La Corte Administrativa Federal de Austria ha confirmado la decisión previa de la autoridad de protección de datos (DSB), declarando que el modelo denominado “pay or OK” implementado por el diario Der Standard vulnera el Reglamento General de Protección de Datos (RGPD). Este modelo obligaba al usuario a elegir entre pagar una suscripción mensual de 9,90 € para evitar el rastreo o consentir sin alternativa alguna el tratamiento de sus datos personales con fines publicitarios.
La infracción radica en que dicha modalidad ofrecía únicamente una decisión binaria: aceptar el rastreo o pagar, sin posibilidad de otorgar un consentimiento diferenciado por finalidad —como exige el RGPD—. La ley europea exige que los interesados puedan consentir de forma granular para cada tipo de tratamiento, algo que el sistema “pay or OK” no posibilitaba.
Der Standard, apelando la decisión original, alegó que implementar un consentimiento granular era inviable desde el punto de vista técnico, ya que depende del rastreo y estadísticas para sostener su modelo publicitario si el usuario no paga. Sin embargo, la Corte rechazó esta justificación, estimando que no exime del cumplimiento de los requisitos legales del RGPD.
Max Schrems, abogado y activista de noyb, calificó el modelo como una forma de “consentimiento norcoreano”, ya que, aunque solo entre el 1 % y el 7 % de los usuarios aceptan voluntariamente el seguimiento, bajo este sistema el porcentaje se dispara al 99,9 % —lo que evidencia que el usuario realmente no tiene una elección libre.
La resolución permite la interposición de un recurso ante el Tribunal Administrativo Supremo de Austria (VwGH), el cual probablemente elevará el caso ante el Tribunal de Justicia de la Unión Europea (TJUE), dada la relevancia jurídica y la necesidad de unificación interpretativa en materia de consentimiento y privacidad digital.
Este pronunciamiento se suma a otras decisiones contra modelos similares. En abril de 2025, la Comisión Europea impuso una sanción de 200 millones de euros a Meta, por utilizar un esquema equivalente (“pagar o consentir”) en plataformas como Instagram y Facebook, en violación del reglamento sobre mercados digitales (DMA). Además, la Autoridad Europea de protección de datos opinó ya en abril de 2024 que la práctica de “consent-or-pay” no constituye un consentimiento válido en la mayoría de los casos bajo el RGPD.
La decisión austriaca refuerza la exigencia de transparencia y libre elección en el tratamiento de datos personales en la UE. Modelos que coaccionan a los usuarios, incluso de forma sutil, quedan al margen del principio de consentimiento libre y específico que protege el RGPD. Será crucial vigilarlos, especialmente porque su invalidación judicial podría sentar jurisprudencia y orientar las prácticas correctas en medios digitales y plataformas en toda Europa.
