Se sabe que los sitios web utilizan cookies o ficheros que el proveedor introduce en el ordenador del usuario que los visita y que sirven para facilitar la navegación en Internet o las transacciones en línea, pero también son una herramienta para obtener información sobre el comportamiento de los usuarios, que luego se destina a fines publicitarios para las empresas que colaboran o son clientes del proveedor del servicio.
Por otra parte, es práctica todavía habitual que los sitios indiquen al usuario que presta su consentimiento al uso de cookies cuando aparece una casilla marcada con una X, en signo de aceptación, o con otras formas veladas o inducidas de prestación del consentimiento.
El Tribunal Supremo de lo Civil y Penal alemán formuló una solicitud al Tribunal de Justicia de la Unión Europea para que interpretara si esa práctica podía conculcar el Derecho de la UE relativo a la protección de la intimidad en el sector de las comunicaciones electrónicas. El caso tenía como demandante a la Federación alemana de organizaciones y asociaciones de consumidores, que denunció a la sociedad PLANET 49, dedicada a los juegos en línea, que utilizaba una casilla marcada por defecto con la que sus usuarios expresaban el consentimiento para la colocación de cookies en sus ordenadores.
En relación con dicha petición, el Tribunal de Justicia de la Unión Europea, en su sentencia de 1 de octubre de 2019 (Asunto C-673/17) deja claro que el consentimiento que el usuario del sitio debe proporcionar para que se coloquen cookies en su ordenador debe ser expreso. Además, entiende que la prestación del consentimiento no se entiende debidamente conferida cuando el modo consiste en una casilla marcada por defecto de la que el usuario debe retirar la marca si no desea prestarlo. Es decir, no es aceptable ni válido interpretar que el consentimiento se entiende prestado por la omisión del usuario al no quitar una cruz de la casilla marcada por defecto, sino que deberá ser el usuario quien la marque partiendo de una casilla en blanco. Y esa necesidad de prestar el consentimiento es independiente de que “la información almacenada o consultada en el equipo del usuario esté o no constituida por datos personales”. No se trata de calificar el tipo de información recabada, sino que se reprueba que un tercero se introduzca en el ordenador o terminal de un usuario sin que éste tenga consciencia de ello y en todo caso, sin que haya prestado su consentimiento de forma clara e ineludible.
El Tribunal exige una actividad pro-activa e indubitada del usuario, de modo que no pueda entenderse prestado el consentimiento en casos de indolencia, confusión o falta de claridad suficiente, puesto que si el bien protegido es la privacidad del particular, éste no puede ni debe verse perjudicado por mecanismos o artimañas del proveedor encaminadas a confundir o aprovecharse de la pasividad – o ansiedad – del usuario, y con ello abrir de par en par el ordenador a la colocación de cookies (propias o de terceros) que pueden incluir identificadores ocultos y dispositivos de obtención de información indeseados.
La sentencia confirma, pues, que el consentimiento debe ser expreso y específico, con lo cual hay que entender prohibidos los recursos de diseño informático en los que el proveedor del servicio en línea asocia el pulsar el botón de inicio para participar en un determinado juego (como era el caso juzgado) o tomar parte en un evento, la recepción de servicio etc., con el de prestación del consentimiento para el uso de cookies. Este modo de operar pretende la prestación implícita o indirecta, el cual es rechazado por el Tribunal. Hay razones para argumentar que esta prohibición puede hacerse extensible a sitios en los que la aceptación de colocación de cookies se vincula a la mera continuación de la navegación por el sitio, en tanto que el usuario desconoce el verdadero alcance de la advertencia, o si el mero arrastre del puntero del ratón por el sitio puede entenderse como un acto de continuación o no. En nuestra opinión, esta práctica no es aceptable puesto que el consentimiento va unido a la recepción del servicio sin posibilidad de disociación; para solventar el obstáculo, tras la petición del consentimiento, la pantalla del sitio debe quedar bloqueada hasta que se preste el consentimiento de forma expresa. De hecho, el Tribunal declara que la prestación del consentimiento del usuario para la colocación de cookies no puede ser velada, inducida o tácita, sino que el sistema elegido para obtenerlo debe mostrar que el usuario ha realizado un acto propio y voluntario.
Finalmente, para que el usuario pueda tomar una decisión fundamentada, es necesario que cuente con una información previa y suficiente sobre las consecuencias de su decisión de aceptar la instalación de cookies. En este sentido, el proveedor de servicios tiene que informar al usuario en el sitio y de forma clara de algunos aspectos básicos, tales como si los cookies serán accesibles únicamente por dicho proveedor o bien si podrán ser accesibles por terceros; de igual modo, tendrá que informar sobre el tiempo que los cookies estarán en activo.
Cuestión adicional y no abordada por la sentencia es la legalidad de los sitios (públicos) que exigen de la aceptación del uso de cookies para permitir la navegación por el sitio y beneficiarse de los servicios que presta. Podría decirse que, en estos casos, aunque el sitio respete la consigna de exigir que el usuario preste su consentimiento de forma activa, la decisión tendrá que entenderse inducida y viciada en su raíz puesto que la alternativa a no cumplimentar la casilla de aceptación supone no poder disfrutar del servicio público.
Eduardo Vilá
Vilá Abogados
Para más información, contacte con:
va@vila.es
4 de octubre de 2019
