CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:158

CONCLUSIONES DEL ABOGADO GENERAL

SR. MACIEJ SZPUNAR

presentadas el 4 de marzo de 2020(1)

Asunto C‑61/19

Orange România SA

contra

Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)

[Petición de decisión prejudicial planteada por el Tribunalul Bucureşti (Tribunal de Distrito de Bucarest, Rumanía)]

«Cuestión prejudicial — Directiva 95/46/CE — Reglamento (UE) 2016/679 — Protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos — Servicios de telecomunicaciones móviles — Concepto de consentimiento del interesado — Manifestación de voluntad específica e informada — Declaración del consentimiento mediante una casilla — Carga de la prueba»

1. La presente petición de decisión prejudicial, planteada por el Tribunalul Bucureşti (Tribunal de Distrito de Bucarest, Rumanía), trae causa de un litigio entre un proveedor de servicios de telecomunicaciones y una autoridad nacional de protección de datos en relación con las obligaciones del primero en el marco de las negociaciones contractuales con los clientes en lo que respecta a la copia y el almacenamiento de la copia de un documento de identidad.

2. Brindará al Tribunal de Justicia la ocasión de avanzar en la aclaración del concepto de «consentimiento» del interesado, un elemento fundamental de la legislación de la Unión Europea sobre protección de datos que tiene su origen en el derecho fundamental a la protección de datos. A este respecto, el Tribunal de Justicia deberá abordar también la cuestión de la carga de la prueba en cuanto a si el interesado ha dado o no el consentimiento.

Marco jurídico

Derecho de la Unión

Directiva 95/46/CE

3. Conforme al artículo 2, letra h), de la Directiva 95/46/CE, (2) a efectos de la presente Directiva, se entenderá por «“consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan».

4. El capítulo II de la citada Directiva está dedicado a las condiciones generales para la licitud del tratamiento de datos personales.

5. Su artículo 6, sobre los «principios relativos a la calidad de los datos», (3) está redactado en los siguientes términos:

«1. Los Estados miembros dispondrán que los datos personales sean:

a) tratados de manera leal y lícita;

b) recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines; no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas;

c) adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente;

[…]

2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.»

6. El artículo 7 de la Directiva 95/46 se ocupa de los «principios relativos a la legitimación del tratamiento de datos». (4) Con arreglo a esta disposición:

«Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

b) es necesario para la ejecución de un contrato en el que el interesado sea parte o para la aplicación de medidas precontractuales adoptadas a petición del interesado; […]

[…]»

Reglamento (UE) 2016/679

7. Con arreglo al artículo 4, punto 11, del Reglamento (UE) 2016/679, (5) a efectos del presente Reglamento se entenderá por «“consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen».

8. El artículo 6, apartado 1, letras a) y b), de dicho Reglamento está redactado en los siguientes términos:

«El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.»

9. El artículo 7, apartado 1, del mismo Reglamento dispone que «cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales».

Derecho rumano

10. La legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Ley n.^o 677/2001 para la protección de las personas respecto del tratamiento de datos personales y la libre circulación de tales datos; en lo sucesivo, «Ley n.^o 677/2001») (6) tiene por objeto transponer las disposiciones de la Directiva 95/46 en el Derecho nacional.

11. Su artículo 32 está redactado en los siguientes términos:

«El tratamiento de datos personales realizado por un responsable del tratamiento o una persona encargada del mismo infringiendo lo dispuesto en los artículos 4 a 10 o sin tener debidamente en cuenta los derechos establecidos en los artículos 12 a 15 o en el artículo 17 constituirá una infracción administrativa, salvo si, por las condiciones en que se comete, constituyera una infracción penal, y será castigado con una sanción pecuniaria de entre 10 000 000 leis antiguos [1 000 leis rumanos (RON)] y 250 000 000 leis antiguos [25 000 RON].»

Hechos, procedimiento y cuestiones prejudiciales planteadas

12. Orange România SA es un proveedor de servicios de telecomunicaciones móviles en el mercado rumano que ofrece servicios tanto mediante el sistema «PrePay» (prepago) (7) como por medio de la celebración de un contrato de prestación de servicios. (8)

13. El 28 de marzo de 2018, la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Autoridad Nacional de Supervisión del Tratamiento de Datos Personales; en lo sucesivo, «ANSPDCP»), emitió un informe con fundamento en las disposiciones del artículo 32 de la Ley n.^o 677/2001, en relación con lo dispuesto en el artículo 8 de la misma, en el que se incluía la imposición de una sanción administrativa a Orange România basada en que la conservación y la recopilación de las copias de los documentos de identidad de sus clientes se habían realizado sin el consentimiento expreso de estos últimos.

14. A este respecto, la ANSPDCP señaló que Orange România había celebrado contratos en papel de prestación de servicios de telecomunicaciones móviles con clientes personas físicas en los establecimientos comerciales, y que se habían adjuntado a los citados contratos copias de los documentos de identidad de los respectivos clientes. En el contenido de los contratos se indicaba, en particular, la circunstancia de que los respectivos clientes habían sido informados y se habían manifestado de acuerdo con la obtención y almacenamiento (por Orange România) de dichas copias, y que la existencia del consentimiento se hacía constar marcando una casilla en la documentación escrita que acreditaba la existencia del contrato.

15. El fragmento pertinente de los contratos en cuestión está redactado de la siguiente forma:

– «El cliente declara que:

i) antes de la celebración del contrato, ha sido informado del plan de tarifas elegido, las tarifas aplicables, la duración mínima del contrato, las condiciones de resolución de dicho [contrato] y las condiciones necesarias para obtener y utilizar los servicios, incluido el ámbito de cobertura de estos, de conformidad con lo dispuesto en el artículo 11 de la Decizia ANCOM n.^o 158/2015 (Decisión ANCOM n.^o 158/2015) y en la O. U.G. [n.^o] 34/2014 (Decreto-ley n.^o 34/2104), así como sobre el derecho de rescisión unilateral que puede ejercitarse de conformidad con el artículo 1.17 de las condiciones generales de la contratación de Orange (en lo sucesivo, “CGC”);

ii) Orange România ha puesto a disposición del cliente toda la información necesaria para que pueda manifestar su consentimiento sin vicios, expreso, libre y específico acerca de la celebración y la aceptación expresa del contrato, incluida toda la documentación contractual (CGC y documento informativo de tarifas y servicios);

iii) ha sido informado y ha manifestado su consentimiento sobre:

el tratamiento de los datos personales para los fines previstos en el artículo 1.15 de las CGC;

el hecho de que [Orange] conserva copias de los documentos que contienen datos personales destinados a su identificación;

el consentimiento para el tratamiento de datos personales (número de teléfono de contacto, dirección de correo electrónico) a efectos de marketing directo;

el consentimiento para el tratamiento de datos personales (número de teléfono de contacto, dirección de correo electrónico) a efectos de realizar estudios de mercado;

he leído y doy mi consentimiento expreso para que se conserven copias de los documentos con datos personales relativos al estado de salud;

que los datos mencionados en el artículo 1.15, apartado 10, de las CGC no sean incluidos en los servicios de información relativos a los abonados y los registros de los abonados.»

16. Según la ANSPDCP, Orange România no demostró que los clientes hubiesen tomado una decisión informada en relación con la obtención y almacenamiento de las copias de sus documentos de identidad.

17. Orange România interpuso recurso ante el órgano jurisdiccional remitente contra la sanción impuesta el 28 de marzo de 2018.

18. Según las verificaciones efectuadas por el órgano jurisdiccional remitente, existen contratos en los que la opción libremente expresada por el cliente respecto a la conservación de una copia del documento de identidad consta mediante la selección de una casilla, además de casos opuestos en que los clientes se han negado a expresar su conformidad. Según se desprende del «procedimiento interno» de comercialización de Orange România, en estos últimos casos, la empresa incluía las menciones necesarias en relación con la negativa del cliente a que se conservase una copia del documento de identidad cumplimentando un formulario específico a tal efecto y, posteriormente, procedía a celebrar el contrato. Por lo tanto, pese a lo mencionado en sus condiciones generales de contratación, Orange România no había impedido que los clientes celebrasen contratos de abono incluso en los casos en que estos no hubiesen dado su consentimiento a que se conservase una copia del documento de identidad.

19. El órgano jurisdiccional remitente considera que, en estas circunstancias, reviste especial importancia que el Tribunal de Justicia se pronuncie sobre los criterios aplicables para determinar si el consentimiento es «específico» e «informado» y, en su caso, sobre el valor probatorio de la firma de contratos como los controvertidos en el asunto principal.

20. En tales circunstancias, mediante resolución de 14 de noviembre de 2018, recibida en el Tribunal de Justicia el 29 de enero de 2019, el Tribunalul București (Tribunal de Distrito de Bucarest) planteó las cuestiones prejudiciales siguientes:

«1) A efectos del artículo 2, letra h), de la [Directiva 95/46], ¿cuáles son los requisitos que deben cumplirse para poder considerar que una manifestación de voluntad es específica e informada?

2) A efectos del artículo 2, letra h), de la [Directiva 95/46], ¿cuáles son los requisitos que deben cumplirse para poder considerar que una manifestación de voluntad ha sido libremente expresada?»

21. Han presentado observaciones escritas las partes del litigio principal, los Gobiernos rumano, italiano, austriaco y portugués y la Comisión Europea. Orange România, el Gobierno rumano y la Comisión Europea estuvieron representados en la vista celebrada el 11 de diciembre de 2019.

Apreciación

22. En el presente asunto, se pide al Tribunal de Justicia que precise los requisitos para que el consentimiento al tratamiento de los datos personales pueda considerarse válido.

Observaciones preliminares

Sobre los instrumentos jurídicos aplicables

23. El Reglamento 2016/679, que es aplicable desde el 25 de mayo de 2018, (9) derogó la Directiva 95/46 con efecto a partir de esa misma fecha. (10)

24. La resolución de la ANSPDCP controvertida en el litigio principal se adoptó el 28 de marzo de 2018, que antecede a la fecha a partir de la que es aplicable el Reglamento 2016/679. Pese a ello, la ANSPDCP no se limitó a imponer una sanción pecuniaria a Orange România, sino que, además, exigió la destrucción de las copias de los documentos de identidad en cuestión. El litigio principal tiene también por objeto este último requerimiento, el cual tiene efectos en el futuro, motivo por el cual el Reglamento resulta aplicable ratione temporis.

25. Por consiguiente, procede responder a las cuestiones prejudiciales planteadas atendiendo tanto a la Directiva 95/46 como al Reglamento 2016/679. (11) Por otra parte, este Reglamento deberá tenerse en cuenta en el análisis de las disposiciones de la Directiva 95/46. (12)

Delimitación del alcance de las cuestiones prejudiciales

26. Las dos cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente se han formulado de manera excesivamente general y abstracta, por lo que es necesario adaptarlas de modo que se correspondan con los hechos del litigio principal, a fin de orientar al órgano jurisdiccional remitente y poder dar adecuada respuesta a las cuestiones planteadas. Para ello, considero esencial traer a colación de manera sucinta los hechos del litigio principal conforme se desprenden de la resolución de remisión del órgano jurisdiccional remitente junto con la información proporcionada por las partes del litigio, en particular durante la vista ante el Tribunal de Justicia.

27. La autoridad nacional de protección de datos de Rumanía, la ANSPDCP, sancionó a Orange România por haber recopilado y conservado copias de los documentos de identidad de sus clientes sin el consentimiento de estos. Dicha autoridad constató que esta empresa había celebrado contratos de prestación de servicios de telecomunicaciones móviles, y que se habían adjuntado a los citados contratos copias de los documentos de identidad. Tales contratos estipulaban supuestamente que los clientes habían sido informados y habían dado su consentimiento a la obtención y almacenamiento de dichas copias, lo que se demostraría marcando las casillas de las cláusulas contractuales. Sin embargo, según las constataciones de la ANSPDCP, Orange România no había aportado la prueba de que, en el momento de la celebración de los contratos, los clientes afectados hubieran realizado una elección informada en cuanto a la obtención y almacenamiento de dichas copias.

28. Cuando alguien desea establecer una relación contractual con Orange România, y un representante de esta empresa lo asesora sobre las estipulaciones de un contrato en particular, dicho representante normalmente trabaja en un ordenador con un modelo de contrato que contiene una casilla relativa a la conservación por parte de Orange România del documento de identidad. Parece que al cliente se le informa de que no es necesario marcar esta casilla. En caso de que el cliente no esté conforme con que se fotocopie y conserve su documento de identidad, deberá hacerlo constar por escrito en el contrato. Al parecer, esta última exigencia de constancia manuscrita se debe al procedimiento interno de comercialización de Orange România; además, se informa al cliente de que puede negarse, aunque solo oralmente, y no por escrito.

29. Ante estas circunstancias, entiendo que mediante estas dos cuestiones prejudiciales, que deben examinarse conjuntamente, el órgano jurisdiccional remitente desea que se dilucide si un interesado que desea establecer una relación contractual para la prestación de servicios de telecomunicación móvil con una empresa presta un consentimiento «específico e informado» y «libremente expresado» en el sentido del artículo 2, letra h), de la Directiva 95/46 y del artículo 4, punto 11, del Reglamento 2016/679 a dicha empresa, cuando se le exige que indique por escrito, en un contrato por lo demás normalizado, su negativa a dar su consentimiento a que se fotocopie y conserve su documento de identidad.

30. A este respecto, el órgano jurisdiccional remitente parece necesitar orientación en cuanto a la carga y el grado de prueba de dicha empresa.

El consentimiento como requisito previo para el tratamiento de datos personales

31. El presente asunto versa sobre el tratamiento de datos personales en la celebración de contratos de servicios de telecomunicaciones.

32. Todo tratamiento de datos personales debe, (13) por una parte, ser conforme con los principios relativos a la calidad de los datos, enunciados en el artículo 6 de la Directiva 95/46 o en el artículo 5 del Reglamento 2016/679, y, por otra parte, con alguno de los criterios relativos a la legitimación del tratamiento de datos, enumerados en el artículo 7 de dicha Directiva o en el artículo 6 de dicho Reglamento. (14) Tal como subraya la Comisión, los seis criterios que recoge el artículo 7 de la Directiva 95/46 son en realidad la expresión de un principio más amplio, recogido en su artículo 6, apartado 1, letra a), que dispone que los datos personales deben ser tratados de manera leal y lícita.

33. El artículo 7 de la Directiva 95/46 establece una lista exhaustiva y taxativa de los casos en que un tratamiento de datos personales puede considerarse lícito. (15) El tratamiento de datos personales únicamente puede llevarse a cabo si concurre al menos uno de los seis criterios que determinan la legitimidad del tratamiento. La existencia de consentimiento «inequívoco» del interesado es uno de ellos.

Sobre el concepto de consentimiento

34. A su vez, el consentimiento del interesado se define en el artículo 2, letra h), de la Directiva 95/46 como toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.

35. Esta redacción se corresponde (16) en gran medida con la del artículo 4, punto 11, del Reglamento 2016/679, que define el consentimiento del interesado como toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. (17)

36. La exigencia de consentimiento del interesado es una característica esencial subyacente a la legislación de la Unión sobre protección de datos. (18) Figura en la Carta de los Derechos Fundamentales de la Unión Europea, en la que se establece en su artículo 8 que los datos se tratarán de modo leal, para fines concretos y sobre la base del consentimiento de la persona afectada o en virtud de otro fundamento legítimo previsto por la ley. En un contexto más general, el concepto de consentimiento permite al interesado afectado decidir por sí mismo sobre la legitimidad de las propias medidas restrictivas de su derecho a la protección de datos personales. (19)

37. El principio rector sobre el que se asienta la legislación de la Unión sobre protección de datos es el de la decisión autónoma de un particular con capacidad para elegir sobre la utilización y el tratamiento de sus datos. (20) Es la exigencia de consentimiento lo que le permite hacer esta elección y lo que, a la vez, le protege en situaciones que son por su propia naturaleza asimétricas. (21) Únicamente cuando el consentimiento es libre, específico e informado se cumple lo exigido por la Directiva 95/46 y del Reglamento 2016/679.

38. Es preciso realizar ahora tres breves observaciones sobre la aparente diferencia en la redacción de estas disposiciones.

39. En primer lugar, el artículo 4, punto 11, del Reglamento 2016/679, a diferencia del artículo 2, letra h), de la Directiva 95/46, hace mención expresa a una manifestación de voluntad «inequívoca». En mi opinión, el motivo es muy sencillo: el artículo 7, letra a), de dicha Directiva, sobre los principios relativos a la legitimación del tratamiento de datos, al que ya se ha hecho referencia anteriormente, exige que el interesado dé su consentimiento «de forma inequívoca», mientras que la disposición correspondiente del Reglamento 2016/679, el artículo 6, apartado 1, letra a), no contiene esta precisión. En otras palabras, el criterio de la manifestación inequívoca simplemente se ha trasladado a la disposición más general del Reglamento 2016/679.

40. En segundo lugar, el artículo 4, punto 11, del Reglamento 2016/679 precisa que el interesado se manifiesta «mediante una declaración o una clara acción afirmativa». Esta aclaración es en realidad una novedad del Reglamento y no se refleja semánticamente en la Directiva 95/46.

41. En tercer lugar, por lo que respecta al carácter «informado» del consentimiento del interesado, la versión en lengua francesa de la Directiva 95/46 difiere de la del Reglamento 2016/679. Mientras que el artículo 2, letra h), de la Directiva menciona una «manifestation de volonté […] informé», el artículo 4, punto 11, de dicho Reglamento habla de «manifestation de volonté […] eclairée».

42. Yo entiendo que este cambio en la redacción resulta más confuso que aclaratorio, ya que, según creo, la versión en lengua francesa es la única o, al menos, una de las pocas versiones lingüísticas que hacen esta distinción. Distintas versiones lingüísticas, entre ellas, por cierto, las de las otras lenguas romances, emplean exactamente los mismos términos en este sentido, (22) en tanto que otras versiones lingüísticas presentan ligeras variaciones, pero aun así están lejos de hacer la distinción que hace la versión en lengua francesa. (23)

43. Volveré más adelante sobre el concepto de consentimiento «informado».

Consentimiento libremente expresado

44. La exigencia de una «manifestación» de voluntad del interesado apunta claramente a un comportamiento activo, y no pasivo, (24) y requiere que el interesado goce de un grado elevado de autonomía al decidir si da o no el consentimiento. (25) Respecto a la situación específica de un juego en línea en un sitio web, el Tribunal de Justicia ha declarado que el consentimiento dado mediante una casilla marcada por defecto no implica un comportamiento activo por parte del usuario de un sitio web en Internet. (26)

45. Yo entiendo que esta misma conclusión resulta igualmente aplicable en el ámbito analógico: el consentimiento dado mediante una casilla marcada por defecto no puede implicar un consentimiento activo por parte de quien se enfrenta a un documento físico que acaba firmando en última instancia. En realidad, en una situación semejante, no se sabe si el texto redactado previamente en cuestión se ha leído y entendido. La situación no es inequívoca. Es posible que se haya leído el texto, pero también es posible que no se haya leído: el «lector» podría no haberlo leído por simple negligencia y, en esa situación, no es posible determinar si el consentimiento se ha prestado libremente. (27)

Consentimiento informado

46. No debe haber lugar a duda ninguna en cuanto a que el interesado no haya sido suficientemente informado. (28)

47. El interesado debe estar informado de todas las circunstancias del tratamiento de los datos y de sus consecuencias. Debe conocer, en particular, qué datos serán tratados, la duración del tratamiento, y su forma y fines específicos. Asimismo, debe saber quién trata los datos y si se transferirán a terceros. Es indispensable que haya sido informado de las consecuencias de negarse a dar su consentimiento al tratamiento de los datos: ¿es dicho consentimiento una condición para la celebración del contrato? (29)

Sobre la carga de la prueba

48. Esto nos deja ante la cuestión siguiente: ¿a quién corresponde probar que un interesado se hallaba en situación de poder prestar su consentimiento de manera conforme con los criterios que acaban de exponerse?

49. El artículo 7, apartado 1, del Reglamento 2016/679 es claro y no deja margen a la duda: cuando el tratamiento se base en el consentimiento del interesado, corresponde al responsable del tratamiento demostrar que aquel consintió el tratamiento de sus datos personales. (30) Esta disposición constituye una concreción del principio de responsabilidad proactiva, consagrado en el artículo 5, apartado 2, del Reglamento 2016/679. Yo entiendo que la finalidad de esta disposición requiere una interpretación amplia, en el sentido de que el responsable del tratamiento debe no solo demostrar que el interesado ha dado su consentimiento, sino, además, probar que concurren todas las condiciones relativas a su efectividad. (31)

50. Hay autores que albergan dudas de que el artículo 7, apartado 1, del Reglamento 2016/679 se refiera a la carga de la prueba, y apuntan a la génesis legislativa del Reglamento. (32) Se afirma que, aunque tanto la propuesta de redacción de la Comisión como la del Parlamento Europeo hacían referencia expresa a la «carga de la prueba», esta expresión no se refleja en el texto adoptado, que, por tanto, es la ley aplicable.

51. Esta aseveración merece un análisis más detenido.

52. La propuesta inicial de la Comisión (33) menciona, en efecto, la «carga de la prueba» que debe soportar el responsable del tratamiento. En esta misma línea, el Parlamento Europeo en primera lectura (34) no se opuso a esta redacción. Fue el Consejo (35) el que remplazó la expresión «carga de la prueba» por «deberá ser capaz de demostrar», referida al responsable del tratamiento. La versión definitiva se adoptó posteriormente con este texto.

53. Yo no concedería demasiada importancia a este cambio en la redacción. (36) El Consejo no motiva en ninguna parte de los considerandos de su Posición el cambio de redacción propuesto. (37) Esto supone un indicio de que esta institución pretendía meramente modificar semánticamente la disposición en cuestión, sin alterar el sentido. Desde esta perspectiva, en realidad, la expresión «deberá ser capaz de demostrar» describe de forma más sencilla el sentido de la expresión «carga de la prueba». (38)

54. Por lo tanto, podemos considerar a ciencia cierta que el artículo 7, apartado 1, del Reglamento 2016/679 hace recaer en el responsable del tratamiento la carga de la prueba en el caso del consentimiento del interesado al tratamiento de los datos personales. (39) Cualquier duda que genere la prestación del consentimiento del interesado corresponde disiparla al responsable del tratamiento aportando prueba. (40) La carga de probar que se ha puesto al interesado en situación de poder prestar un consentimiento libre, específico e informado recae directamente en la entidad que lleve a cabo el tratamiento de los datos.

55. La situación jurídica resultante de la Directiva 95/46 no es distinta a este respecto.

56. A pesar de que la Directiva 95/46 no recoge una disposición específica comparable a la del artículo 7 del Reglamento n.^o 2016/679 sobre las condiciones de la prestación del consentimiento, la mayoría de las condiciones que se enuncian en ese artículo también pueden encontrarse en la Directiva. Pese a que la norma sobre la carga de la prueba no se establece expresamente en la Directiva, sí se desprende, al menos indirectamente, cuando estipula (41) que «el interesado ha dado su consentimiento de forma inequívoca». (42)

Sobre la situación de Orange România

57. Me gustaría ahora aplicar estos criterios al presente litigio.

58. Debo señalar, a modo de observación preliminar, que la cuestión relativa a si Orange România puede o no exigir a sus clientes que den su consentimiento a la copia y el almacenamiento de sus documentos de identidad queda fuera del ámbito del presente asunto, dado que, en el caso de esta empresa, ello no constituye una condición previa para la celebración del contrato. El presente asunto, en otras palabras, no versa sobre la interpretación del artículo 7, letra b), de la Directiva 95/46 ni el artículo 6, apartado 1, letra b), del Reglamento 2016/679. Dicho esto, a mi parecer, es legítimo que una empresa solicite a sus clientes que faciliten determinados datos personales y, en particular, que demuestren su identidad a efectos de la celebración de un contrato. Exigir a un cliente que dé su consentimiento a la copia y almacenamiento del documento de identidad, no obstante, sí parece ir más allá de lo necesario para la ejecución del contrato.

59. A juzgar por la información disponible, entiendo que los clientes de Orange România no prestan un consentimiento libre, específico e informado en las circunstancias descritas por el órgano jurisdiccional remitente.

60. En primer lugar, no existe consentimiento libre. Obligar a un cliente a que indique por escrito que no consiente en la copia y almacenamiento del documento de identidad no permite prestar libremente el consentimiento en el sentido de que se pone al cliente en una situación en la que se lo aparta ostensiblemente del procedimiento ordinario que conduce a la celebración de un contrato. Los clientes no deben tener la percepción, en este sentido, de que su negativa a dar su consentimiento a que se copien y almacenen sus documentos de identidad sea algo anómalo en el procedimiento. En este sentido, debo recordar que el Tribunal de Justicia ha hecho hincapié en el comportamiento activo por parte del interesado con vistas a otorgar su consentimiento. (43) Por tanto, para dar el consentimiento, es necesaria una acción positiva por parte del interesado. Sin embargo, en el caso de autos parece darse la situación contraria: se requiere una acción positiva para denegar el consentimiento. Volviendo a la sentencia dictada en el asunto Planet49, (44) si desmarcar una casilla previamente marcada en un sitio web se considera una carga demasiado onerosa para un cliente, con mayor motivo no cabe esperar razonablemente de un cliente que manifieste por escrito su negativa al consentimiento.

61. En segundo lugar, no existe consentimiento informado. Al cliente no se le deja meridianamente claro que negarse a que se copie y almacene su documento de identidad no impedirá la celebración del contrato. Un cliente no toma una decisión informada si desconoce las consecuencias.

62. En tercer lugar (y solo hipotéticamente), no existe indicio alguno de que Orange România haya logrado probar que los clientes consintieran el tratamiento de sus datos personales. En este sentido, la falta de claridad palmaria de sus procedimientos internos desde luego no aportaría la prueba de que el consentimiento ha sido prestado por el cliente. Ni dicha falta de claridad ni las instrucciones contradictorias transmitidas al personal de ventas pueden ir en detrimento del cliente, en este caso el interesado.

Conclusión

63. A la luz de las consideraciones anteriores, propongo al Tribunal de Justicia que responda a las cuestiones prejudiciales planteadas por el Tribunalul București (Tribunal de Distrito de Bucarest, Rumanía) del siguiente modo:

Un interesado que desea establecer una relación contractual para la prestación de servicios de telecomunicaciones con una empresa no presta su consentimiento, es decir, no manifiesta su voluntad «libre, específica e informada», en el sentido del artículo 2, letra h), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y del artículo 4, punto 11, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), a dicha empresa cuando se le exige que indique por escrito, en un contrato por lo demás normalizado, su negativa a dar su consentimiento a que se fotocopie y almacene su documento de identidad.

1 Lengua original: inglés.

2 Directiva del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31).

3 El artículo 6 es el único artículo de la sección I del capítulo II de la Directiva 95/46.

4 El artículo 7 es el único artículo de la sección II del capítulo II de la Directiva 95/46.

5 Reglamento del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).

6 Monitorul Oficial al României, n.^o 790 de 12 de diciembre de 2001.

7 En cuyo caso los beneficiarios pagan por adelantado el precio del servicio que se les prestará.

8 En cuyo caso el precio de los servicios prestados por la sociedad es abonado por los beneficiarios con posterioridad sobre la base de las facturas emitidas.

9 Según el artículo 99, apartado 2, del Reglamento 2016/679.

10 Véase el artículo 94, apartado 1, del Reglamento 2016/679.

11 Véase la sentencia de 1 de octubre de 2019, Planet49 (C‑673/17, EU:C:2019:801), apartados 38 a 43, para un planteamiento similar en una situación comparable, y mis conclusiones presentadas en dicho asunto (C‑673/17, EU:C:2019:246), puntos 44 a 49. Véase, asimismo, la sentencia de 11 de diciembre de 2018, Weiss y otros (C‑493/17, EU:C:2018:1000), apartado 39.

12 Véase la sentencia de 24 de septiembre de 2019, GC y otros (Retirada de enlaces a datos sensibles) (C‑136/17, EU:C:2019:773), apartado 33.

13 A reserva, claro está, de las excepciones y limitaciones previstas en el artículo 13 de la Directiva 95/46 y el artículo 23 del Reglamento 2016/679.

14 Véase la sentencia de 16 de enero de 2019, Deutsche Post (C‑496/17, EU:C:2019:26), apartado 57. Véanse asimismo las sentencias de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 71 y jurisprudencia citada, y de 11 de diciembre de 2019, Asociaţia de Proprietari bloc M5A-ScaraA (C‑708/18, EU:C:2019:1064), apartado 36.

15 Véanse las sentencias de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito (C‑468/10 y C‑469/10, EU:C:2011:777), apartado 30; de 19 de octubre de 2016, Breyer (C‑582/14, EU:C:2016:779), apartado 57, y de 1 de octubre de 2019, Planet49 (C‑673/17, EU:C:2019:801), apartado 53.

16 Véase, asimismo, Bygrave, L.A. y Tosoni, L., en Kuner, C., Bygrave, L.A, Docksey, C. (eds): «The EU General Data Protection Regulation (GDPR)», OUP, Oxford, 2020, Article 4(11), C.1., p. 181.

17 Obviamente, estos criterios tienen naturaleza acumulativa, lo que implica que existe un umbral elevado para que el consentimiento sea válido. Véase Bygrave, L.A., Tosoni, L., en Kuner, C., Bygrave, L.A, Docksey, C. (eds): «The EU General Data Protection Regulation (GDPR)», OUP, Oxford, 2020, Article 4(11), C.1., p. 181.

18 Véanse mis conclusiones presentadas en el asunto Planet49 (C‑673/17, EU:C:2019:246), punto 57 y siguientes. Véase, asimismo, Heckmann, D., y Paschke, A., en Ehmann, E., Selmayr, M. (eds.): «Datenschutz-Grundverordnung, Kommentar», C. H. Beck, Múnich, 2.^a ed., 2018, Artikel 7, apartado 9: «La piedra angular de la protección de datos».

19 Véase, en este sentido, Buchner, B.: «Informationelle Selbstbestimmung im Privatrecht», Mohr Siebeck, Tübingen, 2006, p. 232, quien se refiere al derecho a la autodeterminación informativa en este contexto (tal y como ha sido desarrollado por la jurisprudencia del Tribunal Constitucional alemán a partir de la sentencia de 15 de diciembre de 1983, 1 BvR 209, 269, 362, 420, 440, 484/83, BVerfGE 65,1).

20 Véase, asimismo, Klement, J. H., en Simitis, S., Hornung, G., Spieker, I., gen. Döhmann, I. (eds.): «Datenschutzrecht», Nomos, Baden-Baden, 2019, Artikel 7, apartado 1, quien subraya que en un ordenamiento jurídico que se basa en la dignidad, la libertad y la responsabilidad individuales y las fomenta, el tratamiento de datos personales debe venir legitimado mediante la decisión autónoma del interesado.

21 Véase, además, el considerando 43 del Reglamento n.^o 2016/679, que se refiere a las situaciones en las que puede haber «un desequilibro claro entre el interesado y el responsable del tratamiento».

22 Véanse, a modo de ejemplo, las versiones en las lenguas española («manifestación de voluntad […] informada»), portuguesa («manifestação de vontade […] informada»), rumana («manifestare de voință […] informată»), danesa («informeret viljetilkendegivelse»), sueca («informerad viljeyttring») y maltesa («infurmata»).

23 Véanse, a modo de ejemplo, las versiones en las lenguas neerlandesa («op informatie berustende wilsuiting» en la Directiva, y «geïnformeerde wilsuiting» en el Reglamento), polaca («świadome […] wskazanie» en la Directiva, y «świadome […] okazanie woli» en el Reglamento) y alemana («Willensbekundung, die […] in Kenntnis der Sachlage erfolgt» en la Directiva e «in informierter Weise […] abgegebene Willensbekundung» en el Reglamento).

24 Véase la sentencia de 1 de octubre de 2019, Planet49 (C‑673/17, EU:C:2019:801), apartado 52.

25 Véase Bygrave, L.A. y Tosoni, L., en Kuner, C., Bygrave, L.A, Docksey, C. (eds): «The EU General Data Protection Regulation (GDPR)», OUP, Oxford, 2020, Article 4(11), C.1., p. 182.

26 Ibídem.

27 Véanse, por analogía, mis conclusiones presentadas en el asunto Planet49 (C‑673/17, EU:C:2019:246), punto 62. Véase también la sentencia de 1 de octubre de 2019, Planet49 (C‑673/17, EU:C:2019:801), apartado 55.

28 En última instancia, el consentimiento informado dimana del principio de transparencia, como se consagra en el artículo 5, apartado 1, letra a), del Reglamento n.^o 2016/679. Véase Bygrave, L.A. y Tosoni, L., en Kuner, C., Bygrave, L.A, Docksey, C. (eds): «The EU General Data Protection Regulation (GDPR)», OUP, Oxford, 2020, Article 4(11), C.1., p. 184.

29 Según algunos autores, el catálogo de información que figura en los artículos 10 y 11 de la Directiva 95/46 no es exhaustivo, de modo que el responsable del tratamiento puede también facilitar al interesado cualquier otra información pertinente sobre las condiciones de uso de los datos personales. Véase, por ejemplo, Mednis, A.: «Cechy zgody na przetwarzanie danych osobowych w opinii Grupy Roboczej Art. 29 dyrektywy 95/46», Monitor Prawniczy (dodatek) 2012, n.^o 7, p. 27.

30 Según esta disposición, incumbe al responsable del tratamiento ser capaz de demostrar que los datos personales se traten de manera lícita, leal y transparente en relación con el interesado.

31 Véase también, a este respecto, Stemmer, B., en St. Brink, H. A. Wolff.: «Beck’scher Onlinekommentar Datenschutzrecht», C. H. Beck, Múnich, 30.^a ed., a fecha de 1 de noviembre de 2019, Artikel 7 DSGVO, punto 87, y Buchner, J., Kühling, B., en Buchner, J., Kühling, B. (eds.): «Datenschutz-Grundverordnung/BDSG, Kommentar», C. H. Beck, Múnich, 2.^a ed. 2018, Artikel 7 DS-GVO, punto 22.

32 Véase Klement, J. H., en Simitis, S, Hornung, G., Spieker gen. Döhmann, I. (eds.): «Datenschutzrecht», Nomos, Baden-Baden, 2019, Artikel 7, punto 46.

33 En la propuesta inicial de la Comisión, el artículo 7, apartado 1, presentaba el siguiente tenor: «El responsable del tratamiento asumirá la carga de la prueba de que el interesado ha dado su consentimiento para el tratamiento de sus datos personales para determinados fines». Véase la Propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), COM(2012) 11 final p. 45.

34 El Parlamento Europeo en primera lectura no propuso modificar la redacción del artículo 7, apartado 1, en cuanto a la expresión «carga de la prueba». Se conformó con puntualizar que el artículo 7, apartado 1, se refería a una situación en la que el tratamiento se basaba en el consentimiento. Véase la Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos), COM(2012) 11, DO 2017, C 378, p. 399, en p. 428.

35 «Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.» Véase la Posición (UE) n.^o 6/2016 del Consejo en primera lectura con vistas a la adopción de un Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), adoptada por el Consejo el 8 de abril de 2016 (DO 2016, C 159, p. 1), en p. 36.

36 Véase también, en este sentido, Kosta, E., en Kuner, C., Bygrave, L.A., Docksey, C (eds): «The EU General Data Protection Regulation (GDPR)», OUP, Oxford, 2020, Article 7, C.2, en pp. 349-350.

37 Véanse, en particular, los considerandos 42 y 43, que motivan el artículo 7.

38 Buchner, B.: «Informationelle Selbstbestimmung im Privatrecht», Mohr Siebeck, Tübingen, 2006, pp. 243‑245, presenta una explicación conceptual interesante sobre los motivos por los que la carga de la prueba recae en el responsable del tratamiento, y establece una analogía con la situación, en Derecho nacional, de la responsabilidad de los profesionales médicos, en la que la carga de la prueba recae asimismo en quienes llevan a cabo la restricción del derecho en cuestión.

39 Esta es, por otra parte, la opinión predominante de la doctrina; véase Klabunde, A., en Ehmann, E., Selmayr. M. (eds.): «Datenschutz-Grundverordnung, Kommentar», 2.^a ed., C. H. Beck, Múnich, 2018, Artikel 4, punto 52; Stemmer, B., en St. Brink, H. A. Wolff: «Beck’scher Onlinekommentar Datenschutzrecht», Beck, C.H, Múnich, 30.^a ed., a fecha de 1 de noviembre de 2019, Artikel 7 DSGVO, punto 87, y Buchner, J., Kühling, B., en Buchner, J., Kühling, B. (eds.): «Datenschutz-Grundverordnung/BDSG, Kommentar», C. H. Beck, Múnich, 2.^a ed. 2018, Artikel 7 DS-GVO, punto 22; y Barta, P., Kawecki, M., en Litwiński, P. (ed): «Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz», Beck, C.H., Varsovia, 2018, Artículo 7 del Reglamento, apartado 1.

40 Véase asimismo, en este sentido, Heckmann, D., Paschke, A., en Ehmann, E., Selmayr, M. (eds): «Datenschutz-Grundverordnung, Kommentar», 2.^a ed., C. H. Beck, Múnich, 2018, Artikel 7, punto 72.

41 Véase el artículo 7, letra a), de la Directiva 95/46. El subrayado es mío.

42 Véase a este respecto también, entre otros muchos, Buchner, J., Kühling, B., en Buchner, J., Kühling, B. (eds): «Datenschutz-Grundverordnung/BDSG, Kommentar», C. H. Beck, Múnich, 2.^a ed., 2018, Artikel 7 DS-GVO, puntos 5 y 22.

43 Véase la sentencia de 1 de octubre de 2019, Planet49 (C‑673/17, EU:C:2019:801), apartado 54.

44 Véase la sentencia de 1 de octubre de 2019 (C‑673/17, EU:C:2019:801).