Asunto C‑673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV
contra
Planet49 GmbH
(Petición de decisión prejudicial planteada por el Bundesgerichtshof)
Sentencia del Tribunal de Justicia (Gran Sala) de 1 de octubre de 2019
«Procedimiento prejudicial — Directiva 95/46/CE — Directiva 2002/58/CE — Reglamento (UE) 2016/679 — Tratamiento de datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Cookies — Concepto de consentimiento del interesado — Declaración de consentimiento mediante una casilla marcada por defecto»
1. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones — Directiva 2002/58/CE — Cookies — Consentimiento del interesado — Concepto — Declaración de consentimiento mediante una casilla marcada por defecto — Exclusión
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 4, punto 11, y 6, ap. 1, letra a); Directivas del Parlamento Europeo y del Consejo 95/46/CE, art. 2, letra h), y 2002/58/CE, en su versión modificada por la Directiva 2009/136/CE, arts. 2, letra f), y 5, ap. 3]
(véanse los apartados 49 a 58 y 60 a 63 y el punto 1 del fallo)
2. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones — Directiva 2002/58/CE — Cookies — Consentimiento del interesado — Concepto — Información almacenada o consultada consistente, o no, en datos personales — Irrelevancia
[Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, arts. 4, punto 11, y 6, ap. 1, letra a); Directivas del Parlamento Europeo y del Consejo 95/46/CE, art. 2, letra h), y 2002/58/CE, en su versión modificada por la Directiva 2009/136/CE, arts. 2, letra f), y 5, ap. 3]
(véanse los apartados 68 a 71 y el punto 2 del fallo)
3. Aproximación de las legislaciones — Sector de las telecomunicaciones — Tratamiento de los datos personales y protección de la intimidad en el sector de las comunicaciones — Directiva 2002/58/CE — Cookies — Información clara y completa que debe facilitar el proveedor de servicios — Concepto — Tiempo durante el cual las cookies estarán activas — Inclusión — Posibilidad de que terceros tengan acceso a las cookies — Inclusión
(Directiva 2002/58/CE del Parlamento Europeo y del Consejo, en su versión modificada por la Directiva 2009/136/CE, art. 5, ap. 3)
(véanse los apartados 74 a 81 y el punto 3 del fallo)
Resumen
La colocación de cookies requiere el consentimiento activo de los internautas
Mediante la sentencia de 1 de octubre de 2019, Planet49 (C‑673/17), el Tribunal de Justicia, constituido en Gran Sala, ha declarado que el consentimiento para el almacenamiento de información o para el acceso a esta a través de cookies instaladas en el equipo terminal del usuario de un sitio de Internet no se presta de manera válida cuando la autorización resulta de una casilla marcada por defecto, y ello con independencia de que la información de que se trate sean o no datos personales. Además, el Tribunal de Justicia precisa que el proveedor de servicios debe indicar al usuario de un sitio de Internet el tiempo durante el cual las cookies estarán activas y si terceros podrán tener acceso a ellas o no.
El litigio principal versaba sobre la organización de un juego con fines promocionales por Planet49 en el sitio de Internet www.dein-macbook.de. Para participar en él, los internautas debían indicar su nombre y dirección en una página web que contenía varias casillas. La casilla con la que se autorizaba la instalación de cookies estaba marcada por defecto. El Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania), que conocía del recurso interpuesto por la Federación de Organizaciones y Asociaciones de Consumidores, albergaba dudas acerca de la validez de la obtención del consentimiento de los usuarios mediante una casilla marcada por defecto y sobre el alcance de la obligación de información que recae sobre el proveedor de servicios.
La petición de decisión prejudicial tenía esencialmente por objeto la interpretación del concepto de consentimiento contenido en la Directiva sobre la privacidad y las comunicaciones electrónicas, (1) en relación con la Directiva 95/46, (2) y con el Reglamento general de protección de datos. (3)
En primer lugar, el Tribunal de Justicia observa que el artículo 2, letra h), de la Directiva 95/46, al que remite el artículo 2, letra f), de la Directiva sobre la privacidad y las comunicaciones electrónicas, define el consentimiento como «toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan». Señala que el requisito de una «manifestación» de voluntad del interesado sugiere claramente un comportamiento activo y no pasivo. Pues bien, el consentimiento dado mediante una casilla marcada por defecto no implica un comportamiento activo por parte del usuario de un sitio de Internet. Además, la génesis del artículo 5, apartado 3, de la Directiva sobre la privacidad y las comunicaciones electrónicas, que desde su modificación por la Directiva 2009/136 establece que el usuario debe haber «dado su consentimiento» a la colocación de cookies, muestra que el consentimiento del usuario ya no puede presumirse y debe resultar del comportamiento activo de este último. Por último, se exige expresamente un consentimiento activo en el Reglamento general de protección de datos, cuyo artículo 4, punto 11, requiere una manifestación de voluntad que ha de adoptar la forma, en particular, de una «clara acción afirmativa», y cuyo considerando 32 excluye expresamente que pueda haber consentimiento en caso de «silencio, […] casillas ya marcadas o […] inacción». (4)
En consecuencia, el Tribunal de Justicia declara que el consentimiento no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento. Añade que el hecho de que tal usuario active el botón de participación en el juego organizado con fines promocionales no basta para considerar que el usuario ha dado de manera válida su consentimiento para la colocación de cookies.
En segundo lugar, el Tribunal de Justicia declara que el artículo 5, apartado 3, de la Directiva sobre la privacidad y las comunicaciones electrónicas persigue proteger al usuario de toda injerencia en su esfera privada, independientemente de que dicha injerencia afecte a datos personales o de otro tipo. De ello se deduce que el concepto de consentimiento no debe interpretarse de manera diferente en función de que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet sean o no datos personales.
En tercer lugar, el Tribunal de Justicia subraya que el artículo 5, apartado 3, de la Directiva sobre la privacidad y las comunicaciones electrónicas requiere que el usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular, sobre los fines del tratamiento de los datos. Pues bien, una información clara y completa debe permitir al usuario determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que dicho consentimiento se otorgue con pleno conocimiento de causa. A este respecto, el Tribunal de Justicia considera que el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas forman parte de la información clara y completa que el proveedor de servicios debe facilitar al usuario de un sitio de Internet.