El pasado día 1 de octubre de 2019 el Tribunal de Justicia de la Unión Europea (“TJUE”) dictó sentencia sobre el consentimiento prestado por el usuario para el almacenamiento en el equipo de las famosas cookies.
Hechos enjuiciados
La empresa alemana Planet49 (en adelante, la “Empresa”) organizó en la web un juego con fines promocionales. Los usuarios que querían participar en dicho juego debían de facilitar su código postal, nombre y dirección. Asimismo, se solicitaba a dichos usuarios el consentimiento a determinados tratamientos de datos realizados por la Empresa, siendo necesario que consintiesen, al menos, uno de ellos.
La Empresa solicitó el consentimiento mediante las siguientes casillas:
(I) “Presto mi consentimiento para que determinados patrocinadores y empresas colaboradoras puedan informarme por correo, teléfono, correo electrónico o SMS sobre ofertas de su respectivo ámbito de actividad. Yo mismo puedo determinarlos aquí, en caso contrario serán elegidos por el organizador. Puedo revocar mi consentimiento en cualquier momento. Aquí puede obtener más información al respecto” (en adelante, “Primera Casilla”). Esta casilla no se encontraba marcada por defecto.
(II) “Presto mi consentimiento para el uso del servicio de análisis de páginas web Remintex. En consecuencia, el organizador del juego con fines promocionales, [Planet49], instalará cookies una vez me haya registrado para en el juego, lo que le permitirá analizar mi comportamiento de navegación y uso de páginas web de socios publicitarios y enviarme publicidad específica conforme a mis intereses a través de Remitrex. Puedo cancelar las cookies en cualquier momento. Aquí puede obtener más información” (en adelante, “Segunda Casilla”). Esta casilla se encontraba marcada por defecto.
El enlace electrónico que figuraba en la Segunda Casilla en la mención “aquí” conducía a un aviso donde se daba información de las cookies que se iban a almacenar en el equipo del usuario y explicaba también cómo el usuario podía revocar su consentimiento.
Tras lo antedicho, la Federación alemana de organizaciones y asociaciones de consumo (en adelante, la “Federación”) alegó ante los órganos jurisdiccionales alemanes que las declaraciones de consentimiento solicitadas por la Empresa mediante la Primera Casilla y la Segunda Casilla no cumplían con los requisitos exigidos en la normativa alemana y europea.
El Tribunal Regional alemán estimó parcialmente la demanda de la Federación. Tras esta estimación parcial de la demanda Planet49 recurrió hasta que el asunto llegó al Tribunal Supremo que decidió suspender el procedimiento y plantear al TJUE una serie de cuestiones prejudiciales, al albergar serias dudas sobre la validez de la obtención del consentimiento.
Cuestiones prejudiciales planteadas
De entre las cuestiones prejudiciales destacamos por su especial transcendencia
(I) Si los artículos 2.f) y 5.3 de la Directiva 2002/58, del artículo 2.h), de la Directiva 95/46 y del artículo 6.1.a), del RGPD, deben interpretarse en el sentido de que es válido el consentimiento prestado cuando el almacenamiento de información o el acceso a la información del usuario a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento. (en adelante, “Primera Cuestión”).
(II) Cuál debe ser la información facilitada por el proveedor de servicios al usuario para cumplir con la obligación de facilitar una información clara y completa establecida en el artículo 5.3 de la Directiva 2002/58 y si incluye esta información también el tiempo durante el cual las cookies estarán activas y la cuestión de si un tercero obtiene acceso a las mismas (en adelante, “Segunda Cuestión”).
Legislación europea analizada
El TJUE dio respuesta a estas preguntas a la vista de la siguiente legislación europea:
Respuesta a la Primera Cuestión
Con respecto a la Primera Cuestión, el TJUE expone de forma preliminar que la recogida de datos mediante las cookies constituye un tratamiento de datos personales.
Tras analizar diversos artículos de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, el TJUE concluye que el consentimiento de un usuario podrá darse por cualquier medio que permita la manifestación libre e inequívoca de la voluntad del usuario, siendo un ejemplo la selección de una casilla en el sitio web. Asimismo, el TJUE indica que la exigencia por parte del Derecho Europeo de una manifestación de la voluntad del interesado sugiere claramente la necesidad de un comportamiento activo y no pasivo, siendo insuficiente el consentimiento dado por el usuario mediante una casilla marcada por defecto.
Respuesta a la Segunda Cuestión
Con respecto a la Segunda Cuestión, El Tribunal de Justicia señala que se debe de dar al usuario una información clara y completa sobre los fines del tratamiento de datos. Asimismo, señala que, conforme a las Directivas 95/46 y 2002/58, el responsable del tratamiento de los datos debe de facilitar a los usuarios cuyos datos trata una serie de información y que tales exigencias vienen a ser corroboradas por el RGPD. Conforme a tales exigencias, el responsable del tratamiento de datos deberá de facilitar al usuario la siguiente información:
(I) Identidad del responsable del tratamiento y fines del tratamiento.
(II) Destinatarios o categorías de estos.
(III) El plazo durante el cual se conservarán los datos personales o sobre los criterios utilizados para determinar dicho plazo.
(IV) Cualquier otra información suplementaria que resulte necesaria para garantizar un tratamiento de datos leal respecto al interesado.
Conclusiones
Como principales conclusiones de la Sentencia comentada podemos citar las siguientes:
1. El consentimiento del usuario no se presta de manera válida cuando se presta mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento. Por lo tanto, el consentimiento solo será válido si se realiza a través de la marcación de una casilla o de un mecanismo similar que no se encuentre previamente marcado. Esta conclusión es válida tanto en lo que respecta a las cookies como en relación a cualquier otro tratamiento de datos personales que se base en el consentimiento del interesado.
2. Es especialmente importante ofrecer a los usuarios una buena política de cookies: clara y completa, que informe, al menos, de la identidad del responsable del tratamiento, de si la información obtenida a través de cookies podrá ser accedida por un tercero, del tiempo durante el cual las cookies estarán activas y de cualquier otra información suplementaria que resulte necesaria para garantizar un tratamiento de datos y leal respecto al interesado.
Por último, resulta interesante señalar que la sentencia, en tanto que decide no entrar a analizarlo —por entender que no es necesario para contestar las cuestiones planteadas— deja abierta la controversia sobre si el hecho de que un usuario deba prestar su consentimiento al tratamiento de sus datos personales para poder participar de un determinado servicio es compatible con la exigencia de un consentimiento libre en el sentido de los artículos 4.11 y 7.4 del RGPD, o si, por el contrario, el consentimiento así prestado no es libre y, por lo tanto, no es válido de acuerdo con la nueva normativa de protección de datos.