Cookies del Planeta 49

Comentario a la STJUE de 1 de octubre 2019, C-673/17, "Planet 49"

Jurisprudencia Cookies del Planeta 49
- Advertisment -

Por Ruben Cano Perez, Abogado IP/ICT en Baker McKenzie y Carlos Pérez Astorquiza Abogado Protección de Datos y PI en Kelpie Consultoría

La receta para las galletas parece que está cambiando. A principios de octubre, la sentencia del Tribunal de Justicia de la Unión Europea (“TJUE”)  Planet49, arrojaba cierta luz sobre el asunto de las cookies, y, recientemente, la Agencia Española de Protección de Datos (“AEPD”), ha publicado su  Guía sobre el uso de cookies, como antes lo hicieran las autoridades de control competentes en Francia, UK y Alemania.

¿Alguien ha dicho consentimiento?

La sentencia del TJUE analiza la cuestión planteada por el Bundesgerichtshof (Tribunal Supremo Alemán), cuyos hechos consisten en la práctica llevada a cabo por la empresa de juego online Planet49GmbH, y el uso que la misma hacía de diferentes cookies. El caso llega al alto tribunal alemán después de que la Federación Alemana de Organizaciones de Consumidores señalase que las declaraciones de consentimiento solicitadas por Planet49 mediante diversas casillas no cumplían los requisitos legales del ordenamiento jurídico germano. En concreto, los internautas que deseaban participar en el juego en línea recibían dos casillas de verificación.

La primera de ellas consistía en una casilla con la que los usuarios podían autorizar la comunicación de sus datos personales a patrocinadores y empresas colaboradoras de dicha sociedad con una finalidad publicitaria. En este caso, la casilla no estaba marcada previamente, no obstante, el marcado parecía necesario en la práctica para participar en el juego de lotería. Es decir, para participar en el juego, el concursante tenía que suministrar su consentimiento para recibir comunicaciones de marketing por parte de patrocinadores y otras entidades asociadas a Planet49.

La segunda casilla, previamente marcada, consistía en la prestación del consentimiento para la utilización de un servicio de análisis de páginas web, que permitiría a Planet49 instalar cookies para analizar el comportamiento de navegación y uso de páginas web de socios publicitarios de Planet49.

En el contexto anterior, el TJUE analiza cuestiones relacionadas con la interacción entre diversos artículos de la Directiva 2002/58 (“Directiva e-Privacy”), la Directiva 95/46 (“Directiva en materia de protección de datos”) y el Reglamento 2016/679 (“RGPD”).

Razonamiento y principales conclusiones

A la luz de la interacción de los instrumentos legislativos anteriores, los temas analizados a través de dos cuestiones prejudiciales y la visión del TJUE, podrían sintetizarse en los siguientes tres puntos.

  1. ¿Puede considerarse válido el consentimiento prestado mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de no desear otorgarlo?

La sentencia del TJUE establece que el uso de casillas marcadas previamente autorizando el uso de cookies o tecnologías similares no constituye un consentimiento valido de acuerdo con los artículos 5 (3) de la Directiva e-Privacy, artículo 3 (h) de la Directiva en materia de protección de datos y los artículos 4.11 y 6 (a) del RGPD. El tribunal parece entender que, en la práctica, sería imposible averiguar de manera objetiva si un usuario de la web ha suministrado o no su consentimiento para el tratamiento de sus datos personales en caso de no “deseleccionar” una casilla previamente marcada.

Del mismo modo destaca que, en la actualidad, los estándares de consentimiento del RGPD, requieren que sea “manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan”.

  • ¿Es relevante si la información almacenada o consultada en el equipo del usuario constituye o no datos personales?

Si bien los datos del caso en cuestión parecen constituir datos personales, el TJUE destaca que no es relevante si son o no datos personales. Es decir,la interpretación de los arts. 2 (f) y 5 de la Directiva e-Privacy, en relación con el art. 2. h) de la Directiva en materia de protección de datos y con los arts. 4.11 y 6.1. a) del RGPD, no han de interpretarse de manera diferente en función de si la información almacenada o consultada en el equipo del usuario constituye o no datos personales. Todo lo anterior puesto que “se pretende proteger al usuario de la injerencia en su esfera privada, independientemente de que dicha injerencia afecte a datos personales o de otro tipo” (par.69).

  • La información suministrada al usuario por el proveedor de servicios, ¿ha de incluir el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas? 

Por último la sentencia del TJUE señala que, de acuerdo con la Directiva en materia de protección de datos, los usuarios deben recibir “información clara y completa, en particular sobre los fines del tratamiento de los datos” (par. 73). En este sentido, se indica que el art. 10 de la Directiva en materia de protección de datos obliga informar sobre “cualquier otra información tal como los destinatarios o las categorías de destinatarios de los datos, en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado” (par. 77). Según el alto tribunal en vista del contexto, lo anterior entendido como una lista no exhaustiva, también incluiría el tiempo durante el cual las cookies estarán activas.

Y es que, ya lo habían adelantando nuestros compañeros (aquí) hace un tiempo: el papel de la nueva (ya no tan nueva) normativa de protección de datos implicaría, entre otras cosas, un cambio de paradigma en cuanto a la recogida del consentimiento para la instalación de cookies o tecnología similares en nuestros dispositivos.

Y para concluir…

La trascendencia de la sentencia en mención, clarifica algunos puntos de interacción entre la aplicación del RGPD y la Directiva e-Privacy, cuya transposición en España se concreto a través de diversos artículos de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSICE).

No obstante, el TJUE deja abiertas algunas cuestiones relacionadas con el uso de cookies como, por ejemplo: (i) cuándo el consentimiento se otorga “libremente” en el sentido del artículo 7.4 del RGPD; (ii) requisitos o criterios para medir la “actividad” del consentimiento; o (iii) cómo ha de articularse el otorgamiento del consentimiento para diferentes tipos de cookies.

Y esto, compañeros, es solo el comienzo. Nos esperan aun muchas más aventuras con el Reglamento e-Privacy, aunque parece que va para rato. De momento la Presidencia del Consejo de la Unión Europea ha publicado la última versión del borrador revisada a fecha de 30 de octubre de 2019, así que el cookie monster volverá a aparecer: ¡tened cuidado!

Lvcentinvs
Lvcentinvs
Desde la Asociación de Antiguos Alumnos del Magister Lvcentinvs y la Universidad de Alicante (España), información actualizada sobre los avances en materia de propiedad intelectual y de Derecho internacional privado para juristas europeos e iberoamericanos.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

Time limit is exhausted. Please reload CAPTCHA.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

LO ÚLTIMO

Must read

Diez de Diez: Patricia García-Escudero

La Oficina Española de Patentes y Marcas (OEPM) no...

Asunto Costco, Google e IBM

Aurelius ya está contando los días que le quedan...
- Advertisement -

Quizá también te gusteRELACIONADOS
Recomendados para ti