Opinion of Advocate General Szpunar delivered on 21 March 2019.

• Jurisdiction: European Union
• ECLI: ECLI:EU:C:2019:246
• Date: 21 March 2019
• Celex Number: 62017CC0673
• Court: Court of Justice (European Union)
• Procedure Type: Reference for a preliminary ruling
• Docket Number: C-673/17

Edición provisional

CONCLUSIONES DEL ABOGADO GENERAL

SR. MACIEJ SZPUNAR

presentadas el 21 de marzo de 2019(1)

Asunto C‑673/17

Planet49 GmbH

contra

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.

[Petición de decisión prejudicial planteada por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania)]

«Cuestión prejudicial — Directiva 95/46/CE — Directiva 2002/58/CE — Reglamento (UE) 2016/679 — Tratamiento de datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Cookies — Concepto de consentimiento del interesado — Declaración de consentimiento mediante una casilla de verificación ya marcada»

I. Introducción

1. Para participar en un juego dotado con un premio organizado por Planet49, un internauta debía marcar o quitar la marca de dos casillas de verificación antes de poder pulsar el «botón de participación». Una de las casillas de verificación obligaba al usuario a aceptar que una serie de empresas se pusieran en contacto con él para enviarle ofertas promocionales, y la otra casilla le obligaba a aceptar la instalación de cookies en su ordenador. Estos son, en resumen, los hechos de la presente petición de decisión prejudicial del Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania).

2. Bajo estos hechos aparentemente anodinos subyacen cuestiones fundamentales relativas a la legislación de la Unión sobre la protección de datos: ¿cuáles son exactamente los requisitos del consentimiento informado que ha de manifestarse libremente? ¿Existe alguna diferencia entre el tratamiento de datos personales (únicamente) y el almacenamiento de cookies y el acceso a ellas? ¿Qué instrumentos jurídicos son aplicables?

3. En estas conclusiones sostendré que, en lo que respecta al presente asunto, los requisitos relativos a la manifestación del consentimiento previstos en la Directiva 95/46/CE (2) son los mismos que los establecidos en el Reglamento (UE) 2016/679 (3) y que, en el caso de autos, es indiferente que abordemos la cuestión general del tratamiento de datos personales o la cuestión más concreta del almacenamiento de información y la obtención de acceso a la misma a través de cookies.

II. Marco jurídico

A. Derecho de la Unión

1. Directiva 95/46

4. A tenor del artículo 2 de la Directiva 95/46, que lleva por título «Definiciones»:

«A efectos de la presente Directiva, se entenderá por:

[…]

h) “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.»

5. En la sección II de dicha Directiva, titulada «Principios relativos a la legitimación del tratamiento de datos», el artículo 7, letra a), establece que:

«Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:

a) el interesado ha dado su consentimiento de forma inequívoca, o

[…]»

6. El artículo 10 de la misma Directiva, bajo el título «Información en caso de obtención de datos recabados del propio interesado», establece lo siguiente:

«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:

a) la identidad del responsable del tratamiento y, en su caso, de su representante;

b) los fines del tratamiento de que van a ser objeto los datos;

c) cualquier otra información tal como:

– los destinatarios o las categorías de destinatarios de los datos,

– el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,

– la existencia de derechos de acceso y rectificación de los datos que la conciernen,

en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»

2. Directiva 2002/58/CE (4)

7. Los considerandos 24 y 25 de la Directiva 2002/58/CE (5) establecen lo siguiente:

«(24) Los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda información almacenada en dichos equipos, forman parte de la esfera privada de los usuarios que debe ser protegida de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Los denominados “programas espía” (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Sólo debe permitirse la utilización de tales dispositivos con fines legítimos y con el conocimiento de los usuarios afectados.

(25) No obstante, los dispositivos de este tipo, por ejemplo los denominados “chivatos” (cookies), pueden constituir un instrumento legítimo y de gran utilidad, por ejemplo, para analizar la efectividad del diseño y de la publicidad de un sitio web y para verificar la identidad de usuarios partícipes en una transacción en línea. En los casos en que estos dispositivos, por ejemplo los denominados “chivatos” (cookies), tengan un propósito legítimo, como el de facilitar el suministro de servicios de la sociedad de la información, debe autorizarse su uso a condición de que se facilite a los usuarios información clara y precisa al respecto, de conformidad con la Directiva 95/46/CE, para garantizar que los usuarios están al corriente de la información que se introduce en el equipo terminal que están utilizando. Los usuarios deben tener la posibilidad de impedir que se almacene en su equipo terminal un “chivato” (cookie) o dispositivo semejante. Esto es particularmente importante cuando otros usuarios distintos al usuario original tienen acceso al equipo terminal y, a través de este, a cualquier dato sensible de carácter privado almacenado en dicho equipo. La información sobre la utilización de distintos dispositivos que se vayan a instalar en el equipo terminal del usuario en la misma conexión y el derecho a impedir la instalación de tales dispositivos se pueden ofrecer en una sola vez durante una misma conexión y abarcar asimismo cualquier posible utilización futura de dichos dispositivos en conexiones posteriores. La presentación de la información y del pedido de consentimiento o posibilidad de negativa debe ser tan asequible para el usuario como sea posible. No obstante, se podrá supeditar el acceso a determinados contenidos de un sitio web a la aceptación fundada de un “chivato” (cookie) o dispositivo similar, en caso de que este tenga un propósito legítimo.»

8. El artículo 2 de dicha Directiva, titulado «Definiciones», dispone en su letra f):

«Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva 95/46/CE y en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco). ^[(6)^]

Además, a efectos de la presente Directiva se entenderá por:

[…]

f) “consentimiento” de un usuario o abonado: el consentimiento del interesado, con arreglo a la definición de la Directiva 95/46/CE;

[…]»

9. El artículo 5, apartado 3, de la Directiva 2002/58/CE, titulado «Confidencialidad de las comunicaciones», establece lo siguiente:

«Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46/CE. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.»

3. Directiva 2009/136/CE (7)

10. El considerando 66 de la Directiva 2009/136/CE (8) establece lo siguiente:

«Puede que haya terceros que deseen almacenar información sobre el equipo de un usuario o acceder a información ya almacenada, con distintos fines, que van desde los fines legítimos (como algunos tipos de cookies) hasta aquellos que suponen una intrusión injustificada en la esfera privada (como los programas espía o los virus). Resulta, por tanto, capital que los usuarios reciban una información clara y completa cuando realicen una acción que pueda dar lugar a dicho almacenamiento u obtención de acceso. El modo en que se facilite la información y se ofrezca el derecho de negativa debe ser el más sencillo posible para el usuario. Las excepciones a la obligación de facilitar información y proponer el derecho de negativa deben limitarse a aquellas situaciones en las que el almacenamiento técnico o el acceso sean estrictamente necesarios con el fin legítimo de permitir el uso de un servicio específico solicitado específicamente por el abonado o usuario. Cuando sea técnicamente posible y eficaz, de conformidad con las disposiciones pertinentes de la Directiva 95/46/CE, el consentimiento del usuario para aceptar el tratamiento de los datos puede facilitarse mediante el uso de los parámetros adecuados del navegador o de otra aplicación. La aplicación de estos requisitos debe ganar en eficacia gracias a las competencias...