El TJUE aclara que el término “consentimiento” en las leyes de protección de datos y privacidad se refiere, en relación al cumplimiento relativo a las cookies, a un consentimiento dado a través de un comportamiento activo del usuario.
Esta semana, el Tribunal de Justicia de la Unión Europea (TJUE) ha dictaminado la norma en relación a la definición del término ‘consentimiento’ cuando éste se aplica a la recogida e instalación de cookies. El caso que ha dado origen a ello es la disputa entre la Federación de Organizaciones del Consumidor de Alemania (‘la Federación’) y la empresa de juego online Planet49 GmbH.
Resumen del caso
El caso se centra en la lotería promocional que la empresa Planet49 publicó en su página web en septiembre de 2013.
A fin de participar en la lotería online, se les requería a los usuarios aportar su nombre, dirección y código postal. Debajo del campo de ‘dirección’, había dos textos explicativos, acompañado cada uno de su correspondiente casilla de verificación. La primera de ellas solicitaba a los usuarios dar su consentimiento para ser contactados por terceros, y la segunda lo requería para la instalación de cookies en el dispositivo. Se derivan dos cuestiones: la casilla de cookies estaba premarcada y la participación en la lotería sólo era posible si se marcaba también la primera casilla.
La sentencia explica que la Federación envió una carta a Planet29 donde le informaba que dicho sistema de Casillas no cumplía con los requisitos del Párrafo 307 del Código Civil alemán (BGB), leído de manera conjunta con el Párrafo 7 (2) (2) de la ley alemana de Competencia Desleal y los Párrafos12 y ss. de la ley de Telecomunicaciones alemana (TMG).
En consecuencia, en marzo de 2014 la Federación emitió un requerimiento donde pedía a Planet49 el cese de tales declaraciones y el pago de 214 € más intereses, lo cual fue respaldado por el Tribunal Regional.
A su vez, Planet49 presentó una apelación ante el Tribunal Regional Superior, y éste consideró que la petición de la Federación era infundada porque “primero, el usuario puede percatarse de que puede desmarcar la casilla de las cookies y, segundo, el texto eslo suficientemente claro desde un punto de vista tipográfico y proporciona información suficiente sobre cómo se utilizan las cookies, sin necesidad de aportar más información sobre la identidad de terceros que pueden acceder a dichos datos”.
Este fallo fue apelado por la Federación en el Tribunal de Justicia de Alemania, que consideró que la victoria de Planet49 se centró en la interpretación de una serie de artículos de la Directiva de comunicaciones electrónicas, leídos de manera conjunta con una serie de disposiciones de la Directiva de Protección de Datos y del RGPD.
El Tribunal estableció que “ante las dudas sobre la validez, a la luz de dichos artículos, sobre el consentimiento recogido por Planet49 por medio de la segunda casilla de verificación, decido remitir una cuestión prejudicial al Tribunal de Justicia de la Unión Europea”.
En concreto, se planteó la siguiente cuestión:
“¿Constituye consentimiento válido, conforme a la Directiva de Comunicaciones Electrónicas y la Directiva de Protección de Datos si el almacenamiento de información, o el acceso a información ya almacenada en el dispositivo del usuario, se permite mediante una casilla premarcada que el sujeto debe desmarcar si rechaza tal consentimiento?
Fallo del TJUE
Tras el análisis de la normativa correspondiente, en concreto la Directiva ePrivacy, la anterior Directiva en protección de datos y el RGPD, “se debe interpretar como significado que el consentimiento mencionado en tales artículos no es válido si, en forma de cookies, se almacena información o se accede a información ya almacenada en el terminal mediante una casilla premarcada que el usuario debe desmarcar si rechaza tal consentimiento”.
En definitiva, las cookies requieren consentimiento activo por parte del usuario.
¿Que es una cookie?
Norton explica que una cookie, conocida formalmente como una HTTP cookie “es una solicitud para un paquete de datos que un dispositivo recibe y luego envía sin alterarlo”.
Explica después que la finalidad de las cookies es permitir a las páginas web monitorizar la actividad de los usuarios.
Si consideramos que las cookies almacenan gran cantidad de datos que pueden identificar a un interesado, se trata de datos personales, y están sujetas a cumplimiento con el RGPD.
¿Cuáles son las implicaciones de la norma del TJUE?
Bostjan Makarovic, Socio Gerente de Aphaia, considera que aunque no era inesperado, este fallo del TJUE tiene importantes implicaciones para los negocios online “desde que la Directiva ePrivacy requiriese por primera vez consentimiento para las cookies, se ha discutido si este consentimiento podría ser implícito en lugar de explícito. Por ejemplo, hasta hace poco, incluso la ICO en Reino Unido estaba mostrando una posición tolerante a este respecto. Claramente esto está cambiando ahora. Los negocios online necesitan replantearse de manera urgente la aproximación que plantean en relación a las cookies
¿Tu empresa utiliza cookies? ¿Actualmente solicitas consentimiento activo de los usuarios? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPD, también Evaluaciones de Impacto, como subcontratación del Delegado de Protección de Datos.
