La incidencia que tiene en nuestra día a día las Sentencias del TJUE y el Derecho comunitario o proveniente de la Unión Europea es cada vez mayor.
Así, una Sentencia del Tribunal del Justicia de la Unión Europea de 1 de octubre de 2019, en el asunto C‑673/17, entre Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV versus Planet49 GmbH (esto es, entre la Asociación Federal de Centros y Asociaciones de Consumidores y Planet 49 S.L.) tiene como consecuencia que hay que cambiar tanto la política de cookies como el modo de obtener el consentimiento para instalarlas y utilizarlas de forma válida en la inmensa mayoría de las páginas web actuales.
¿Qué son las cookies?
Las cookies o “chivatos” son ficheros que el proveedor de un sitio de Internet instala en el ordenador de los usuarios cuando estos acceden a dicho espacio web con el fin de facilitar la navegación o las transacciones y, sobre todo, con el fin de obtener información sobre el comportamiento y preferencia de dichos usuarios en el acceso y en la búsqueda de la información ofrecida o de los diferentes productos y servicios que se ofertan en dicha web.
Lo que establece ahora el Tribunal de Justicia de la Unión Europea es que el consentimiento para instalar cookies no se presta de manera válida con un sistema de casilla marcada por defecto que el usuario debe desmarcar si no desea dar su consentimiento.
El consentimiento tácito en cookies
Ello implica, con más motivo, que el consentimiento tácito para instalar cookies, con fórmulas tales como: “por el hecho de navegar y entrar en la web se entiende que aceptas las políticas de cookies”, y que es el modelo de consentimiento más utilizado en cookies nuestro país actualmente, tampoco es válido.
Después de la STJUE de 1 de octubre se requiere de un consentimiento inequívoco, en el que haya que marcar casillas que no están marcadas, y además, dicho consentimiento debe ser informado, puesto que el proveedor de servicios debe facilitar al usuario información sobre el tiempo durante el cual las cookies estarán activas, así como el tipo de cookies, y la posibilidad de navegar en la web incluso rechazándolas todas.
El mejor modelo para implementar la política de cookies en una web
El banner sobre consentimiento para cookies debe aparecer al principio de la página, destacado, dando una opción inicial, no “premarcada” y en igualdad de condiciones de “aceptar” o “rechazar” cookies, además de permitir seleccionar algunas cookies y excluir otras de forma informada.
Otra opción es la de la Agencia Española de Protección de Datos, que informa que no utiliza cookies para recoger información de los usuarios, ni registra las direcciones IP de acceso. Únicamente se utilizan cookies propias, de sesión, con finalidad técnica (aquellas que permiten al usuario la navegación a través del sitio web y la utilización de las diferentes opciones y servicios que en ella existen).
¿Qué dice la Sentencia?
Lo cierto es que esta Sentencia del TJUE supone una novedad relativa, ya que dicha solución se contenía en la Propuesta de Reglamento de E-Privacidad, que no llegó a aprobarse y que posiblemente se hará en breve, pero ya había base legal para aplicarse sobre la base del Reglamento General de Protección de datos de la Unión Europea, y eso es lo que ha aclarado la citada Sentencia.
Dicho esto, vamos a analizar brevemente la Sentencia TJUE de 1 de octubre de 2019 (asunto C-673/17, Planet49), en la que resuelve las cuestiones prejudiciales planteadas tanto sobre la base de la Directiva 95/46 (que es la primera que reguló las cookies ) como del RGPD.
Respecto del caso concreto, esta cuestión prejudicial tiene su origen en un litigio entre la Federación de Organizaciones y Asociaciones de Consumidores de Alemania y una sociedad (Planet49), que ofrece juegos en línea.
Planet49 organizó un juego con fines promocionales en un sitio de Internet. Los usuarios que deseaban participar en dicho juego debían introducir su código postal, accediendo así a una página web en la que debían introducir su nombre y dirección. Debajo de los campos reservados para facilitar la dirección figuraban dos casillas. La primera no estaba marcada por defecto y servía para que los usuarios prestasen su consentimiento “para que determinados patrocinadores y empresas colaboradoras puedan informarme por correo, teléfono, correo electrónico o SMS sobre ofertas de su respectivo ámbito de actividad”.
El enlace que figuraba en la mención que acompañaba a esta primera casilla, vinculado a las palabras “patrocinadores y empresas colaboradoras”, conducía a una lista en la que constaban cincuenta y siete empresas, sus direcciones, el sector de actividad publicitado y el medio de comunicación utilizado para la publicidad (correo electrónico, correo ordinario o teléfono). A continuación del nombre de cada empresa figuraba la expresión “dar de baja”.
La segunda casilla estaba marcada por defecto y, mediante la misma, el usuario prestaba su consentimiento para que el organizador del juego instalara cookies en el equipo del usuario con el fin de de poder observar su comportamiento de navegación y el uso de páginas web de socios publicitarios, así como para el envío de publicidad específica conforme a sus intereses.
La participación en el juego solo era posible si se marcaba, al menos, la primera casilla.
El Tribunal Supremo alemán, cuando le llega el caso, entiende que la solución del litigio depende de la interpretación de las disposiciones de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, artículo 2, letra h) de la Directiva 95/46 y del RDGP, por lo que decidió suspender el procedimiento y plantear al Tribunal de Justicia dos cuestiones prejudiciales relativas al alcance de la exigencia del consentimiento del usuario para la instalación de cookies en su equipo y sobre la información que se le debe facilitar a estos efectos.
Y la respuesta del TJUE es que;
«El consentimiento al que se hace referencia en los artículos 2, letra f), y 5, apartado 3, de la Directiva 95/46 no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento».
Según explica el Tribunal en el considerando 52 de la sentencia, acogiendo la opinión del Abogado General en sus conclusiones,
“la exigencia de una «manifestación» de voluntad del interesado sugiere claramente un comportamiento activo y no pasivo”
y en este sentido,
“el consentimiento dado mediante una casilla marcada por defecto no implica un comportamiento activo por parte del usuario de un sitio de Internet”, ya que “parece prácticamente imposible determinar de manera objetiva si el usuario de un sitio de Internet ha dado efectivamente su consentimiento para el tratamiento de sus datos personales al no quitar la marca de una casilla marcada por defecto y si dicho consentimiento ha sido dado, en todo caso, de manera informada”, pues “no puede descartarse que dicho usuario no haya leído la información que acompaña a la casilla marcada por defecto, o que ni tan siquiera la haya visto, antes de proseguir con su actividad en el sitio de Internet que visita” (considerando 55).
Por todo ello;
“la manifestación de voluntad a que se hace referencia en el articulo 2, letra h, de la Directiva 95/46 debe ser, en particular, «específica», en el sentido de que debe tener concretamente por objeto el tratamiento de datos de que se trate y no puede deducirse de una manifestación de voluntad que tenga un objeto distinto” (considerando 58).
Dicha interpretación viene avalada además la luz del RGPD, cuyo artículo 4, punto 11;
“es todavía más estricto puesto que exige una manifestación de voluntad «libre, específica, informada e inequívoca» del interesado, que ha de adoptar la forma de una declaración o de una «clara acción afirmativa» que marque su aceptación del tratamiento de datos personales que le conciernen”.
Por lo que no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
En segundo lugar, añade el TJUE en el número 2 del fallo, a estos efectos;
“resulta indiferente que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet sean o no datos personales, ya que si bien “la colocación de cookies controvertida en el litigio principal constituye un tratamiento de datos personales”, el artículo 5, apartado 3 de la Directiva 95/46 hace referencia al «almacenamiento de información» y a la «obtención de acceso a la información ya almacenada», sin calificar dicha información ni precisar si esta ha de consistir en datos personales” (considerandos 67 y 68).
Por último, y en respuesta la segunda cuestión prejudicial planteada, relativa a la información que el proveedor de servicios debe facilitar al usuario de un sitio de Internet según el artículo 5, aparado 3, de la Directiva 2002/58, el Tribunal declara en el número 3 de su fallo, que esta;
“incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas”.
Y ello porque, según se desprende del considerando 46 de esta sentencia;
“ el art. 5, aparado 3, de la Directiva 2002/58requiere que el usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, «con arreglo a lo dispuesto en la Directiva 95/46” y esta información clara y completa “debe permitir al usuario determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que dicho consentimiento se otorgue con pleno conocimiento de causa. Debe ser claramente comprensible y suficientemente detallada para que el usuario pueda comprender el funcionamiento de las cookies empleadas”, lo cual, en casos como el de autos, incluye “la información acerca del tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas” (considerandos 73, 74 y 75).
En particular, la información relativa al tiempo durante el cual las cookies estarán activas;
“responde a la exigencia [establecida en el artículo 10 de la Directiva], de que el tratamiento de los datos sea leal, puesto que, en una situación como la controvertida en el litigio principal, un período de tiempo largo, o incluso ilimitado, implica la recogida de numerosos datos sobre los hábitos de navegación y la frecuencia de las eventuales visitas del usuario a los sitios de los socios publicitarios del organizador del juego con fines promocionales”. Interpretación que “queda corroborada” por el artículo 13, apartado 2, letra a), del RGPD, que prevé que, para garantizar un tratamiento de datos leal y transparente, el responsable del tratamiento debe facilitar al interesado información, entre otras cosas, sobre el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, sobre los criterios utilizados para determinar este plazo” (considerandos 78 y 79).
En definitiva, que la mayoría de las páginas web de nuestro país y del resto de Estados Miembro de la Unión Europea deben adaptar su política de cookies y el modo de obtener el consentimiento para su correcta instalación y utilización a las exigencias del RGPD o el modelo de la AEPD, esto es, no instalar cookies.
Con todo, lo mejor es contar con un asesoramiento experto, como el del Departamento de Derecho y Nuevas Tecnologías de Navas & Cusí Abogados, para revisar la política de cookies y, de paso, comprobar la adecuación al RGPD y a la LOPD-GDD. Puede ponerse en contacto con nuestro despacho a través del formulario de contacto o llamando al 915 76 11 50
> Leer más en nuestro blog sobre noticias de Derecho de las Nuevas Tecnologías
> Leer más en nuestro blog sobre noticias de Derecho Mercantil y Societario
> Leer más en nuestro blog sobre noticias de Derecho Comunitario y la de Unión Europea