Language of document : ECLI:EU:C:2019:246

Edición provisional

CONCLUSIONES DEL ABOGADO GENERAL

SR. MACIEJ SZPUNAR

presentadas el 21 de marzo de 2019(1)

Asunto C673/17

Planet49 GmbH

contra

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.

[Petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania)]

«Cuestión prejudicial — Directiva 95/46/CE — Directiva 2002/58/CE — Reglamento (UE) 2016/679 — Tratamiento de datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Cookies — Concepto de consentimiento del interesado — Declaración de consentimiento mediante una casilla de verificación ya marcada»






I.      Introducción

1.        Para participar en un juego dotado con un premio organizado por Planet49, un internauta debía marcar o quitar la marca de dos casillas de verificación antes de poder pulsar el «botón de participación». Una de las casillas de verificación obligaba al usuario a aceptar que una serie de empresas se pusieran en contacto con él para enviarle ofertas promocionales, y la otra casilla le obligaba a aceptar la instalación de cookies en su ordenador. Estos son, en resumen, los hechos de la presente petición de decisión prejudicial del Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania).

2.        Bajo estos hechos aparentemente anodinos subyacen cuestiones fundamentales relativas a la legislación de la Unión sobre la protección de datos: ¿cuáles son exactamente los requisitos del consentimiento informado que ha de manifestarse libremente? ¿Existe alguna diferencia entre el tratamiento de datos personales (únicamente) y el almacenamiento de cookies y el acceso a ellas? ¿Qué instrumentos jurídicos son aplicables?

3.        En estas conclusiones sostendré que, en lo que respecta al presente asunto, los requisitos relativos a la manifestación del consentimiento previstos en la Directiva 95/46/CE (2) son los mismos que los establecidos en el Reglamento (UE) 2016/679 (3) y que, en el caso de autos, es indiferente que abordemos la cuestión general del tratamiento de datos personales o la cuestión más concreta del almacenamiento de información y la obtención de acceso a la misma a través de cookies.

II.    Marco jurídico

A.      Derecho de la Unión

1.      Directiva 95/46

4.        A tenor del artículo 2 de la Directiva 95/46, que lleva por título «Definiciones»:

«A efectos de la presente Directiva, se entenderá por:

[…]

h)      “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.»

5.        En la sección II de dicha Directiva, titulada «Principios relativos a la legitimación del tratamiento de datos», el artículo 7, letra a), establece que:

«Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

a)      el interesado ha dado su consentimiento de forma inequívoca, o

[…]»

6.        El artículo 10 de la misma Directiva, bajo el título «Información en caso de obtención de datos recabados del propio interesado», establece lo siguiente:

«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a)      la identidad del responsable del tratamiento y, en su caso, de su representante;

b)      los fines del tratamiento de que van a ser objeto los datos;

c)      cualquier otra información tal como:

–        los destinatarios o las categorías de destinatarios de los datos,

–        el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

–        la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»

2.      Directiva 2002/58/CE (4)

7.        Los considerandos 24 y 25 de la Directiva 2002/58/CE (5) establecen lo siguiente:

«(24)      Los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda información almacenada en dichos equipos, forman parte de la esfera privada de los usuarios que debe ser protegida de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Los denominados “programas espía” (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Sólo debe permitirse la utilización de tales dispositivos con fines legítimos y con el conocimiento de los usuarios afectados.

(25)      No obstante, los dispositivos de este tipo, por ejemplo los denominados “chivatos” (cookies), pueden constituir un instrumento legítimo y de gran utilidad, por ejemplo, para analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partícipes en una transacción en línea. En los casos en que estos dispositivos, por ejemplo los denominados “chivatos” (cookies), tengan un propósito legítimo, como el de facilitar el suministro de servicios de la sociedad de la información, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que se introduce en el equipo terminal que están utilizando. Los usuarios deben tener la posibilidad de impedir que se almacene en su equipo terminal un “chivato” (cookie) o dispositivo semejante. Esto es particularmente importante cuando otros usuarios distintos al usuario original tienen acceso al equipo terminal y, a través de este, a cualquier dato sensible de carácter privado almacenado en dicho equipo. La información sobre la utilización de distintos dispositivos que se vayan a instalar en el equipo terminal del usuario en la misma conexión y el derecho a impedir la instalación de tales dispositivos se pueden ofrecer en una sola vez durante una misma conexión y abarcar asimismo cualquier posible utilización futura de dichos dispositivos en conexiones posteriores. La presentación de la información y del pedido de consentimiento o posibilidad de negativa debe ser tan asequible para el usuario como sea posible. No obstante, se podrá supeditar el acceso a determinados contenidos de un sitio web a la aceptación fundada de un “chivato” (cookie) o dispositivo similar, en caso de que este tenga un propósito legítimo.»

8.        El artículo 2 de dicha Directiva, titulado «Definiciones», dispone en su letra f):

«Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva 95/46/CE y en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco). [(6)]

Además, a efectos de la presente Directiva se entenderá por:

[…]

f)      “consentimiento” de un usuario o abonado: el consentimiento del interesado, con arreglo a la definición de la Directiva 95/46/CE;

[…]»

9.        El artículo 5, apartado 3, de la Directiva 2002/58/CE, titulado «Confidencialidad de las comunicaciones», establece lo siguiente:

«Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.»

3.      Directiva 2009/136/CE (7)

10.      El considerando 66 de la Directiva 2009/136/CE (8) establece lo siguiente:

«Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar información y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legítimo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La aplicación de estos requisitos debe ganar en eficacia gracias a las competencias reforzadas concedidas a las autoridades nacionales.»

4.      Reglamento 2016/679

11.      El considerando 32 del Reglamento 2016/679 establece:

«El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en Internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.»

12.      El artículo 4, punto 11, de ese Reglamento, titulado «Definiciones», dispone lo siguiente:

«A efectos del presente Reglamento se entenderá por:

[…]

11)      “consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;

[…]»

13.      El artículo 6 del mismo Reglamento, titulado «Licitud del tratamiento», dispone:

«1.      El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a)      el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

[…]»

14.      El artículo 7 del Reglamento 2016/679 se titula «Condiciones para el consentimiento». De conformidad con el artículo 7, apartado 4, «[a]l evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato».

B.      Derecho alemán

1.      Código Civil alemán

15.      El artículo 307 (9) del Bürgerliches Gesetzbuch (Código Civil alemán; en lo sucesivo «BGB») establece:

«1.      Las disposiciones de las condiciones generales de contratación serán ineficaces cuando perjudiquen a la otra parte contratante de forma desproporcionada, en contra del principio de buena fe. El hecho de que la cláusula no sea clara y comprensible también puede originar un perjuicio desproporcionado.

2.      En caso de duda, se considerará que existe un perjuicio desproporcionado cuando una disposición:

1)      sea incompatible con las líneas fundamentales de la normativa legal de la que se aparta, o

2)      limite los derechos o las obligaciones esenciales que se derivan de la naturaleza del contrato de tal forma que ponga en peligro la consecución del fin contractual.

3.      Los apartados 1 y 2 y los artículos 308 y 309 solo se aplicarán a disposiciones contenidas en condiciones generales de contratación sobre cuya base se pacten reglas que se aparten de disposiciones legales o reglamentarias o que las complementen. Cualquier otra disposición podrá ser ineficaz en virtud del apartado 1, segunda frase, en relación con el apartado 1, primera frase.»

2.      Ley de defensa de la competencia

16.      La Gesetz gegen den unlauteren Wettbewerb (Ley de defensa de la competencia; en lo sucesivo, «UWG») prohíbe las prácticas comerciales que causen una molestia inaceptable a un participante en el mercado. El artículo 7, apartado 2, punto 2, de la UWG establece que «siempre se considerará que existe una molestia inaceptable en el caso de […] la publicidad telefónica dirigida a un consumidor sin su previo consentimiento expreso o a otro participante en el mercado sin al menos su presunto consentimiento».

3.      Ley de servicios de telecomunicación

17.      El artículo 12, apartado 1, de la Telemediengesetz (Ley de servicios de telecomunicación; en lo sucesivo, «TMG») transpone el artículo 7, letra a), de la Directiva 95/46 y establece las condiciones con arreglo a las cuales un proveedor de servicios podrá recoger y utilizar datos personales para ponerlos a disposición de medios de comunicación electrónicos. De conformidad con ese artículo, un proveedor de servicios únicamente podrá recoger y utilizar datos personales con la finalidad de ponerlos a disposición de los medios de comunicación electrónicos en la medida en que lo autorice la TMG u otra norma jurídica que regule expresamente los medios de comunicación electrónicos, o el usuario haya prestado su consentimiento.

18.      El artículo 12, apartado 3, de la TMG dispone que será de aplicación la correspondiente normativa vigente que regule los datos personales, aun cuando no se produzca un tratamiento automatizado de los datos.

19.      El artículo 13, apartado 1, de la TMG obliga al proveedor de servicios a informar al usuario, antes del inicio de la utilización, sobre la naturaleza, el alcance y la finalidad del tratamiento de los datos personales, así como del tratamiento de datos que exceda los límites de la Directiva 95/46.

20.      El artículo 15, apartado 1, de la TMG establece que los proveedores de servicios podrán recoger y tratar datos personales únicamente cuando sean necesarios para la utilización de los medios en línea o para la emisión de una factura relativa a esta utilización («datos de los usuarios»). Por datos de los usuarios se entiende, en particular, los datos que permiten su identificación.

21.      El artículo 15, apartado 3, de la TMG transpone el artículo 5, apartado 3, de la Directiva 2002/58 y autoriza a un proveedor de servicios a establecer perfiles de usuario a través de seudónimos con fines publicitarios, de análisis de mercado o de configuración de medios electrónicos, siempre que el usuario no se oponga y el proveedor de servicios le haya informado de su derecho a negarse, de conformidad con la obligación de proporcionar información prevista en el artículo 13, apartado 1, de la TMG.

4.      Ley federal de protección de datos

22.      De conformidad con el artículo 3, apartado 1, de la Bundesdatenschutzgesetz (Ley federal de protección de datos; en lo sucesivo, «BDSG») (10) que transpone el artículo 2, letra a), de la Directiva 95/46, el término «datos personales» se refiere a datos relativos a circunstancias personales o materiales de una persona física identificada o identificable.

23.      El artículo 4a de la BDSG transpone al Derecho nacional el artículo 2, letra h), de la Directiva 95/46 y dispone que el consentimiento solo será válido si se basa en la libre decisión de los interesados.

III. Hechos, procedimiento y cuestiones prejudiciales

24.      El 24 de septiembre de 2013, Planet49 GmbH organizó un juego promocional dotado con un premio en la dirección de Internet www.dein-macbook.de. (11) Para participar en el juego, el internauta debía introducir su código postal, tras lo cual accedía a una página en la que debía introducir su nombre y dirección. Debajo de los campos reservados para facilitar la dirección se encontraban dos avisos con casillas de verificación. En lo sucesivo me referiré a ellas como «primera casilla de verificación» y «segunda casilla de verificación». El primer aviso, cuya casilla no estaba ya marcada con un signo de verificación, rezaba:

«Presto mi consentimiento para que determinados patrocinadores y colaboradores puedan informarme por correo, teléfono o correo electrónico/SMS sobre ofertas de su ámbito de actividad. Yo mismo puedo determinarlos aquí, en caso contrario serán elegidos por el organizador. Puedo revocar mi consentimiento en cualquier momento. Aquí puede obtener más información al respecto.»

25.      El segundo aviso que sí estaba marcado con un signo de verificación rezaba:

«Presto mi consentimiento para el uso, en mi caso, del servicio de análisis de páginas web Remintrex. Esto supondrá que el organizador del juego dotado con un premio, Planet49 GmbH, utilice cookies una vez me haya registrado para el juego. Las cookies permitirán a Planet49 GmbH analizar mi comportamiento de navegación y uso de páginas web de socios publicitarios y enviarme publicidad específica a través de Remintrex conforme a mis intereses. Puedo cancelar las cookies en cualquier momento. Aquí puede obtener más información.»

26.      La participación en el juego solo era posible si se marcaba, al menos, la primera casilla de verificación.

27.      El enlace electrónico que figuraba en el primer aviso vinculado a la expresión «patrocinadores y colaboradores» y «aquí» conducía a una lista en la que figuraban 57 empresas, sus direcciones, el sector de actividad publicitado y el medio de comunicación utilizado para la publicidad (correo electrónico, correo ordinario o teléfono), así como después de cada empresa la expresión subrayada «Dar de baja». La lista venía precedida del siguiente aviso:

«Al hacer clic en el enlace “Dar de baja”, decido que no puede otorgarse al socio/patrocinador en cuestión una autorización para hacer publicidad. Si no he dado de baja a ningún socio/patrocinador o no lo he hecho en cantidad suficiente, Planet49 elegirá libremente para mí socios/patrocinadores (número máximo: 30 socios/patrocinadores).»

28.      Al hacer clic en el enlace electrónico vinculado a la palabra «aquí» que figura en el segundo aviso, aparecía la siguiente información:

«Las cookies utilizadas con las denominaciones ceng_cache, ceng_etag, ceng_png y gcr son pequeños ficheros que su navegador almacena de manera determinada en su disco duro, gracias a los cuales se facilita determinada información que hace posible una publicidad más efectiva y acorde con las preferencias del usuario. Las cookies contienen un número aleatorio (ID) que se vincula al mismo tiempo a sus datos de registro. Si posteriormente usted visita una página web de un socio publicitario registrado en Remintrex (para saber si se ha efectuado un registro puede consultar la información pertinente en la declaración de protección de datos del socio publicitario), gracias a un iFrames existente en la misma Remintrex, se registra automáticamente que usted (es decir, el usuario con la ID almacenada) ha visitado la página, los productos por los que se ha interesado y si se ha concluido un contrato.

Posteriormente, de acuerdo con la autorización para hacer publicidad otorgada en el momento de registrarse en el juego dotado con un premio, Planet49 GmbH puede enviarle correos publicitarios relacionados con los intereses mostrados en la página web del socio publicitario. En caso de que haya revocado la autorización publicitaria, lógicamente no volverá a recibir correos publicitarios.

La información transmitida por las cookies únicamente es utilizada para publicidad en la que se presenten productos del socio publicitario. La información será recabada, almacenada y utilizada para cada socio publicitario por separado. En ningún caso se establecerán perfiles de usuario para varios socios publicitario. Los distintos socios publicitarios no recibirán datos personales.

En caso de que rechace el uso de cookies, las puede eliminar de su navegador en cualquier momento. En la función de ayuda de su navegador encontrará información al respecto.

A través de las cookies no se pueden ejecutar programas ni transmitir virus.

Naturalmente, tiene la posibilidad de revocar ese consentimiento en cualquier momento. La revocación deberá remitirse por escrito a PLANET49 GmbH [dirección]. Pero también bastará un correo electrónico enviado a nuestro servicio de atención al cliente [dirección de correo electrónico].»

29.      La demandante en el litigio principal es la Bundesverband der Verbraucherzentralen (Federación Alemana de Asociaciones de Consumidores; en lo sucesivo, «Bundesverband») que figura inscrita en la lista de entidades habilitadas prevista en la Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Ley sobre acciones de cesación en caso de infracción del Derecho de consumo o de otras infracciones; en lo sucesivo, «UKlaG»). Según la Bundesverband, las declaraciones de consentimiento utilizadas por Planet49 anteriormente mencionadas no cumplían los requisitos del artículo 307 del BGB, del artículo 7, apartado 2, punto 2, de la UWG ni del artículo 12 y siguientes de la TMG. El requerimiento extrajudicial efectuado previamente no tuvo éxito.

30.      La Bundesverband interpuso un recurso ante el Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno, Alemania) por el que solicitaba que se condenara a Planet49 a dejar de utilizar las cláusulas antes mencionadas (12) y a pagarle la suma de 214 euros más los intereses desde el 15 de marzo de 2014.

31.      El Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno) estimó algunas pretensiones y desestimó la demanda en todo lo demás. Tras un recurso de apelación (13) interpuesto ante el Oberlandesgericht Frankfurt am Main (Tribunal Superior Regional de lo Civil y Penal de Fráncfort del Meno, Alemania), interpuso recurso de casación ante el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal). (14)

32.      El Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal) considera que el éxito del recurso de casación depende de la interpretación de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46, y del artículo 6, apartado 1, letra a), del Reglamento 2016/679 y plantea al Tribunal de Justicia las siguientes cuestiones prejudiciales:

«1.      a)      ¿Existe un consentimiento efectivo en el sentido de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58/CE, en relación con el artículo 2, letra h), de la Directiva 95/46/CE cuando el almacenamiento de información o la obtención de acceso a la información ya almacenada en el equipo terminal de un usuario se permite a través de una casilla de verificación ya marcada, de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento?

b)      Al aplicar los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58/CE, en relación con el artículo 2, letra h), de la Directiva 95/46/CE, ¿implica alguna diferencia el hecho de que la información almacenada u obtenida se refiera a datos personales?

c)      En las circunstancias señaladas en la primera cuestión, letra a), ¿existe un consentimiento efectivo en el sentido del artículo 6, apartado 1, letra a), del Reglamento (UE) 2016/679?

2.      ¿Qué información debe facilitar el proveedor de servicios al usuario para cumplir con la obligación de facilitar una información clara y completa establecida en el artículo 5, apartado 3, de la Directiva 2002/58/CE? ¿Incluye esta información también el tiempo durante el cual las cookies estarán activas y la cuestión de si un tercero obtiene acceso a las mismas?»

33.      La petición de decisión prejudicial se recibió en el Tribunal de Justicia el 30 de noviembre de 2017. Planet49, la Bundesverband, los Gobiernos portugués e italiano y la Comisión Europea presentaron observaciones escritas. El 13 de noviembre de 2018 se celebró una vista, en la que participaron Planet49, la Bundesverband, el Gobierno alemán y la Comisión.

IV.    Apreciación

34.      Ambas cuestiones prejudiciales planteadas por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal) se refieren a la prestación de consentimiento para el almacenamiento de información y la obtención de acceso a la información ya almacenada en el equipo terminal del usuario, es decir, las cookies, en el contexto específico de las disposiciones de la Directiva 2002/58, en relación con las de la Directiva 95/46 o del Reglamento 2016/679.

35.      A modo de observaciones preliminares, considero oportuno aclarar, desde el punto de vista de los hechos, el fenómeno de las cookies y la terminología conexa, así como aclarar, desde el punto de vista jurídico, la normativa aplicable al presente litigio.

A.      Observaciones preliminares

1.      Sobre las cookies

36.      Una cookie es un modo de recoger la información generada por un sitio web y guardada por el navegador de los internautas. (15) Es una pequeña información o fichero de texto, normalmente de menos de un kbyte, que los sitios web piden al navegador de los internautas que instale en el disco duro local del ordenador o el dispositivo móvil del usuario. (16)

37.      Una cookie permite al sitio web «recordar» las acciones o preferencias del usuario a lo largo del tiempo. La mayoría de los navegadores admiten cookies, pero los usuarios pueden configurar sus navegadores para rechazarlas. También pueden borrarlas cuando lo deseen. En realidad, muchos usuarios ajustan su configuración de las cookies para que se borren automáticamente por defecto cuando esté cerrada la ventana del navegador. Dicho esto, los datos empíricos demuestran de forma categórica que rara vez se cambia la configuración predeterminada, un fenómeno que se conoce como «inercia predeterminada». (17)

38.      Los sitios web utilizan cookies para identificar a los usuarios, recordar sus preferencias personalizadas y permitirles realizar sus tareas sin tener que volver a introducir información cuando naveguen por sus páginas o regresen al sitio posteriormente.

39.      Asimismo, las cookies se pueden utilizar para recabar información a fin de adaptar la publicidad y el marketing al comportamiento en línea. (18) Las empresas, por ejemplo, utilizan software para observar el comportamiento de los usuarios y desarrollar perfiles personales, lo que permite mostrar a los usuarios anuncios relacionados con sus búsquedas anteriores. (19)

40.      Existen diferentes tipos de cookies, algunos de los cuales se clasifican según su duración (p. ej., cookies de sesión y cookies persistentes) y otros se basan en el dominio al que pertenecen (p. ej., cookies de origen y de terceros). (20) Cuando el servidor web que suministra la página almacena cookies en el ordenador o el dispositivo móvil del usuario, estas se conocen como cookies «http». (21) Otra forma de almacenar cookies es a través del código JavaScript integrado o referenciado en esa página. (22) Sin embargo, la validez del consentimiento para la instalación de cookies y la aplicabilidad de las exenciones que correspondan deberá evaluarse teniendo en cuenta la finalidad de la cookie y no sus características técnicas. (23)

2.      Sobre los instrumentos jurídicos aplicables

41.      El marco legislativo aplicable al litigio principal ha evolucionado a lo largo de los años, hasta la entrada en vigor, recientemente, del Reglamento 2016/679.

42.      Dos conjuntos de instrumentos jurídicos de la Unión son aplicables al presente litigio. En primer lugar, la Directiva 95/46 y el Reglamento 2016/679. En segundo lugar, la Directiva 2002/58, en su versión modificada por la Directiva 2009/136. (24)

43.      Me gustaría hacer dos observaciones con respecto a estos dos conjuntos de instrumentos.

44.      La primera observación se refiere a la aplicabilidad de la Directiva 95/46 y del Reglamento 2016/679.

45.      El Reglamento 2016/679, que es aplicable desde el 25 de mayo de 2018, (25) derogó la Directiva 95/46 con efecto a partir de esa misma fecha. (26)

46.      Esta fecha de 25 de mayo de 2018 es posterior a la última vista celebrada ante el órgano jurisdiccional remitente el 14 de julio de 2017 y, en realidad, también a la fecha de 5 de octubre de 2017, en la que se plantearon al Tribunal de Justicia las presentes cuestiones prejudiciales.

47.      Ergo, para las situaciones anteriores al 25 de mayo de 2018, la legislación aplicable es la Directiva 2002/58 en combinación con la Directiva 95/46, mientras que para las situaciones a partir del 25 de mayo de 2018, resulta de aplicación la Directiva 2002/58 en combinación con el Reglamento 2016/679.

48.      En la medida en que la Bundesverband desea, mediante la acción de cesación, (27) impedir que Planet49 vuelva a tener el mismo comportamiento en el futuro, el Reglamento 2016/679 es aplicable en el presente asunto. En su resolución sobre la acción de cesación, el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal), deberá tener en cuenta, por lo tanto, los requisitos del Reglamento 2016/679. A este respecto, el Gobierno alemán se remite a reiterada jurisprudencia nacional sobre la situación jurídica pertinente en las acciones de cesación. (28)

49.      Por consiguiente, procede responder a la cuestión planteada tanto conforme a la Directiva 95/46 como al Reglamento 2016/679. (29)

50.      Además, cabe señalar que las referencias en la Directiva 2002/58 a la Directiva 95/46 deben interpretarse como referencias al Reglamento 2016/679. (30)

51.      La segunda observación se refiere a la evolución del artículo 5, apartado 3, de la Directiva 2002/58.

52.      La Directiva 2002/58 pretende garantizar el pleno respeto de los derechos enunciados en la Carta de los Derechos Fundamentales de la Unión Europea, en particular los artículos 7 y 8. (31) El objeto del artículo 5 de esta Directiva es garantizar la «confidencialidad de las comunicaciones». En particular, el artículo 5, apartado 3, regula el uso de cookies y establece los requisitos que se han de cumplir antes de almacenar información o de acceder a la información almacenada en el ordenador de un usuario a través del almacenamiento de una cookie.

53.      La Directiva 2009/136 introdujo cambios sustanciales en los requisitos relativos al consentimiento establecidos en el artículo 5, apartado 3, de la Directiva 2002/58 a fin de mejorar la protección de los usuarios. Con anterioridad a las modificaciones introducidas por esa Directiva, el artículo 5, apartado 3, simplemente exigía que se informara a los usuarios de cómo autoexcluirse («opt-out») del tratamiento de datos mediante cookies. Dicho de otro modo, de acuerdo con la versión original del artículo 5, apartado 3, en caso de almacenamiento de información o de obtención de acceso a la información almacenada en el equipo terminal de un usuario, el proveedor de servicios debía facilitar a dicho usuario información clara y completa, en particular sobre los fines del tratamiento de los datos y sobre el derecho a oponerse a dicho tratamiento.

54.      La Directiva 2009/136 eliminó esta obligación de informar sobre el derecho a oponerse y, en cambio, exigió que «dicho abonado o usuario haya dado su consentimiento», es decir, sustituyó el sistema de opt-out (oposición) informada, más fácil de cumplir, por un sistema de opt-in (consentimiento previo) informado. Sin perjuicio de una excepción muy limitada no aplicable al presente asunto,  (32) el uso de cookies con arreglo al artículo 5, apartado 3, de la Directiva 2002/58, en su versión modificada, únicamente se permite si el usuario ha dado su consentimiento después de que se le haya facilitado información clara y completa sobre por qué se rastrean sus datos, es decir, sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46. (33)

55.      Como expondré con más detalle a continuación, el alcance de la obligación de proporcionar información prevista en el artículo 5, apartado 3, de la Directiva 2002/58 constituye el núcleo de la cuestión controvertida, especialmente en el contexto de la configuración predeterminada de las actividades en línea.

B.      Primera cuestión prejudicial

56.      Mediante la primera cuestión prejudicial, letra a), el órgano jurisdiccional remitente pregunta si existe un consentimiento efectivo en el sentido de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46 cuando el almacenamiento de información o la obtención de acceso a la información ya almacenada en el equipo terminal de un usuario se permite a través de una casilla de verificación ya marcada, de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento. A este respecto, el órgano jurisdiccional remitente se pregunta si implica alguna diferencia el hecho de que la información almacenada u obtenida se refiera a datos personales [primera pregunta, letra b)]. Por último, el órgano jurisdiccional remitente desea saber si en las circunstancias descritas anteriormente, existe un consentimiento efectivo en el sentido del artículo 6, apartado 1, letra a), del Reglamento 2016/679 [primera cuestión, letra c)].

1.      Sobre el consentimiento libre e informado

57.      El consentimiento es una característica subyacente a la legislación de la Unión sobre protección de datos.

58.      Antes de pasar a examinar la cuestión específica de las cookies, me gustaría establecer los principios generales derivados de los instrumentos jurídicos aplicables a la prestación de consentimiento.

a)      Con arreglo a la Directiva 95/46

1)      Consentimiento activo

59.      De las disposiciones de la Directiva 95/46 deduzco que el consentimiento tiene que manifestarse de manera activa. (34)

60.      El artículo 2, letra h), de la Directiva 95/46 se refiere a una manifestación de voluntad del interesado, que indica claramente un comportamiento activo y no pasivo. Además, el artículo 7, letra a), de la Directiva 95/46, que trata sobre los principios relativos a la legitimación del tratamiento de datos (personales), establece que es necesario que el interesado haya dado su consentimiento de forma inequívoca. Una vez más, para evitar la ambigüedad el comportamiento ha de ser activo, por oposición al pasivo.

61.      De ello deduzco que no es suficiente a este respecto que la declaración de consentimiento del usuario esté redactada previamente y que el usuario deba oponerse de manera activa cuando no está de acuerdo con el tratamiento de los datos.

62.      En realidad, en esta última situación, no se sabe si el texto redactado previamente se ha leído y entendido. La situación no es inequívoca. El usuario puede haber leído o no el texto. Puede que no lo haya hecho por simple negligencia. En esa situación, no es posible establecer si el consentimiento se ha prestado libremente.

2)      Consentimiento dado separadamente

63.      El requisito del consentimiento activo está estrechamente ligado al del consentimiento dado separadamente. (35)

64.      Cabe aducir, al igual que Planet49, que el interesado no presta un consentimiento efectivo cuando no desactiva una declaración de consentimiento previamente redactada, sino cuando «hace clic» de forma activa en el botón de participación en el juego en línea dotado con un premio.

65.      No suscribo esa interpretación.

66.      Para que el consentimiento sea «libre» e «informado», además de activo, también debe ser dado separadamente. La actividad que realiza el usuario en Internet (leer una página web, participar en un juego dotado con un premio, ver un vídeo, etc.) y la prestación del consentimiento no pueden formar parte del mismo acto. En particular, desde el punto de vista del usuario, la prestación del consentimiento no puede resultar de carácter accesorio a la participación en el juego. Ambas acciones deben presentarse en condiciones de igualdad, en particular ópticamente. Como consecuencia, dudo que un paquete de manifestaciones de voluntad, que incluya la prestación de consentimiento, sea conforme al concepto de consentimiento previsto en la Directiva 95/46.

3)      Obligación de facilitar información completa

67.      En este contexto, debe dejarse muy claro al usuario si la actividad que realiza en Internet está supeditada a la prestación de consentimiento. El usuario debe tener la posibilidad de evaluar hasta qué punto está dispuesto a facilitar sus datos para poder desarrollar su actividad en Internet. No es admisible la ambigüedad. (36) El usuario debe saber si la prestación de su consentimiento influirá en el desarrollo de su actividad en Internet, y en caso afirmativo, en qué medida.

b)      Con arreglo al Reglamento 2016/679

68.      Los principios establecidos anteriormente son asimismo válidos para el Reglamento 2016/679.

69.      El artículo 4, punto 11, del Reglamento 2016/679 define el consentimiento del interesado como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

70.      Procede señalar que esta definición es más estricta que la del artículo 2, letra h), de la Directiva 95/46, ya que exige una manifestación inequívoca de la voluntad del interesado y una clara acción afirmativa que impliquen la aceptación del tratamiento de datos personales.

71.      Además, los considerandos del Reglamento 2016/679 son especialmente esclarecedores. Dado que me remitiré en gran medida a los considerandos, (37) no puedo sino recordar que aunque obviamente no tienen ningún valor jurídico independiente, (38) el Tribunal de Justicia recurre a ellos con frecuencia para interpretar disposiciones de un acto jurídico de la Unión. En el ordenamiento jurídico de la Unión, los considerandos son de carácter descriptivo y no prescriptivo. En efecto, la cuestión relativa a su valor jurídico no suele plantearse por el mero hecho de que, en general, los considerandos se reflejan en las disposiciones de una directiva. De hecho, la buena práctica legislativa de las instituciones políticas de la Unión trata de lograr una situación en la que los considerandos ofrecen un marco útil para las disposiciones de un texto jurídico. (39)

72.      De conformidad con el considerando 32 del Reglamento 2016/679, el consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en Internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.

73.      Así pues, el consentimiento activo está expresamente previsto en el Reglamento 2016/679.

74.      Además, el considerando 43 de este Reglamento establece que para garantizar que el consentimiento se haya dado libremente, este no debe constituir un fundamento jurídico válido para el tratamiento de datos de carácter personal en un caso concreto en el que exista un desequilibro claro entre el interesado y el responsable del tratamiento, en particular cuando dicho responsable sea una autoridad pública y sea por lo tanto improbable que el consentimiento se haya dado libremente en todas las circunstancias de dicha situación particular. Se presume que el consentimiento no se ha dado libremente cuando no permita autorizar por separado las distintas operaciones de tratamiento de datos personales pese a ser adecuado en el caso concreto, o cuando el cumplimiento de un contrato, incluida la prestación de un servicio, sea dependiente del consentimiento, aun cuando este no sea necesario para dicho cumplimiento.

75.      Por consiguiente, en este considerando se subraya explícitamente la necesidad de que el consentimiento se dé por separado.

c)      Con arreglo a la Directiva 2002/58 — el caso de las cookies

76.      De conformidad con el artículo 5, apartado 3, de la Directiva 2002/58, los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46.

77.      Esta disposición no establece ningún otro criterio por lo que se refiere al concepto de consentimiento.

78.      Sin embargo, los considerandos de la Directiva 2002/58 y de la Directiva 2009/136 proporcionan orientación sobre el consentimiento con respecto a las cookies.

79.      Así pues, el considerando 17 de la Directiva 2002/58 indica que el consentimiento podrá darse por cualquier medio apropiado que permita la manifestación libre, inequívoca y fundada de la voluntad del usuario, por ejemplo mediante la selección de una casilla de un sitio web en Internet. (40)

80.      Asimismo, en el considerando 66 de la Directiva 2009/136 se explica que resulta capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar al almacenamiento de información sobre el equipo de un usuario o a la obtención de acceso a información ya almacenada, y que el modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario.

81.      En este sentido, quisiera recordar también el trabajo no vinculante, pero sin embargo esclarecedor, del Grupo de Trabajo de Protección de Datos del Artículo 29 (en lo sucesivo, «Grupo de Trabajo del Artículo 29»), (41) según el cual el consentimiento implica un acto expreso previo de los usuarios en aceptación del almacenamiento de la cookie y el uso de la cookie. (42) Ese mismo grupo de trabajo revela que el concepto de «manifestación» implica una necesidad de acción. (43) Otros elementos de la definición de consentimiento, y el requisito adicional del artículo 7, letra a), de la Directiva 95/46 sobre el consentimiento inequívoco, avalan esta interpretación. (44) El requisito de que el interesado debe «manifestar» su consentimiento indica que la simple inacción es insuficiente y se requiere algún tipo de acción para crear el consentimiento, aunque sean posibles diferentes tipos de acciones que se evaluarán «según el contexto». (45)

2.      Aplicación al presente litigio

82.      Me gustaría ahora aplicar estos criterios al presente litigio. Al hacerlo, en primer lugar me ocuparé de la primera cuestión, letras a) y c), es decir, de la cuestión de si ha habido un consentimiento efectivo en relación con el almacenamiento de las cookies y el acceso a las mismas. Esta cuestión comprende la segunda casilla de verificación.

83.      Además, dado que, como se acaba de indicar, los requisitos del consentimiento no difieren en gran medida en lo que se refiere a las cookies y, más en general, al tratamiento de datos personales, en aras de la exhaustividad y la claridad, aunque el órgano jurisdiccional remitente no pregunte de forma explícita sobre esta cuestión, para la interpretación correcta y uniforme del Derecho de la Unión, considero necesario analizar brevemente si ha existido un consentimiento efectivo con respecto al tratamiento de datos personales en el contexto de la primera casilla de verificación. Asimismo, entiendo que en el contexto del procedimiento del que conoce, el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal) tendrá que pronunciarse sobre la primera casilla de verificación. (46)

a)      Segunda casilla de verificación — primera cuestión, letras a) y c)

84.      El órgano jurisdiccional remitente pregunta si existe un consentimiento efectivo en el sentido de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46 cuando el almacenamiento de información o la obtención de acceso a la información ya almacenada en el equipo terminal de un usuario se permite a través de una casilla de verificación ya marcada, de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.

85.      Los términos esenciales del artículo 2, letra h), de la Directiva 95/46 y del artículo 4, punto 11, del Reglamento 2016/679 a efectos de esta cuestión son «libre» e «informada». Se plantea la cuestión de si, en una situación como la descrita por el órgano jurisdiccional remitente, se puede dar un consentimiento libre e informado.

86.      Planet49 considera que sí es posible. Todas las demás partes (47) discrepan. En este contexto, el debate jurídico de las partes se centró principalmente en si marcando o retirando la marca de una casilla que está marcada por defecto se cumplen estos requisitos. El debate gira en torno a la cuestión de la actitud activa o pasiva. Sin embargo, aunque este aspecto es importante, constituye solo una parte de los requisitos, ya que solo aborda el requisito del consentimiento activo, pero no el del consentimiento separado.

87.      En mi opinión, de acuerdo con los criterios expuestos anteriormente, la respuesta es que no existe un consentimiento efectivo en el presente litigio.

88.      En primer lugar, obligando a un usuario a retirar la marca de una casilla y, por lo tanto, a comportarse activamente si no da su consentimiento para la instalación de cookies no se cumple el criterio del consentimiento activo. En esa situación, es prácticamente imposible determinar de forma objetiva si el usuario ha dado o no su consentimiento sobre la base de una decisión libre e informada. Por el contrario, si el usuario tiene que marcar una casilla, esa afirmación es mucho más probable.

89.      En segundo lugar, y más importante aún, la participación en el juego en línea dotado con un premio y la prestación de consentimiento para la instalación de cookies no pueden formar parte del mismo acto. Sin embargo, eso es precisamente lo que sucede en el presente litigio. A fin de cuentas, pulsando una sola vez el botón de participación, el usuario participa en el juego y, al mismo tiempo, consiente la instalación de cookies. Se realizan simultáneamente dos manifestaciones de voluntad (la participación en el juego y el consentimiento para la instalación de cookies). Estas dos manifestaciones no pueden realizarse a través del mismo botón de participación. En realidad, en el presente asunto, la prestación de consentimiento a las cookies resulta de carácter accesorio, en el sentido de que no está claro en absoluto que forme parte de un acto separado. Dicho de otro modo, el acto de poner (o quitar) la marca de la casilla de verificación relativa a las cookies resulta de carácter preparatorio para el acto final y jurídicamente vinculante de «pulsar» el botón de participación.

90.      En esa situación, el usuario no está en condiciones de dar libremente y por separado su consentimiento para el almacenamiento de información o la obtención de acceso a la información ya almacenada en su equipo terminal.

91.      Además, se ha indicado anteriormente que la participación en el juego dotado con un premio solo era posible si se hacía constar una marca al menos delante de la primera casilla de verificación. Como consecuencia, la participación en el juego no estaba supeditada (48) a la prestación de consentimiento para la instalación de cookies y la obtención de acceso a las mismas, puesto que el usuario podría también haber activado (únicamente) la primera casilla de verificación.

92.      Sin embargo, por cuanto sé, en ningún momento se informó de ello al usuario. Por lo tanto, no se cumplen los criterios expuestos anteriormente relativos a la facilitación de información completa a los usuarios.

93.      En resumen, mi propuesta de respuesta a la primera cuestión, letras a) y c), es que no existe un consentimiento efectivo en el sentido de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46, en una situación como la del litigio principal en la que el almacenamiento de información o la obtención de acceso a la información ya almacenada en el equipo terminal de un usuario se permite a través de una casilla de verificación ya marcada, de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento, y en la que el consentimiento no se da separadamente, sino simultáneamente a la confirmación de la participación en el juego en línea dotado con un premio. Lo mismo puede decirse de la interpretación de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 4, punto 11, del Reglamento 2016/679.

b)      Primera casilla de verificación

94.      Aunque las cuestiones del órgano jurisdiccional remitente se refieren únicamente a la segunda casilla de verificación, me gustaría hacer dos observaciones específicas con respecto a la primera casilla, que pueden ayudarle a adoptar su decisión definitiva.

95.      Procede recordar que la primera casilla de verificación no está relacionada con las cookies, sino únicamente con el tratamiento de datos personales. En este caso, el usuario no acepta que se almacene información en su equipo, sino (simplemente) que una serie de empresas se pongan en contacto con él por correo electrónico, correo ordinario o teléfono.

96.      En primer lugar, los criterios sobre el consentimiento activo y específico y sobre la información completa obviamente también se aplican con respecto a la primera casilla de verificación. El consentimiento activo no presenta ningún problema, ya que la casilla de verificación no viene ya marcada. Por el contrario, tengo dudas acerca del consentimiento separado. Sobre la base del análisis efectuado, (49) con respecto a los hechos del presente asunto, sería preferible que, en sentido figurativo, hubiera que activar un botón separado, (50) en lugar de simplemente marcar una casilla, para autorizar el tratamiento de datos personales.

97.      En segundo lugar, en lo que se refiere a la primera casilla de verificación sobre el hecho de ser contactado por patrocinadores y colaboradores, ha de tenerse en cuenta el artículo 7, apartado 4, del Reglamento 2016/679. De conformidad con esta disposición, al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato. Por consiguiente, el artículo 7, apartado 4, del Reglamento 2016/679 establece una «prohibición de prácticas de consentimiento agrupado». (51)

98.      Como se desprende de los términos «se tendrá en cuenta en la mayor medida posible», la prohibición de prácticas de consentimiento agrupado no es absoluta. (52)

99.      En este caso, el tribunal competente deberá evaluar si el consentimiento al tratamiento de datos personales es necesario para participar en el juego dotado con un premio. A este respecto, debe tenerse en cuenta que la finalidad subyacente en la participación en el juego es la «venta» de datos personales (es decir, que el usuario acceda a que los «patrocinadores» se pongan en contacto con él para enviarle ofertas promocionales). Dicho de otro modo, la facilitación de datos personales constituye la principal obligación del usuario para participar en el juego. En tal situación, considero que el tratamiento de estos datos personales es necesario para participar en el juego. (53)

3.      Sobre los datos personales [primera cuestión, letra b)]

100. Me gustaría examinar ahora si, a efectos de la aplicación de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46, implica alguna diferencia el hecho de que la información almacenada u obtenida se refiera a datos personales.

101. Esta cuestión se entiende mejor habida cuenta de la legislación alemana que transpone el artículo 5, apartado 3, de la Directiva 2002/58. (54) En realidad, la legislación alemana diferencia entre la recogida y el uso de datos personales y de otro tipo.

102. De conformidad con el artículo 12, apartado 1, de la TMG, los proveedores de servicios únicamente podrán recoger y utilizar datos personales si, entre otras cosas, el usuario ha prestado su consentimiento.

103. Por el contrario, según dispone el artículo 15, apartado 3, de la TMG, el proveedor de servicios podrá elaborar perfiles de usuario con seudónimos para, por ejemplo, fines de publicidad y estudios de mercado, siempre que el usuario no se oponga a ello. Así pues, en la medida de que no se trate de datos personales, el requisito es menos estricto en la legislación alemana: no hace referencia al consentimiento, sino simplemente a la no oposición.

104. De conformidad con el artículo 4, punto 1, del Reglamento 2016/679 por datos personales se entenderá «toda información sobre una persona física identificada o identificable (“el interesado”); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

105. Creo que no cabe duda de que, en lo que concierne al presente litigio, la «información» a la que se refiere el artículo 5, apartado 3, de la Directiva 2002/58 consiste en «datos personales». Esta también parece ser la opinión del órgano jurisdiccional remitente, que señala expresamente en su resolución de remisión que dado que en el presente asunto se trata de datos personales, la obtención de información de las cookies utilizadas por la demandada queda sometida a la obligación de obtener el consentimiento prevista en el artículo 12, apartado 1, de la TMG. (55) Además, parece que es pacífico entre las partes en el litigio principal que estamos tratando sobre los datos personales.

106. Por lo tanto, cabe preguntarse sobre la pertinencia de esta cuestión para el presente litigio y si la cuestión no es hipotética. (56)

107. Sea como fuere, creo que la respuesta a esta cuestión es muy simple: no implica ninguna diferencia el hecho de que la información almacenada u obtenida se refiera a datos personales. El artículo 5, apartado 3, de la Directiva 2002/58 se refiere al «almacenamiento de información, o la obtención de acceso a la información ya almacenada». (57) Está claro que dicha información está relacionada con la intimidad, independientemente de si se refiere o no a «datos personales» en el sentido del artículo 4, punto 1, del Reglamento 2016/679. Como la Comisión señala acertadamente, el artículo 5, apartado 3, de la Directiva 2002/58 tiene por objeto proteger al usuario de la injerencia en su esfera privada, independientemente de que dicha injerencia afecte a datos personales o de otro tipo.

108. Esta interpretación del artículo 5, apartado 3, de la Directiva 2002/58 está además corroborada por los considerandos 24 (58) y 25 (59) de la Directiva, así como por los dictámenes del Grupo de Trabajo del Artículo 29. En efecto, según este Grupo de Trabajo, «el artículo 5, apartado 3, se aplica a la “información” (que se almacena o a la que se accede). No tipifica dicha información. La aplicación de dicha disposición no requiere que la información sean datos personales a tenor de la Directiva 95/46/CE». (60)

109. Como consecuencia, parece que el artículo 15, apartado 3, de la TMG no transpone totalmente al Derecho alemán los requisitos del artículo 5, apartado 3, de la Directiva 2002/58. (61)

110. Por consiguiente, propongo responder a la primera cuestión prejudicial, letra b), que, a efectos de la aplicación de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46, no implica ninguna diferencia el hecho de que la información almacenada u obtenida se refiera a datos personales.

C.      Segunda cuestión prejudicial

111. Mediante la segunda cuestión prejudicial, al órgano jurisdiccional remitente le gustaría saber qué información debe facilitar el proveedor de servicios al usuario para cumplir con la obligación de facilitar una información clara y completa establecida en el artículo 5, apartado 3, de la Directiva 2002/58, y si esta información incluye el tiempo durante el cual las cookies estarán activas y la cuestión de si un tercero obtiene acceso a las mismas.

1.      Sobre la información clara y completa

112. Los artículos 10 y 11 de la Directiva 95/46 (y los artículos 13 y 14 del Reglamento 2016/679) establecen la obligación de facilitar información a los interesados. La obligación de informar está vinculada al consentimiento en el sentido de que siempre debe proporcionarse información antes del consentimiento.

113. Dada la proximidad conceptual existente entre el internauta (y el proveedor) y el consumidor (y el comerciante), (62) en esta fase se puede recurrir al concepto de consumidor europeo medio que es un consumidor normalmente informado y razonablemente atento y perspicaz (63) y que está en condiciones de tomar la decisión de comprometerse con pleno conocimiento de causa. (64)

114. Sin embargo, debido a la complejidad técnica de las cookies, la información asimétrica entre el proveedor y el usuario y, más en general, la relativa falta de conocimientos de cualquier internauta medio, no cabe esperar que el internauta medio tenga un alto nivel de conocimientos sobre el funcionamiento de las cookies.

115. Así pues, la información clara y completa implica que el usuario esté en condiciones de determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar. Con este fin, ha de poder evaluar los efectos de sus acciones. La información facilitada debe ser claramente comprensible y no dar lugar a ningún tipo de ambigüedad o interpretación. Ha de ser lo suficientemente detallada para que el usuario pueda comprender el funcionamiento de las cookies realmente empleadas.

116. Esta información incluye, como sugiere el órgano jurisdiccional remitente, el tiempo durante el cual las cookies estarán activas y la cuestión de si un tercero obtiene acceso a las mismas.

2.      Información sobre el tiempo durante el cual las cookies estarán activas

117. En virtud de los considerandos 23 y 26 de la Directiva 2002/58, el tiempo durante el cual las cookies estarán activas es un elemento del requisito de consentimiento informado, en el sentido de que los proveedores de servicios deben «mantener siempre informados a los abonados de los tipos de dato que están tratando y de la finalidad y duración del tratamiento». Aunque la cookie es esencial, la cuestión de su nivel de intrusión ha de examinarse teniendo en cuenta las circunstancias a efectos del consentimiento. Además de preguntar qué datos recoge cada cookie y si están vinculados a cualquier otra información sobre el usuario, los proveedores de servicios deben tener en cuenta la duración de la cookie y si esta duración es apropiada en vista de la finalidad de la cookie.

118. El tiempo durante el cual las cookies estarán activas afecta a los requisitos explícitos del consentimiento informado relativos a la calidad y la accesibilidad de la información para los usuarios. Esta información es de vital importancia para que las personas puedan decidir con conocimiento de causa antes del tratamiento. (65) Por consiguiente, como sostienen los Gobiernos portugués e italiano, dado que los datos recogidos por las cookies deben eliminarse cuando ya no sean necesarios para alcanzar el objetivo original, debe comunicarse claramente al usuario el período de almacenamiento de los datos recogidos.

3.      Información sobre el acceso de terceros

119. A propósito de esta cuestión, Planet49 alega que en caso de que terceros obtengan acceso a una cookie, deberá informarse a los usuarios. Sin embargo, si, como en el presente litigio, el único que tiene acceso a la cookie es el proveedor que desea almacenarla, bastará con llamar la atención sobre esta circunstancia. A su parecer, el hecho de que otros terceros no tengan acceso, no se tendrá que señalar específicamente. Esa obligación no sería compatible con la voluntad del legislador, según la cual los textos sobre la protección de datos deben ser de fácil comprensión y concisos.

120. No puedo suscribir esa interpretación. Por el contrario, para que la información sea clara y completa, deberá informarse explícitamente al usuario si terceros tienen o no acceso a las cookies almacenadas. En caso de que terceros tengan acceso, deberá publicarse su identidad. Como la Bundesverband pone de relieve acertadamente, esta información es indispensable para garantizar que se dé un consentimiento informado.

4.      Resultado

121. Por consiguiente, propongo responder a la segunda cuestión prejudicial que la información clara y completa que un proveedor de servicios debe facilitar a un usuario, con arreglo al artículo 5, apartado 3, de la Directiva 2002/58, incluye el tiempo durante el cual las cookies estarán activas y la cuestión de si un tercero obtiene o no acceso a las mismas.

V.      Conclusión

122. En virtud de las consideraciones anteriores, propongo al Tribunal de Justicia que responda del siguiente modo al Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania):

«1)      No existe un consentimiento efectivo en el sentido de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en relación con el artículo 2, letra h), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en una situación como la del litigio principal en la que el almacenamiento de información o la obtención de acceso a la información ya almacenada en el equipo terminal de un usuario se permite a través de una casilla de verificación ya marcada, de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento, y en la que el consentimiento no se da separadamente, sino simultáneamente a la confirmación de la participación en el juego en línea dotado con un premio.

2)      Lo mismo puede decirse de la interpretación de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 4, punto 11, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

3)      A efectos de la aplicación de los artículo 5, apartado 3, y 2, letra f), de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46, no implica ninguna diferencia el hecho de que la información almacenada u obtenida se refiera a datos personales.

4)      La información clara y completa que un proveedor de servicios debe facilitar a un usuario, con arreglo al artículo 5, apartado 3, de la Directiva 2002/58, incluye el tiempo durante el cual las cookies estarán activas y la cuestión de si un tercero obtiene o no acceso a las mismas.»


1      Lengua original: inglés.


2      Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).


3      Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).


4      A menudo denominada «Directiva sobre la privacidad electrónica».


5      Directiva del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11).


6      DO 2002, L 108, p. 33.


7      A menudo denominada «Directiva sobre cookies».


8      Directiva del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, por la que se modifican la Directiva 2002/22/CE relativa al servicio universal y los derechos de los usuarios en relación con las redes y los servicios de comunicaciones electrónicas, la Directiva 2002/58/CE y el Reglamento (CE) n.o 2006/2004 sobre la cooperación en materia de protección de los consumidores (DO 2009, L 337, p. 11). Por lo tanto, el contenido normativo de la Directiva 2009/136 se recoge ahora en estas últimas directivas y en el Reglamento mencionado, en su versión modificada (y, por lo que respecta al presente asunto, en el artículo 5, apartado 3, de la Directiva 2002/58), razón por la cual en el presente litigio solo se cita un considerando de la Directiva 2009/136.


9      Esta nota no afecta a la versión española de las presentes conclusiones.


10      Cabe señalar que se trata de la versión anterior de la BDSG, de 20 de diciembre de 1990, en su versión modificada, y no de su redacción actual de 30 de junio de 2017.


11      Puede formarse una idea de cómo era el verdadero sitio web en la dirección siguiente: https://web.archive.org/web/20130902100750/http:/www.dein-macbook.de:80/.


12      Y otras cláusulas no relevantes para el presente litigio.


13      «Berufung».


14      «Revision».


15      Véanse también las conclusiones del Abogado General Bot presentadas en el asunto Wirtschaftsakademie Schleswig-Holstein (C‑210/16, EU:C:2017:796), punto 5.


16      Véase Lynskey, O., «Track[ing] changes: an examination of EU Regulation of online behavioural advertising through a data protection lens», European Law Review, Sweet & Maxwell, 2011, pp. 874 a 886, especialmente pp. 875 y 876.


17      Véase Lynskey, O., ibidem, p. 878.


18      Véase, en general, Clifford, D., «EU Data Protection Law and Targeted Advertising: Consent and the Cookie Monster – Tracking the crumbs of online user behaviour», Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, pp. 195 y 196.


19      Véase http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


20      Véase Clifford, D., ibidem, pp. 195 y 196.


21      Véase http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


22      Véase http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.


23      Véase, por ejemplo, Dictamen 4/2012 sobre la exención del requisito de consentimiento de cookies, adoptado por el Grupo de Trabajo del Artículo 29 el 7 de junio de 2012 (00879/12/ES, WP 194, p. 13).


24      Para completar el cuadro, se podría añadir que la Directiva 2002/58 también fue modificada por la Directiva 2006/24/CE del Parlamento Europeo y del Consejo, de 15 de marzo de 2006, sobre la conservación de datos generados o tratados en relación con la prestación de servicios de comunicaciones electrónicas de acceso público o de redes públicas de comunicaciones y por la que se modifica la Directiva 2002/58/CE (DO 2006, L 105, p. 54). Sin embargo, en primer lugar, como se desprende del artículo 11 de la Directiva 2006/24, esa modificación fue de escasa importancia y solo afectó a un artículo de la Directiva 2002/58 y, en segundo lugar, y más importante aún, la Directiva 2006/24 se ha declarado inválida entre tanto; véase la sentencia de 8 de abril de 2014, Digital Rights Ireland y otros (C‑293/12 y C‑594/12, EU:C:2014:238), apartado 71.


25      De conformidad con el artículo 99, apartado 2, del Reglamento 2016/679.


26      Véase el artículo 94, apartado 1, del Reglamento 2016/679.


27      En alemán: «Unterlassungsanspruch».


28      Véase Bundesgerichtshof, 23 de febrero de 2016, XI ZR 101/15, punto II.1., Neue Juristische Wochenschrift (NJW), 2016, p. 1881: en la medida en que la acción de cesación del demandante se dirige hacia el futuro, las acciones de cesación cuyo fundamento jurídico haya variado durante el procedimiento se han de examinar por el tribunal de apelación teniendo en cuenta la situación jurídica actual, aunque la modificación jurídica entrara en vigor después de la conclusión de la vista oral de la segunda instancia o durante el procedimiento de casación. Véase también Bundesgerichtshof, 13 de julio de 2004, KZR 10/03, punto I., Gewerblicher Rechtsschutz und Urheberrecht (GRUR), 2004, p. 62.


29      En relación con la aplicabilidad de la Directiva 95/46 y el Reglamento 2016/679 en el contexto de una acción declarativa (Feststellungsklage) con arreglo al Derecho procesal alemán, véase la sentencia de 16 de enero de 2019, Deutsche Post (C‑496/17, EU:C:2019:26), apartado 39, y las conclusiones del Abogado General Campos Sánchez-Bordona presentadas en el asunto Deutsche Post (C‑496/17, EU:C:2018:838), punto 32: «Corresponde al tribunal de remisión interpretar su derecho procesal nacional, sobre el que el Tribunal de Justicia no se pronuncia. Por tanto, si, en virtud de las normas internas, entiende que el litigio ha de dilucidarse, ratione temporis, con arreglo al [Reglamento 2016/679] y no a la Directiva 95/46, el Tribunal de Justicia ha de facilitarle la interpretación de aquel y no de esta.»


30      Véase el artículo 94, apartado 2, del Reglamento 2016/679.


31      Véase, en general, el considerando 2.


32      El requisito del consentimiento no será obstáculo para el almacenamiento o acceso en el sentido del artículo 5, apartado 3, segunda frase, de la Directiva 2002/58, al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o cuando el almacenamiento o el acceso sean necesarios para proporcionar al usuario un servicio de la sociedad de la información expresamente solicitado por este. En el presente asunto, el almacenamiento o el acceso a la información no son técnicamente necesarios en el sentido del artículo 5, apartado 3, segunda frase, de la Directiva 2002/58, sino que tienen como fin la publicidad, por lo que no concurre la excepción al requisito del consentimiento.


33      Véase también Bond, R., «The EU E-Privacy Directive and Consent to Cookies», The Business Lawyer, Vol. 68, n.1, American Bar Association, noviembre 2012, p. 215.


34      En lugar de emplear los términos «activo» y «pasivo», también se puede hacer referencia a los términos «explícito» e «implícito».


35      En sentido estricto, el requisito del consentimiento dado separadamente ya incorpora el requisito del consentimiento activo, ya que solo si el criterio del consentimiento se aplica de manera separada, podrá evitarse que éste se «introduzca» a través de la configuración predeterminada.


36      Esto no quiere decir que la participación en un juego dotado con un premio no pueda supeditarse al consentimiento. Sin embargo, ese consentimiento debe ser específico y el usuario debe estar debidamente informado. Volveré sobre este punto más adelante.


37      Y porque ya me he referido anteriormente a los considerandos de las Directivas 2002/58 y 2009/136.


38      Sentencias de 19 de noviembre de 1998, Nilsson y otros (C‑162/97, EU:C:1998:554), apartado 54, y de 24 de noviembre de 2005, Deutsches Milch-Kontor (C‑136/04, EU:C:2005:716), apartado 32, y conclusiones del Abogado General Ruiz-Jarabo Colomer presentadas en el asunto TeliaSonera Finland (C‑192/08, EU:C:2009:309), puntos 87 a 89.


39      Véanse asimismo mis conclusiones presentadas en los asuntos acumulados X y Visser (C‑360/15 y C‑31/16, EU:C:2017:397), punto 132.


40      Véase la segunda frase del considerando 17 de la Directiva 2002/58.


41      Es un órgano consultivo creado con arreglo al artículo 29 de la Directiva 95/46. Como consecuencia de la entrada en vigor del Reglamento 2016/679, el Grupo de Trabajo del Artículo 29 fue sustituido por el Comité Europeo de Protección de Datos (véanse los artículos 68 y 94, apartado 2, del Reglamento 2016/679).


42      Véase el Dictamen 2/2010 sobre publicidad comportamental en línea, adoptado por el Grupo de Trabajo del Artículo 29 el 22 de junio de 2010 (00909/10/ES, GT 171, p. 18, punto 4.1.3.).


43      Dictamen 15/2011 sobre la definición del consentimiento, adoptado por el Grupo de Trabajo del Artículo 29 el 13 de julio de 2011 (01197/11/ES, WP 187, p. 14).


44      Dictamen 15/2011 sobre la definición del consentimiento, adoptado por el Grupo de Trabajo del Artículo 29 el 13 de julio de 2011 (01197/11/ES, WP 187, p. 14).


45      Dictamen 15/2011 sobre la definición del consentimiento, adoptado por el Grupo de Trabajo del Artículo 29 el 13 de julio de 2011 (01197/11/ES, WP 187, p. 14).


46      Este punto, que ya resulta de la resolución de remisión, fue confirmado explícitamente por la Bundesverband durante la vista, en respuesta a una pregunta del Tribunal de Justicia.


47      Es decir, la Bundesverband, los Gobiernos alemán, italiano y portugués y la Comisión.


48      Véase el artículo 7, apartado 4, del Reglamento 2016/679.


49      Véase, en particular, el punto 66 de las presentes conclusiones.


50      Un botón como, por ejemplo, el de participación.


51      En alemán: «Kopplungsverbot», véase, por ejemplo, Ingold, A., en G. Sydow (ed.), Europäische Datenschutzgrundverordnung, Handkommentar, Nomos, Baden-Baden, 2017, Artikel 7, punto 30.


52      Véase Heckmann, D., Paschke, A., en E. Ehmann, M. Selmayr (ed.), DS-GVO (Datenschutz-Grundverordnung), Kommentar, C.H. Beck, Munich, 2017, Artikel 7, punto 53.


53      Véase también en este sentido Buchner, J., Kühling, B., en J. Buchner, B. Kühling (eds), Datenschutz-Grundverordnung/BDSG, Kommentar, 2ª ed. 2018, C.H. Beck, Munich, Artikel 7 DS-GVO, punto 48.


54      En su versión modificada por la Directiva 2009/136.


55      Véase el apartado 24 de la resolución de remisión.


56      En efecto, durante la vista el representante de la Bundesverband señaló que sería de suma utilidad que el Tribunal de Justicia aclarara la primera cuestión, letra b), dado que la doctrina alemana discute si el artículo 15, apartado 3, de la TMG es conforme al Derecho de la Unión o no.


57      El subrayado es mío.


58      Véase el marco jurídico de las presentes conclusiones.


59      Ibidem.


60      Véase el Dictamen 2/2010 sobre publicidad comportamental en línea, adoptado por el Grupo de Trabajo del Artículo 29 el 22 de junio de 2010 (00909/10/ES, GT 171, p. 9, punto 3.2.1.). En la misma línea, en el Dictamen 02/2013 sobre las aplicaciones de los dispositivos inteligentes, adoptado por el Grupo de Trabajo del Artículo 29 el 27 de febrero de 2013 (00461/13/ES, WP 202, p. 9, punto 3.1) se establece que «el requisito del consentimiento del artículo 5, apartado 3, se aplica a toda la información, independientemente de la naturaleza de los datos que se almacenan o a que se accede. El ámbito de aplicación no se limita a los datos personales; la información puede consistir en cualquier tipo de datos almacenados en el dispositivo».


61      En concreto: los requisitos de la Directiva 2009/136 por la que se modifica la Directiva 2002/58, entre otros instrumentos jurídicos.


62      En cuanto a la terminología en el ámbito de la protección de los consumidores, véase el artículo 2 de la Directiva 2011/83/UE del Parlamento Europeo y del Consejo, de 25 de octubre de 2011, sobre los derechos de los consumidores, por la que se modifican la Directiva 93/13/CEE del Consejo y la Directiva 1999/44/CE del Parlamento Europeo y del Consejo y se derogan la Directiva 85/577/CEE del Consejo y la Directiva 97/7/CE del Parlamento Europeo y del Consejo (DO 2011, L 304, p. 64).


63      Esta es la terminología normalmente empleada por el Tribunal de Justicia para describir al consumidor europeo medio. Véanse, por ejemplo, las sentencias de 7 de agosto de 2018, Verbraucherzentrale Berlin (C‑485/17, EU:C:2018:642), apartado 44; de 7 de junio de 2018, Scotch Whisky Association (C‑44/17, EU:C:2018:415), apartado 47, y de 16 de julio de 1998, Gut Springenheide y Tusky (C‑210/96, EU:C:1998:369), apartado 31.


64      Véanse las conclusiones del Abogado General Saugmandsgaard Øe presentadas en el asunto slewo (C‑681/17, EU:C:2018:1041), punto 55.


65      Dictamen 15/2011 sobre la definición del consentimiento, adoptado por el Grupo de Trabajo del Artículo 29 el 13 de julio de 2011 (01197/11/ES, WP 187, p. 41).