Tenía pendiente
hacer referencia a la aprobación por el Comité Europeo de Protección de Datos (EDPB)
de una versión actualizada de las Directrices sobre el consentimiento en materia
de protección de datos. Se trata de las Directrices 5/2020 (Guidelines 05/2020 on consent under Regulation 2016/679, no disponibles todavía en español). En realidad, el
nuevo documento se limita a incluir precisiones en dos cuestiones concretas con
respecto al texto anterior, recogido en las Directrices de 10 de abril de 2018
del Grupo del artículo 29 (WP259.01), que fueron avaladas por el EDPB y que en
lo demás se mantienen en estas Directrices 5/2005. Haré aquí tan solo referencia
a las dos aclaraciones que incorpora el nuevo
documento así como a un aspecto puntual de la posición que las Directrices
mantienen en lo relativo a la edad de consentimiento de los menores. Las dos
aclaraciones introducidas en el documento van referidas a la prestación del
consentimiento en relación con la utilización de cookies, una materia en la que
recientemente el Tribunal de Justicia pronunció su sentencia en el asunto Planet49 (reseñada aquí) en la que estableció
que el consentimiento al archivo de información en cookies requiere una
declaración o una «clara acción afirmativa» por parte del afectado que marque
su aceptación del tratamiento de datos personales que le conciernen (la
sentencia de 28 de mayo del BGH alemán en el litigio principal en ese asunto puede
consultarse aquí).
La
primera de las dos cuestiones que han sido objeto de aclaración en las
Directrices 5/2020 tiene que ver con la interpretación del artículo 7.4 del
Reglamento (UE) 2016/679 General de Protección de Datos (RGPD). Conforme a esta
disposición, el supeditar la ejecución de un contrato o la prestación de un
servicio al consentimiento por el afectado del tratamiento de datos personales
que no son necesarios para la ejecución de dicho contrato puede ser
determinante para apreciar que el consentimiento no se ha otorgado libremente. En
los nuevos apartados 38 a 41 de las
Directrices se pone de relieve que el consentimiento no debe considerarse
libremente prestado por el hecho de que el afectado tenga como alternativa a aceptar
el tratamiento al que se supedita la prestación del servicio la posibilidad de
contratar un servicio similar con un proveedor distinto. En consecuencia, debe
rechazarse que el responsable pueda negar a los afectados la posibilidad de
utilizar el servicio con base en que no consienten el tratamiento de sus datos
personales que no son necesarios para la ejecución del contrato. Las Directrices
detallan que ese criterio resulta plenamente aplicable a aquellos casos en los
que el prestador del servicio pretende condicionar el acceso al mismo a la
aceptación del empleo de cookies (recurriendo a las llamadas cookie walls).
La
Guía sobre el uso de las cookies publicada por la AEPD en noviembre de 2019
parece recoger un criterio menos estricto:
“3.2.10.
Posibilidad de denegación de acceso al servicio en caso de rechazo a las
cookies
Podrán existir determinados supuestos en los
que la no aceptación de la utilización de cookies impida la utilización total o parcial del
servicio, siempre que se informe adecuadamente al respecto al usuario.
No obstante, no podrá denegarse el acceso al
servicio en caso de rechazo de las cookies, en aquellos supuestos en que tal
denegación impida el ejercicio de un derecho legalmente reconocido al usuario,
por ser el acceso a dicha página web el único medio facilitado al usuario para
ejercitar tal derecho.”
De cara al
futuro deberá ser interpretada de conformidad con lo establecido en las
Directrices.
La otra
aclaración de las Directrices 5/2005 tiene que ver con la nueva redacción de su
ejemplo 16, cuyo contenido es el siguiente:
“Example 16: Based on recital 32, actions such as scrolling or swiping
through a webpage or similar user activity will not under any circumstances
satisfy the requirement of a clear and affirmative action: such actions may be
difficult to distinguish from other activity or interaction by a user and
therefore determining that an unambiguous consent has been obtained will also
not be possible. Furthermore, in such a case, it will be difficult to provide a
way for the user to withdraw consent in a manner that is as easy as granting
it.”
Este ejemplo
desarrolla el criterio recogido en el apartado 84 de las Directrices en el
sentido de que la mera continuación por el afectado con la normal utilización de
una página web no debe considerarse una clara acción afirmativa a los efectos
de apreciar la existencia de consentimiento por su parte al almacenamiento de
información en cookies.
La Guía sobre el uso de las cookies publicada por la AEPD en noviembre de 2019
parece recoger un criterio menos estricto en su sección 3.2.3 sobre modalidades
de obtención del consentimiento, en la que se afirma:
“También constituirá aceptación, por
ejemplo, que el usuario, habiéndosele informado sobre el uso de cookies e
indicando que seguir navegando implicará su aceptación, realice acciones como:
• Utilizar la barra de desplazamiento,
siempre y cuando la información sobre las cookies sea visible sin hacer uso de
esta.
• Clicar sobre cualquier enlace contenido en
la página distinto del enlace a la segunda capa informativa sobre cookies y del
enlace a la política de privacidad.
• En dispositivos como el móvil o la tablet,
podrá entenderse que el usuario acepta cuando desliza la pantalla accediendo al
contenido.
De cara al
futuro deberá prevalecer el criterio recogido en las Directrices.
Las
Directrices 5/2020 no han modificado su contenido en relación con los aspectos específicos relativos al consentimiento de los menores. Como es conocido, el artículo 8.1 del RGPD, en lo
relativo a las condiciones aplicables al consentimiento del niño en relación
con los servicios de la sociedad de la información deja un cierto margen de
libertad a los Estados. En concreto, el Reglamento prevé que si bien el
criterio general es que el tratamiento de los datos personales de un niño
fundado en su consentimiento se considera lícito cuando tenga como mínimo 16
años, los Estados miembros pueden establecer por ley una edad inferior a tales
fines, siempre que esta no sea inferior a 13 años.
A este respecto, las Directrices en
su apartado 131 señalan: “[…]The
controller must be aware of those different national laws, by taking into
account the public targeted by its services. In particular, it should be noted that
a controller providing a cross-border service cannot always rely on complying
with only the law of the Member State in which it has its main establishment
but may need to comply with the respective national laws of each Member State
in which it offers the information society service(s). This depends on whether
a Member State chooses to use the place of main establishment of the controller
as a point of reference in its national law, or the residence of the data
subject. First of all the Member States shall consider the best interests of
the child during making their choice. The Working Group encourages the Member
States to search for a harmonized solution in this matter.”
La idea de que
la libertad que atribuye el RGPD a los Estados miembros en este ámbito incluye
la posibilidad de que cada uno de ellos determine el ámbito de aplicación
territorial de su legislación específica sobre protección de datos (de “desarrollo”
del RGPD) puede menoscabar objetivo básicos del RGPD y del mercado interior.
Una cosa es la libertad de los Estados miembros para especificar la edad mínima
en el marco del artículo 8.1 y otra es que cada uno de ellos fije libremente el
criterio de aplicación espacial o territorial de su legislación en la materia. La
mera invitación a los Estados miembros a encontrar una respuesta armonizada no
parece suficiente. La naturaleza del RGPD impone una interpretación según la
cual el ámbito de aplicación en el espacio de las normas nacionales de
desarrollo del RGPD se encuentre uniformado en toda la UE, lo que resulta clave
desde la perspectiva de la previsibilidad, la seguridad jurídica y la plena
consecución de los objetivos del RGPD. En este caso en concreto, habida cuenta
de los objetivos del artículo 8.1 del RGPD y el propósito de protección de los
niños al que responden las normas nacionales relativas a su desarrollo, hay
motivos para sostener que el criterio determinante debe ser la residencia del
niño (a diferencia de otras situaciones; al respecto vid. P. De Miguel Asensio, Conflict
of Laws and the Internet, Edward Elgar, 2020, pp. 122-125).
