La sentencia del Tribunal de Justicia de
anteayer en el asunto Orange Romania,
C-61/19, EU:C:2020:901, aborda la cuestión de los requisitos para la obtención
válida del consentimiento de clientes respecto del tratamiento de sus datos
personales al tiempo de la celebración de un contrato. En el caso concreto se
trataba de la celebración por escrito y de manera presencial de contratos de
prestación de servicios de telecomunicaciones móviles con personas físicas. El
aspecto controvertido era si la empresa había obtenido
válidamente el consentimiento de sus clientes para recabar una copia de su documento de
identidad y anexarla a ciertos contratos. Más allá de las concretas
circunstancias del litigio principal, de esta nueva sentencia se desprenden con claridad ciertas pautas de actuación que deben ser respetadas por el responsable de
cara a obtener válidamente el consentimiento de sus clientes respecto del
tratamiento de datos personales en todos aquellos casos en los que la licitud
del tratamiento se base en que el interesado dio su consentimiento (arts. 6.1.a
y 7 RGPD). Las precisiones del Tribunal son relevantes en principio tanto para aquellas
situaciones a las que todavía resulte de aplicación la Directiva 95/46/CE como
para aquellas ya regidas por el RGPD y se vienen a sumar a otras recientes
aportaciones en este ámbito, como las reseñadas aquí y aquí. Las pautas
de actuación de cara a la obtención del consentimiento del tratamiento de datos
personales de clientes al tiempo de la celebración de un contrato a los efectos
del artículo 6.1.a) RGPD son las siguientes.
- La sentencia
reafirma que no cabe obtener el consentimiento con base en una casilla inserta
en el contrato pero ya premarcada por el responsable del tratamiento, con
independencia de que la redacción de esa cláusula pudiera ser adecuada e
incluso que al contratar presencialmente se informara a los interesados de esa
circunstancia. La mera firma por los interesados de los contratos que incluyen
la casilla marcada por el responsable no basta para apreciar que existe consentimiento “a falta de indicaciones que confirmen que dicha cláusula ha
sido efectivamente leída y entendida” (apdos 37, 45 y 46 de la nueva sentencia,
con referencia al cdo. 32 RGPD y a la jurisprudencia previa del Tribunal).
- La exigencia de que la manifestación de
voluntad por el interesado sea “específica” requiere que la solicitud de
consentimiento respecto de esta cuestión se le presente de modo que se distinga
claramente del resto de los asuntos abordados en el contrato, de forma
inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo (apdos.
38, 39 y 47). La exigencia de que el consentimiento sea “informado” requiere
que en la misma forma se le comunique, en particular, qué datos serán tratados
y con qué duración, la identidad del responsable, y los fines perseguidos con
el tratamiento (apdo. 40 y 48).
- La obligación
de que el tratamiento sea “leal y transparente” excluye la posibilidad de
apreciar un consentimiento libre e informado en aquellas situaciones en las que
se oculta al interesado o se le induce a error acerca de la posibilidad de
celebrar el contrato pese a negarse a dar su consentimiento para el tratamiento
de esos datos. Por consiguiente, resulta apropiado precisar este extremo en el
contrato para asegurar el carácter informado del consentimiento (apdos. 41 y 49).
- Para que el consentimiento por el interesado sea prestado libremente deben evitarse por el responsable prácticas que obstaculicen la oposición por el interesado a ese tratamiento,
como exigir al cliente que no quiere prestarlo la cumplimentación de documentos
adicionales a los necesarios para celebrar el contrato, por ejemplo, para
declarar por escrito que no consiente el tratamiento de los datos en cuestión
(apdo. 50).
- El Tribunal
reafirma el criterio de que la carga de la prueba acerca de la existencia de un
consentimiento válido por parte del interesado recae sobre el responsable que
pretende fundar la licitud del tratamiento en esa base (apdos. 42 y 51).
Para concluir,
cabe reiterar que estas concretas pautas de actuación por parte del responsable van referidas a datos personales cuyo tratamiento lícito se
funde en que el interesado ha dado su consentimiento de acuerdo con lo exigido
en el artículo 6.1.a) RGPD, a diferencia, en principio, de situaciones en las
que la licitud del tratamiento se funde en otra de las condiciones previstas en
el artículo 6.1 (como que sean datos cuyo tratamiento resulte necesario para la
ejecución de un contrato en el que el interesado es parte o para el
cumplimiento de una obligación legal aplicable al responsable) en las que habrá que estar a las disposiciones que resulten relevantes.
