Autor: Álvaro Bueno Biot, Doctorando en Derecho, Universidad de Valencia.
1. El Tribunal de Justicia de la Unión Europea ha dictado la sentencia del asunto C-61/19, en fecha de 11 de noviembre de 2021, cuyo origen se encuentra en el litigio entre Orange România SA y Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Autoridad Nacional de Supervisión del Tratamiento de Datos Personales, Rumanía) (en adelante, ANSTDP), en relación con un recurso que tiene por objeto la anulación de una resolución por la que la ANSTDP impuso a Orange România SA una multa por haber obtenido y conservado copias de documentos de identidad de sus clientes sin el consentimiento válido de estos y le exigió destruir esas copias.
2. Orange România se dedica a prestar servicios de telecomunicaciones móviles en el mercado rumano. En consecuencia, entre el período del 1 y el 26 de marzo de 2018, Orange România celebró por escrito contratos de prestación de servicios de telecomunicaciones móviles con personas físicas, anexando a tales contratos copias de los documentos de identidad de esas personas. Sin embargo, según la ANSTDP, la prestadora de servicios no había aportado pruebas de que los clientes con los que había celebrado dichos contratos habían prestado su consentimiento en relación a la obtención y conservación de las copias de sus documentos de identidad y, en consecuencia, procedió a imponer las referidas sanciones.
3. Ante tal situación, Orange România decidió interponer un recurso ante el Tribunal de Distrito de Buscarest (Rumanía) contra la resolución de la ANSTDP.
Este Tribunal verifica que, en los contratos celebrados con los clientes, existía una cláusula relativa a la conservación de copias de documentos que contienen datos personales, sin embargo, en algunos de ellos dicha cruz ya venía marcada de forma predeterminada y otros en los que no.
Por otro lado, el órgano jurisdiccional indica que Orange România no se oponía a celebrar contratos con los clientes que se negasen a prestar su consentimiento para la conservación de la copia de los documentos de identidad.
Y, finalmente, señala que el procedimiento interno de comercialización de Orange România obligaba a los clientes que se negaran a prestar su consentimiento a hacerlo constar en un formulario específico aparte que debían firmar antes de la celebración del contrato.
Ante tal situación, el Tribunal de Distrito de Bucarest decidió suspender el procedimiento y plantear las siguientes cuestiones prejudiciales: 1) cuáles son los requisitos que deben cumplirse para poder considerar que una manifestación de voluntad es específica e informada; y 2) cuáles son los requisitos que deben cumplirse para poder considerar que una manifestación de voluntad ha sido libremente expresada.
4. Planteada la cuestión prejudicial, el TJUE determina que procede la aplicación tanto de la anterior Directiva 95/46 como del Reglamento 2016/679 que derogó a la referida Directiva.
La razón de ello reside en que al haberse impuesto la sanción el día 28 de marzo de 2018 y, por tanto, antes del 25 de mayo de 2018 –fecha en la que entró en vigor el Reglamento- considera que la norma aplicable al litigio principal es la Directiva 95/46. No obstante, como en la sanción también se exige la destrucción de las copias de los documentos de identidad, pero el requerimiento no se ejecuta antes del 25 de mayo, no cabe excluir que, en el presente caso, resulte también aplicable el Reglamento 2016/679 en lo que refiere a dicho requerimiento. De ahí que la doctrina del TJUE en el presente caso se establezca sobre la base tanto de la Directiva 95/46 como del Reglamento 2016/679.
5. Tanto la Directiva 95/46 como el Reglamento 2016/679 exigen una serie de requisitos para que el consentimiento se entienda prestado válidamente (arts. 2, letra h) y 4.11, respectivamente). En este sentido, por consentimiento del interesado debe entenderse “toda manifestación de voluntad libre, específica e informada mediante la que el interesado consienta el tratamiento de datos personales que le conciernan”, a lo que el Reglamento añade que dicha manifestación deberá ser también “inequívoca” expresada “mediante una declaración o una clara acción afirmativa”. Además, se excluye como consentimiento el prestado a través de las casillas ya marcadas (Cdo. 32 Reglamento 2019/659) porque, como ha señalado el TJUE, “parece prácticamente imposible determinar de manera objetiva si el usuario de un sitio de Internet ha dado efectivamente su consentimiento para el tratamiento de sus datos personales al no quitar la marca de una casilla marcada por defecto y si dicho consentimiento ha sido dado, en todo caso, de manera informada”.
Por tanto, en lo que refiere a las características que debe cumplir el consentimiento al tratamiento de datos personales prestado por el usuario y, en consecuencia, se considere válidamente recabado por el responsable, se debe prestar atención a las siguientes notas:
En lo que respecta al carácter “libre”, el TJUE señala que “para garantizar al interesado una verdadera libertad de elección, las estipulaciones contractuales no deben inducir al interesado a error en lo que respecta a la posibilidad de celebrar el contrato pese a negarse a dar su consentimiento para el tratamiento de sus datos. A falta de tal información, no puede considerarse que el consentimiento de dicha persona al tratamiento de sus datos personales haya sido dado libremente ni que, por otra parte, haya sido dado de manera informada”.
En lo que refiere a la nota de “especificidad”, el TJUE señala que debe entenderse “en el sentido de que debe tener concretamente por objeto el tratamiento de datos de que se trate y no puede deducirse de una manifestación de voluntad que tenga un objeto distinto”. Y, en esta línea, el art. 7.2 del Reglamento indica que “si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo”.
Por su parte, respecto al carácter “informado”, el TJUE afirma que “implica que el responsable del tratamiento facilitará al interesado información respecto de todas las circunstancias relacionadas con el tratamiento de datos, con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, debiendo el interesado conocer, en particular, qué datos serán tratados, la identidad del responsable del tratamiento, la duración del tratamiento y su forma, y los fines que se persigue con dicho tratamiento. Esta información debe permitir a esa persona determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que dicho consentimiento se otorgue con pleno conocimiento de causa”.
Finalmente, por lo que respecta al carácter “inequívoco”, el TJUE afirma que ello supone “que la carga de la prueba relativa a la existencia de un consentimiento válido incumbe al responsable del tratamiento”. En este sentido, el art. 7.1 del Reglamento dispone que “cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales”.
6. Por tanto, una vez se han delimitado y establecido las condiciones que se deben dar para que el consentimiento al tratamiento de datos personales del interesado sea válido y, a la vista de los hechos, el TJUE considera que “el hecho de que dichos clientes hayan firmado los contratos que contienen la casilla marcada no permite, por sí solo, determinar que existe tal consentimiento”.
Por otra parte, “en la medida en que la cláusula marcada relativa al tratamiento de esos datos no parece haber sido presentada de tal forma que se distinga claramente de las demás cláusulas contractuales, le incumbe apreciar si […] cabe considerar que la firma de dichos contratos, que se refieren a una multitud de cláusulas contractuales, pone de manifiesto un consentimiento específico para la obtención y la conservación de los datos personales”.
Además, indica que “la cláusula contractual controvertida en el litigio principal se limita a indicar, sin otra mención, que la conservación de las copias de los documentos de identidad se realiza con fines de identificación”. De ahí que, habrá que comprobar si se cumplen los requisitos que mencionan “la información que el responsable del tratamiento debe proporcionar a la persona de la que obtiene los datos que le conciernen para garantizar, a su respecto, un tratamiento leal de los datos”.
También corresponde apreciar “si las estipulaciones contractuales controvertidas en el litigio principal podían inducir a error al interesado en cuanto a la posibilidad de celebrar el contrato pese a no consentir en el tratamiento de sus datos, ya que no se precisa este extremo, lo que pondría en tela de juicio el carácter informado del consentimiento prestado mediante la firma del contrato”.
Finalmente, señala que “el carácter libre de dicho consentimiento parece dudoso por el hecho de que, en el supuesto de una denegación del mismo, Orange România […] exigía que el cliente interesado declarase por escrito que no consentía en la obtención ni en la conservación de la copia de su documento de identidad”.
7. En conclusión, teniendo en cuenta las consideraciones anteriores, el TJUE afirma que “corresponde al responsable del tratamiento de los datos demostrar que el interesado ha manifestado su consentimiento para el tratamiento de sus datos personales mediante un comportamiento activo y que ha recibido, previamente, información respecto de todas las circunstancias relacionadas con ese tratamiento, con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, que le permita determinar sin dificultad las consecuencias de dicho consentimiento, de modo que se garantice que este se otorga con pleno conocimiento de causa. Un contrato relativo a la prestación de servicios de telecomunicaciones que contiene una cláusula conforme a la cual el interesado ha sido informado y ha consentido en la obtención y la conservación de una copia de su documento de identidad con fines de identificación no permite demostrar que esa persona haya dado válidamente su consentimiento para dicha obtención y dicha conservación, en el sentido de las referidas disposiciones, cuando: 1) la casilla referente a dicha cláusula haya sido marcada por el responsable del tratamiento de datos antes de la firma del contrato, o cuando; 2) las estipulaciones contractuales de dicho contrato puedan inducir al interesado a error sobre la posibilidad de celebrar el contrato en cuestión pese a negarse a consentir en el tratamiento de sus datos, o cuando; 3) la libre elección de oponerse a dicha obtención y dicha conservación se vea indebidamente obstaculizada por ese responsable, al exigir que el interesado, para negarse a dar su consentimiento, cumplimente un formulario adicional en el que haga constar esa negativa”.
