El TJUE establece que la instalación de cookies requiere el consentimiento específico del usuario

El proveedor de servicios debe facilitar al usuario una información clara y completa que le permita determinar fácilmente las consecuencias del consentimiento que preste, y esta información debe ser clara y completa.

El Tribunal de Justicia de la Unión Europea (TJUE), en su sentencia de 1 de octubre de 2019 (asunto C-673/17, Planet49), ha resuelto las cuestiones prejudiciales planteadas tanto sobre la base de la Directiva 95/46 (LA LEY 5793/1995) como del RGPD y ha establecido que consentimiento que el usuario de un sitio de Internet debe dar para la colocación de cookies en su equipo terminal y para permitir su consulta, debe ser específico, en el sentido de que debe tener concretamente por objeto el tratamiento de datos de que se trate, sin que pueda deducirse de una manifestación de voluntad que tenga un objeto distinto.

Así, el proveedor de servicios debe facilitar al usuario una información clara y completa que le permita determinar fácilmente las consecuencias del consentimiento que preste, lo cual incluye informarle del tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.

Las cookies son ficheros que el proveedor de un sitio de Internet coloca en el ordenador de los usuarios de dicho sitio y a los que puede acceder nuevamente, cuando estos vuelven a visitar el sitio, con el fin de facilitar la navegación en Internet o las transacciones o de obtener información sobre el comportamiento de dichos usuarios.

El, fallo establece que “El consentimiento al que se hace referencia en los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002 (LA LEY 9590/2002), no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento”.

La sentencia, en su apartado 46, establece que “el artículo 5, apartado 3, de la Directiva 2002/58 (LA LEY 9590/2002) requiere que el usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, «con arreglo a lo dispuesto en la Directiva [95/46 (LA LEY 5793/1995)]»” y esta información clara y completa “debe permitir al usuario determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que dicho consentimiento se otorgue con pleno conocimiento de causa. Debe ser claramente comprensible y suficientemente detallada para que el usuario pueda comprender el funcionamiento de las cookies empleadas”, lo cual, en casos como el de autos, incluye “la información acerca del tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas” (apartados 73, 74 y 75).