Día a día navegamos por Internet y dentro de este contexto se habla mucho de las polémicas “cookies”, pero es necesario conocer realmente qué alcance tienen para saber la implicación que se asume cuando, prácticamente sin leer las condiciones, hacemos click en el botón “aceptar.”
Recientemente se ha pronunciado el Tribunal de Justicia de la Unión Europea (en adelante TJUE) en su Sentencia de fecha 1 de octubre de 2019 (asunto C‑673/17) sobre el consentimiento necesario para la instalación de cookies en nuestros equipos informáticos.
¿Qué son las cookies?
Las cookies son ficheros que el proveedor de un sitio de Internet coloca en el ordenador de los usuarios y a los que puede acceder nuevamente cuando estos vuelven a visitar el sitio web. Con ello se facilita la navegación en Internet, las transacciones o la obtención de información sobre el comportamiento de dichos usuarios. A través de las cookies, se permite el acceso a la información ya almacenada en nuestros dispositivos.
Actualmente hay que tener en cuenta, en este ámbito, la protección que se dispensa a los usuarios de Internet y en especial la derivada de la legislación europea como es el caso de la Directiva 95/46/CE y del Reglamento General de Protección de Datos 2016/679 de 27 de abril de 2016.
Diferencias entre el consentimiento específico y el consentimiento pasivo o “por defecto”
Nos encontramos ante un consentimiento pasivo o “por defecto” cuando el consentimiento del internauta se presta mediante una casilla marcada por defecto de la que el usuario debe retirar la marca si no desea dar su consentimiento.
Esta forma de dar el consentimiento, no es válida para el TJUE, requiriendo un consentimiento activo y específico.
Para que el consentimiento sea válido, el proveedor de servicios debe facilitar al usuario una información clara y completa que le permita determinar fácilmente las consecuencias del consentimiento que preste, lo cual incluye informarle del tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.
Con ello, el Derecho de la Unión persigue proteger al usuario de toda injerencia en su esfera privada, en particular, contra el riesgo de que identificadores ocultos u otros dispositivos similares puedan introducirse en su equipo sin su conocimiento. Es por ello que resulta irrelevante que la información almacenada o consultada en el equipo del usuario esté o no constituida por datos personales pues la misma protección merece en este sentido el usuario.
Este consentimiento “activo” ya estaba reflejado en el considerando 32 del Reglamento 2016/679:
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en Internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.”
El TJUE viene a aclarar en su Sentencia de fecha 1 de octubre de 2019, qué tipo de consentimiento se considera válido para la instalación de las cookies.
Necesidad de un consentimiento específico para un tratamiento concreto
El consentimiento que el usuario de Internet debe dar para la colocación de cookies en su equipo terminal y para permitir su consulta, debe ser específico.
En este sentido se ha pronunciado el TJUE a propósito de una cuestión prejudicial elevada por un tribunal Alemán en el litigio entre la Federación de Organizaciones y Asociaciones de Consumidores de Alemania y una sociedad (Planet49), que ofrece juegos en línea. Concretamente, el Tribunal Supremo de lo Civil y Penal de Alemania, solicitó al TJUE que interpretase el Derecho de la Unión relativo a la protección de la intimidad en el sector de las comunicaciones electrónicas.
El TJUE nos da algunos datos sobre la interpretación de los que se considera un consentimiento libre, teniendo en cuenta el derecho de la Unión Europea:
- Conforme al artículo 5, apartado 3, de la Directiva 2002/58, los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un usuario cuando dicho usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46. Si bien esta disposición establece expresamente que el usuario debe haber «dado su consentimiento» a la colocación de cookies en su equipo terminal y a la consulta de estas, la referida disposición no contiene, en cambio, indicación alguna sobre el modo en que debe darse dicho consentimiento. No obstante, los términos «dado su consentimiento» se prestan a una interpretación literal, según la cual se precisa una acción del usuario para que este exprese su consentimiento. A este respecto, del considerando 17 de la Directiva 2002/58 se desprende que, a efectos de esta Directiva, el consentimiento de un usuario podrá darse por cualquier medio apropiado que permita la manifestación libre, inequívoca y fundada de la voluntad del usuario, por ejemplo, «mediante la selección de una casilla de un sitio web en Internet».
- El consentimiento dado mediante una casilla marcada por defecto no implica un comportamiento activo por parte del usuario de un sitio de Internet. Esta interpretación queda corroborada por el artículo 7 de la Directiva 95/46, que incluye una lista exhaustiva de los casos en que un tratamiento de datos personales puede considerarse lícito. En particular, el artículo 7, letra a), de la Directiva 95/46 dispone que el consentimiento del interesado puede hacer que tal tratamiento se considere lícito siempre que dicho consentimiento haya sido dado «de forma inequívoca» por el interesado. Pues bien, solo un comportamiento activo por parte del interesado con el que manifieste su consentimiento puede cumplir este requisito.
El Tribunal establece que es prácticamente imposible determinar de manera objetiva si el usuario de un sitio de Internet ha dado efectivamente su consentimiento para el tratamiento de sus datos personales al no quitar la marca de una casilla marcada por defecto y si dicho consentimiento ha sido dado, en todo caso, de manera informada. Así, no puede descartarse que dicho usuario no haya leído la información que acompaña a la casilla marcada por defecto, o que ni tan siquiera la haya visto, antes de proseguir con su actividad en el sitio de Internet que visita.
El Reglamento 2016/679 prevé expresamente un consentimiento activo. Como ya adelantábamos, según el considerando 32 de dicho Reglamento, la expresión del consentimiento podría incluir, en particular, marcar una casilla de un sitio web en Internet. En cambio, dicho considerando excluye expresamente que pueda haber consentimiento en caso de «silencio, […] casillas ya marcadas o […] inacción».
En consecuencia, el TJUE acaba de terminando en su Fallo que, el consentimiento al que se hace referencia en los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en relación con los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento 2016/679, no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
Así mismo, los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, en relación con el artículo 2, letra h), de la Directiva 95/46 y con los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento 2016/679, no deben interpretarse de manera diferente en función de que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet sean o no datos personales en el sentido de la Directiva 95/46 y del Reglamento 2016/679.
Por último, el artículo 5, apartado 3, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, debe interpretarse en el sentido de que la información que el proveedor de servicios debe facilitar al usuario de un sitio de Internet incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.
En conclusión, sobre la base de la Directiva 95/46/CE, del RGPD y la reciente sentencia del TJUE, los proveedores deben tener en cuenta que no se presta de manera válida el consentimiento de un usuario mediante un comportamiento pasivo o por defecto, sino que debe ser un consentimiento activo. A estos efectos, el proveedor de servicios debe facilitar al usuario información clara sobre el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.