y la arqueología regulatoria revela un sistema que nadie diseñó a propósito.
Aceptar o pagar: orígenes regulatorios
El andamiaje legal comienza con la Directiva de Privacidad Electrónica de 2002, modificada en 2009[s], que cambió la gobernanza de las cookies de un régimen de exclusión voluntaria a uno de inclusión voluntaria. El Artículo 5Cláusula de defensa colectiva de la OTAN en el Tratado del Atlántico Norte. Establece que un ataque armado contra un Estado miembro se considera un ataque contra todos, desencadenando una respuesta militar colectiva.(3) de la directiva modificada exigía consentimiento informadoUn requisito ético y legal en la investigación que los participantes deben estar completamente informados sobre la naturaleza, los riesgos, los beneficios y los procedimientos de un estudio, y deben aceptar voluntariamente participar sin coerción ni tergiversación. Un principio clave en la ética de la investigación. previo para todas las cookies no esenciales. La implementación fue desigual entre los Estados miembros, y la interacción de la directiva con el RGPD (que llegó en 2018) creó un problema de doble regulación: la colocación de cookies regida por la privacidad electrónica, el procesamiento de datos personales regido por el RGPD, con requisitos de consentimiento superpuestos pero no idénticos.
El modelo de aceptar o pagar surgió de esta brecha regulatoria. Los editores, enfrentados a ingresos publicitarios en declive y costos de cumplimiento en aumento, reconocieron que el consentimiento según el Artículo 6(1)(a) del RGPD, si se obtenía, proporcionaba la base legal más clara para la publicidad conductual. La pregunta era cómo maximizar las tasas de consentimiento sin violar el requisito de “libremente otorgado” del Artículo 4(11). Editores de noticias austriacos y alemanes fueron pioneros en el modelo binario: consentir el rastreo o pagar una cuota de suscripción. El enfoque se extendió rápidamente, y para finales de 2023, Meta lo había adoptado para Facebook e Instagram en todo el Espacio Económico Europeo.
La respuesta del TJUE y la EDPB
La reacción legal llegó por dos frentes. Primero, en julio de 2023, el Tribunal de Justicia de la Unión Europea dictaminó en el Caso C-252/21 (Meta Platforms contra Bundeskartellamt) que el consentimiento era la única base legal adecuada para la publicidad conductual de Meta basada en rastreo y perfiles[s]. El fallo desmanteló los sucesivos intentos de Meta de basarse en la necesidad contractual (Artículo 6(1)(b)) y el interés legítimo (Artículo 6(1)(f)), obligando efectivamente a la empresa a procesar datos basándose en el consentimiento. El activista de la privacidad Max Schrems lo llamó “el día del colapso del RGPD para Meta”[s], argumentando que el tribunal había cerrado todas las lagunas que los abogados de Meta habían explotado durante cinco años.
Segundo, en abril de 2024, la EDPB adoptó el Dictamen 08/2024[s], que abordó directamente el modelo de aceptar o pagar. La Junta concluyó que, para las grandes plataformas en línea, una elección binaria entre consentir la publicidad conductual y pagar una cuota “no será posible” para satisfacer los requisitos de validez del RGPD “en la mayoría de los casos”. El Dictamen aplicó cuatro criterios: condicionalidad, perjuicio, desequilibrio de poder y granularidad. En cada aspecto, las grandes plataformas con posiciones dominantes en el mercado y bases de usuarios cautivas enfrentaban barreras casi insuperables para demostrar que el consentimiento había sido otorgado libremente.
La EDPB recomendó que las plataformas ofrecieran una “alternativa equivalente” que no requiriera pago, como publicidad contextualPublicidad en línea basada en el contenido de una página web en lugar del seguimiento de usuarios o datos de comportamiento. con un procesamiento mínimo de datos personales. Esto no era una prohibición absoluta del modelo de aceptar o pagar; los editores más pequeños sin dominio del mercado podrían potencialmente cumplir con los criterios. Pero el Dictamen estableció una trayectoria clara.
La dimensión de la DMA y la multa de 200 millones de euros a Meta
La Comisión Europea atacó el modelo de aceptar o pagar desde otro ángulo: el derecho de la competencia. En abril de 2025, la Comisión multó a Meta con 200 millones de euros[s] según la Ley de Mercados Digitales por su modelo binario de consentimiento en Facebook e Instagram. El razonamiento legal se basó en el Artículo 5(2) de la DMA, que exige a los guardianes de acceso presentar a los usuarios una “elección específica” que incluya una “alternativa equivalente” a consentir el procesamiento de datos personales para publicidad.
La posición de la Comisión fue que un servicio de pago no puede ser equivalente a un servicio históricamente gratuito[s] porque las condiciones de acceso son fundamentalmente distintas. Este razonamiento importó los principios de consentimiento del RGPD a la aplicación de la competencia, creando una pinza regulatoria: incluso si un modelo de aceptar o pagar sobrevivía al escrutinio del RGPD, aún podía fracasar bajo la DMA para los guardianes de acceso.
El caso empírico contra el modelo es contundente. El informe de noyb de 2025[s] documentó que los sistemas de aceptar o pagar producen tasas de consentimiento del 99 % al 99.9 %, mientras que estudios independientes muestran que la disposición genuina a aceptar el rastreo es del 0.16 % al 7 %. El mismo informe encontró que los editores ganan un promedio de 0.24 euros por usuario al mes con publicidad programáticaCompra y venta automatizada de anuncios digitales utilizando algoritmos y pujas en tiempo real, que permite a los anunciantes llegar a audiencias específicas a escala con una intervención humana mínima., mientras que la opción de “pagar” suele costar 3.24 euros por usuario al mes, un margen de más del 1,000 %. La publicidad digital representa aproximadamente el 10 % de los ingresos de la prensa en general, y la publicidad dirigida específicamente alrededor del 5 %, lo que significa que el modelo de aceptar o pagar aumenta los ingresos totales de la prensa en aproximadamente un 0.82 % en promedio.
El precedente austriaco y la granularidad
Un desarrollo paralelo a nivel nacional complica el panorama. En agosto de 2025, el Tribunal Administrativo Federal de Austria falló en contra del periódico DER STANDARD, determinando que el consentimiento global a fines de procesamiento agrupados viola el principio de granularidad del RGPD[s]. El tribunal no rechazó el modelo de aceptar o pagar en sí, pero dictaminó que la implementación de “todo o nada”, donde aceptar significa consentir todos los fines de procesamiento simultáneamente, era inválida. Esto sugiere un camino a seguir para los editores dispuestos a ofrecer opciones de consentimiento granular dentro de un marco de aceptar o pagar, permitiendo a los usuarios aceptar análisis pero rechazar publicidad conductual, por ejemplo.
El Digital Omnibus: reforma sin revolución
La propuesta Digital Omnibus de la Comisión Europea, publicada en noviembre de 2025, representa el intento más integral de abordar los problemas estructurales que crearon el fenómeno de aceptar o pagar. Las medidas relacionadas con las cookies incluyen: trasladar la regulación de cookies de la Directiva de Privacidad Electrónica al RGPD mediante un nuevo Artículo 88a; señales de consentimiento basadas en navegadores que permiten a los usuarios establecer preferencias una sola vez[s]; una pausa de seis meses[s] que impide solicitudes repetidas de consentimiento tras una negativa; y exenciones limitadas para cookies de seguridad y análisis agregados de primera parte.
La propia Comisión reconoció que “la fatiga por el consentimiento y la proliferación de banners de cookies” es un problema cuya solución regulatoria está “muy retrasada”[s], una admisión notable para un marco creado en gran parte por la legislación de la UE. Sin embargo, el análisis legal de Osborne Clarke concluye que el fin tan esperado de los banners de cookies aún no está a la vista[s]. Las cookies de marketing seguirán requiriendo consentimiento. El mecanismo basado en navegadores depende de estándares técnicos que aún no existen y no serán obligatorios hasta aproximadamente 2028. La propuesta exime explícitamente a los proveedores de servicios de medios de respetar las señales de consentimiento automatizadas, una excepción que prioriza los ingresos publicitarios de los editores sobre las preferencias de los usuarios.
Evaluación: persisten tensiones estructurales
El modelo de aceptar o pagar expone una tensión fundamental en la regulación digital europea. El RGPD exige un consentimiento libremente otorgado para el procesamiento de datos. El internet financiado por publicidad exige el procesamiento de datos para sobrevivir económicamente. El modelo de aceptar o pagar intenta cerrar esa brecha monetizando la negativa al consentimiento, lo que no satisface ni a los defensores de la privacidad (que lo ven como coerción) ni a los editores (que ganan marginalmente más mientras enfrentan incertidumbre legal en 27 Estados miembros con interpretaciones divergentes).
La respuesta regulatoria ha sido fragmentada. La EDPB se dirige a las grandes plataformas pero pospone directrices más amplias. La DMA se enfoca en los guardianes de acceso pero no se aplica a la mayoría de los editores. Los tribunales nacionales, como el de Austria, abordan detalles de implementación pero no la legitimidadLa aceptación y reconocimiento de la autoridad gubernamental por la población, basada en la creencia de que el gobierno tiene derecho a gobernar. fundamental del modelo. Y el Digital Omnibus, incluso si se adopta a finales de 2026, no producirá una alternativa funcional hasta 2028 como muy pronto.
El internet de 2010, donde las cookies eran molestias eliminables en lugar de instrumentos de una economía de vigilancia respaldada por infraestructura de pujas en tiempo real universal[s], no es recuperable solo mediante regulación. Lo que la regulación puede hacer, y está haciendo lentamente, es establecer que la privacidad es un derecho, no una característica premium. Si ese principio sobrevivirá al contacto con la economía de la publicación digital sigue siendo la pregunta definitoria de la política tecnológica europea.
