Lo mismo sucede cuando se induce a error al consumidor en cuanto a la posibilidad de celebrar el contrato en caso de negativa del tratamiento de sus datos, o cuando la libre elección de oponerse a dicha obtención y conservación se ve afectada por la exigencia de un formulario adicional en el que se exprese esa negativa.
Orange România SA presta servicios de telecomunicaciones móviles en el mercado rumano. El 28 de marzo de 2018, la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Autoridad Nacional de Supervisión del Tratamiento de Datos Personales) (ANSPDCP) le impuso una multa por haber obtenido y conservado las copias de los documentos de identidad de sus clientes sin el consentimiento expreso de estos.
Según la ANSPDCP, durante el período comprendido entre el 1 y el 26 de marzo de 2018, Orange România había celebrado contratos de prestación de servicios de telecomunicaciones móviles que contenían una cláusula conforme a la que se había informado a los clientes y estos habían consentido en la obtención y la conservación de una copia de su documento de identidad con fines de identificación. La casilla relativa a dicha cláusula había sido marcada por el responsable del tratamiento antes de la firma del contrato.
En estas circunstancias, el Tribunalul București (Tribunal de Distrito de Bucarest, Rumanía) solicitó al Tribunal de Justicia que precisara las condiciones en las que puede considerarse válido el consentimiento de los clientes para el tratamiento de datos personales.
Mediante su sentencia de hoy, el Tribunal de Justicia recuerda, para empezar, que el Derecho de la Unión contempla una lista de los casos en que un tratamiento de datos personales puede considerarse lícito. En particular, el consentimiento del interesado debe ser libre, específico, informado e inequívoco. En este sentido, el consentimiento no se presta válidamente en caso de silencio, de casillas ya marcadas o de inacción.
Además, cuando el consentimiento del interesado se haya prestado en el marco de una declaración escrita que se refiere también a otras cuestiones, esta declaración debe presentarse de forma inteligible y de fácil acceso, y utilizando un lenguaje claro y sencillo. Para garantizar al interesado una verdadera libertad de elección, las estipulaciones contractuales no deben inducir al interesado a error sobre la posibilidad de celebrar el contrato aun cuando se niegue a dar su consentimiento para el tratamiento de sus datos.
El Tribunal de Justicia precisa que, al ser Orange România la responsable del tratamiento de los datos personales, debe ser capaz de demostrar la licitud del tratamiento de esos datos y, por lo tanto, en el presente asunto, la existencia de un consentimiento válido de sus clientes. A este respecto, como en este caso no parece que los propios clientes interesados hubiesen marcado la casilla relativa a la cláusula sobre la obtención y la conservación de las copias de su documento de identidad, el mero hecho de que esa casilla esté marcada no demuestra que exista una manifestación afirmativa de su consentimiento. Corresponde al Tribunalul București efectuar las comprobaciones necesarias a este respecto.
Asimismo, según el Tribunal de Justicia, corresponde al Tribunalul București comprobar si las estipulaciones contractuales controvertidas podían inducir a error a los clientes interesados en cuanto a la posibilidad de celebrar el contrato pese a no consentir en el tratamiento de sus datos, a falta de precisiones sobre esta posibilidad. Además, en caso de negativa de un cliente a consentir en el tratamiento de sus datos, el Tribunal de Justicia observa que Orange România exigía que este declarase por escrito que no consentía ni en la obtención ni en la conservación de la copia de su documento de identidad. Según el Tribunal de Justicia, este requisito adicional afecta indebidamente a la libre elección de oponerse a esa obtención y a esa conservación. En todo caso, dado que la referida sociedad está obligada a demostrar que sus clientes manifestaron su consentimiento para el tratamiento de sus datos personales mediante un comportamiento activo, no puede exigirles que manifiesten su negativa de manera activa.
Por lo tanto, el Tribunal de Justicia concluye que un contrato relativo a la prestación de servicios de telecomunicaciones que contenga una cláusula conforme a la cual el interesado ha sido informado y ha consentido en la obtención y la conservación de una copia de su documento de identidad con fines de identificación, no permite demostrar que esa persona haya dado válidamente su consentimiento para dicha obtención y dicha conservación, cuando la casilla referente a dicha cláusula haya sido marcada por el responsable del tratamiento de datos antes de la firma del contrato, o cuando las estipulaciones contractuales de dicho contrato puedan inducir al interesado a error sobre la posibilidad de celebrar el contrato en cuestión pese a negarse a consentir en el tratamiento de sus datos, o cuando la libre elección de oponerse a dicha obtención y a dicha conservación se vea indebidamente obstaculizada por ese responsable, al exigir que el interesado, para negarse a dar su consentimiento a ese tratamiento, cumplimente un formulario adicional en el que haga constar esa negativa.
SENTENCIA DEL TRIBUNAL DE JUSTICIA (Sala Segunda)
de 11 de noviembre de 2020 (*)
“Procedimiento prejudicial - Directiva 95/46/CE - Artículos 2, letra h), y 7, letra a) - Reglamento (UE) 2016/679 - Artículos 4, punto 11, y 6, apartado 1, letra a) - Tratamiento de los datos personales y protección de la intimidad - Obtención y conservación de copias de documentos de identidad por un proveedor de servicios de telecomunicaciones móviles - Concepto de “consentimiento” del interesado - Manifestación de voluntad libre, específica e informada - Declaración del consentimiento mediante una casilla - Firma del contrato por el interesado - Carga de la prueba”
En el asunto C-61/19,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Tribunalul Bucureşti (Tribunal de Distrito de Bucarest, Rumanía), mediante resolución de 14 de noviembre de 2018, recibida en el Tribunal de Justicia el 29 de enero de 2019, en el procedimiento entre
Orange România SA
y
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP),
EL TRIBUNAL DE JUSTICIA (Sala Segunda),
integrado por el Sr. A. Arabadjiev, Presidente de Sala, y los Sres. T. von Danwitz (Ponente) y P. G. Xuereb, Jueces;
Abogado General: Sr. M. Szpunar;
Secretario: Sr. D. Dittert, jefe de unidad;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 11 de diciembre de 2019;
consideradas las observaciones presentadas:
- en nombre de Orange România SA, por el Sr. D.-D. Dascălu, la Sra. A.-M. Iordache y el Sr. I. Buga, avocaţi;
- en nombre de la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), por las Sras. A. G. Opre e I. Ilie, en calidad de agentes;
- en nombre del Gobierno rumano, inicialmente por las Sras. E. Gane, O.-C. Ichim y L. Liţu y el Sr. C.-R. Canţăr y posteriormente por las Sras. E. Gane, O.-C. Ichim y L. Liţu, en calidad de agentes;
- en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por la Sra. M. Russo, avvocato dello Stato;
- en nombre del Gobierno austriaco, inicialmente por la Sra. J. Schmoll y el Sr. G. Hesse, y posteriormente por la Sra. J. Schmoll, en calidad de agentes;
- en nombre del Gobierno portugués, por el Sr. L. Inez Fernandes y las Sras. P. Barros da Costa, L. Medeiros e I. Oliveira, en calidad de agentes;
- en nombre de la Comisión Europea, por los Sres. H. Kranenborg y D. Nardi y la Sra. L. Nicolae, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 4 de marzo de 2020;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación del artículo 2, letra h), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), y del artículo 4, punto 11, del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).
2 Esta petición se ha presentado en el contexto de un litigio entre Orange România SA y la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) (Autoridad Nacional de Supervisión del Tratamiento de Datos Personales, Rumanía), en relación con un recurso que tiene por objeto la anulación de una resolución por la que esta última impuso a Orange România una multa por haber obtenido y conservado copias de documentos de identidad de sus clientes sin el consentimiento válido de estos y le exigió destruir esas copias.
Marco jurídico
Derecho de la Unión
Directiva 95/46
3 El considerando 38 de la Directiva 95/46 enuncia que “el tratamiento leal de datos supone que los interesados deben estar en condiciones de conocer la existencia de los tratamientos y, cuando los datos se obtengan de ellos mismos, contar con una información precisa y completa respecto a las circunstancias de dicha obtención”.
4 El artículo 2, letra h), de esta Directiva dispone que, a los efectos de esta, se entenderá por:
““consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.”
5 El artículo 6 de dicha Directiva establece:
“1. Los Estados miembros dispondrán que los datos personales sean:
a) tratados de manera leal y lícita;
[]
2. Corresponderá a los responsables del tratamiento garantizar el cumplimiento de lo dispuesto en el apartado 1.”
6 A tenor del artículo 7, letra a), de esa misma Directiva:
“Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca []”.
7 El artículo 10 de la Directiva 95/46 tiene la siguiente redacción:
“Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan, por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:
a) la identidad del responsable del tratamiento y, en su caso, la de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
- los destinatarios o las categorías de destinatarios de los datos,
- el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,
- la existencia de derechos de acceso y rectificación de los datos que la conciernen,
en la medida en que, habida cuenta de las circunstancias específicas en que se obtengan los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.”
Reglamento 2016/679
8 Los considerandos 32 y 42 del Reglamento 2016/679 están redactados como sigue:
“(32) El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
[]
(42) Cuando el tratamiento se lleva a cabo con el consentimiento del interesado, el responsable del tratamiento debe ser capaz de demostrar que aquel ha dado su consentimiento a la operación de tratamiento. En particular en el contexto de una declaración por escrito efectuada sobre otro asunto, debe haber garantías de que el interesado es consciente del hecho de que da su consentimiento y de la medida en que lo hace. De acuerdo con la Directiva 93/13/CEE del Consejo, [de 5 de abril de 1993, sobre las cláusulas abusivas en los contratos celebrados con consumidores (DO 1993, L 95, p. 29),] debe proporcionarse un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, y que no contenga cláusulas abusivas. Para que el consentimiento sea informado, el interesado debe conocer como mínimo la identidad del responsable del tratamiento y los fines del tratamiento a los cuales están destinados los datos personales. El consentimiento no debe considerarse libremente prestado cuando el interesado no goza de verdadera o libre elección o no puede denegar o retirar su consentimiento sin sufrir perjuicio alguno.”
9 El artículo 4, punto 11, de dicho Reglamento establece lo siguiente:
““consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
10 El artículo 5 del mismo Reglamento dispone:
“1. Los datos personales serán:
a) tratados de manera lícita, leal y transparente en relación con el interesado (“licitud, lealtad y transparencia”);
[]
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva”).”
11 A tenor del artículo 6, apartado 1, letra a), del Reglamento 2016/679:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”.
12 El artículo 7, apartados 1, 2 y 4, del Reglamento 2016/679 está redactado en los siguientes términos:
“1. Cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
2. Si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos, de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo. No será vinculante ninguna parte de la declaración que constituya infracción del presente Reglamento.
[]
4. Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.”
13 El artículo 13 de este Reglamento establece lo siguiente en sus apartados 1 y 2:
“1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;
[]
c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
[]
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada”.
14 El artículo 94, apartado 1, del Reglamento 2016/679 establece:
“Queda derogada la Directiva [95/46] con efecto a partir del 25 de mayo de 2018.”
15 De conformidad con el artículo 99, apartado 2, del Reglamento 2016/679, este será aplicable a partir del 25 de mayo de 2018.
Derecho rumano
16 La legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date (Ley n.º 677/2001 para la protección de las personas respecto del tratamiento de datos personales y la libre circulación de tales datos) (Monitorul Oficial al României, parte I, n.º 790 de 12 de diciembre de 2001) tiene por objeto transponer las disposiciones de la Directiva 95/46 al Derecho nacional.
17 El artículo 5, apartado 1, de esta Ley dispone:
“(1) Todo tratamiento de datos personales, a menos que se refiera a datos pertenecientes a las categorías mencionadas en los artículos 7, apartado 1, 8 y 10, solo podrá llevarse a cabo si el interesado ha prestado expresa e inequívocamente su consentimiento para dicho tratamiento.
[]”
18 A tenor del artículo 8 de dicha Ley:
“(1) El tratamiento del número de identificación personal o de otros datos personales que tengan una función de identificación de aplicabilidad general podrá realizarse únicamente si:
a) el interesado ha prestado expresamente su consentimiento, o bien
b) el tratamiento está previsto expresamente en una disposición legal.
(2) La autoridad de control también podrá determinar otros supuestos en los que sea posible efectuar el tratamiento de los datos mencionados en el apartado 1, siempre que se establezcan garantías apropiadas para asegurar el respeto de los derechos de los interesados.”
19 El artículo 32 de la misma Ley está redactado en los siguientes términos:
“El tratamiento de datos personales realizado por un responsable del tratamiento o una persona encargada del mismo infringiendo lo dispuesto en los artículos 4 a 10 o sin tener debidamente en cuenta los derechos establecidos en los artículos 12 a 15 o en el artículo 17 constituirá una infracción administrativa, salvo si, por las condiciones en que se comete, constituyera una infracción penal, y será castigado con una sanción pecuniaria de entre [1 000 lei (RON)] y [25 000 RON].”
Litigio principal y cuestiones prejudiciales
20 Orange România presta servicios de telecomunicaciones móviles en el mercado rumano.
21 Mediante resolución de 28 de marzo de 2018, la ANSPDCP impuso a Orange România una multa por haber conservado copias de los documentos de identidad de sus clientes sin haber demostrado que dichos clientes habían prestado su consentimiento válido para ello y le exigió destruir esas copias.
22 En dicha resolución, la ANSPDCP señaló que, durante el período comprendido entre el 1 y el 26 de marzo de 2018, Orange România había celebrado por escrito contratos de prestación de servicios de telecomunicaciones móviles con personas físicas y que las copias de los documentos de identidad de esas personas se encontraban anexas a tales contratos. Según la ANSPDCP, esta sociedad no aportó la prueba de que los clientes a cuyos contratos se habían adjuntado las copias de sus documentos de identidad hubiesen prestado su consentimiento válido en lo que respecta a la obtención y la conservación de copias de sus documentos de identidad.
23 Las cláusulas pertinentes de los contratos en cuestión estaban redactadas de la siguiente manera:
“- El cliente declara que:
(i) antes de la celebración del contrato, ha sido informado del plan de tarifas elegido, de las tarifas aplicables, la duración mínima del contrato, las condiciones de resolución de dicho [contrato] y las condiciones necesarias para acceder a los servicios y utilizarlos, incluido el ámbito de cobertura de estos [];
(ii) Orange România ha puesto a disposición del cliente toda la información necesaria para que este pueda manifestar su consentimiento sin vicios, expreso, libre y específico acerca de la celebración y la aceptación expresa del contrato, incluida toda la documentación contractual (condiciones generales de contratación de Orange y documento informativo de tarifas y servicios);
(iii) ha sido informado y ha manifestado su consentimiento sobre:
- el tratamiento de los datos personales para los fines previstos en el artículo 1.15 de las condiciones generales de contratación de Orange;
- la conservación de copias de documentos que contienen datos personales, con fines de identificación;
- el acuerdo para el tratamiento de datos personales (número de teléfono de contacto, dirección de correo electrónico) a efectos de marketing directo;
- el acuerdo para el tratamiento de datos personales (número de teléfono de contacto, dirección de correo electrónico) a efectos de realizar estudios de mercado;
- he leído y doy mi consentimiento expreso para que se conserven copias de los documentos con datos personales relativos al estado de salud;
- el hecho de que los datos mencionados en el artículo 1.15, apartado 10, de las condiciones generales de contratación de Orange no sean incluidos en los servicios de información relativos a los abonados y los registros de los abonados.”
24 Orange România interpuso recurso ante el Tribunalul Bucureşti (Tribunal de Distrito de Bucarest, Rumanía) contra la resolución de 28 de marzo de 2018.
25 Según las verificaciones efectuadas por el órgano jurisdiccional remitente, existen, por un lado, contratos en los que se ha insertado una cruz en la casilla correspondiente a la cláusula relativa a la conservación de copias de documentos que contienen datos personales con fines de identificación y, por otro, contratos en los no figura esa cruz. Dicho órgano jurisdiccional precisa que, pese a lo mencionado en sus condiciones generales de contratación, Orange România no se oponía a celebrar contratos de abono con clientes que se negasen a prestar su consentimiento para la conservación de la copia de uno de sus documentos de identidad. El referido órgano jurisdiccional señala, además, que el “procedimiento interno” de comercialización de Orange România disponía que esa negativa debía hacerse constar en un formulario específico que los clientes debían firmar antes de la celebración del contrato.
26 El órgano jurisdiccional remitente se pregunta si, en estas circunstancias, cabe considerar que los clientes de que se trata han consentido válidamente en que se recabe su documento de identidad y se anexen copias de este a los contratos. Además, se pregunta si la firma de un contrato en el que figura la cláusula relativa a la conservación de copias de documentos que contienen datos personales con fines de identificación permite demostrar la existencia de tal consentimiento.
27 En estas circunstancias, el Tribunalul București (Tribunal de Distrito de Bucarest) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
“1) A efectos del artículo 2, letra h), de la Directiva 95/46, ¿cuáles son los requisitos que deben cumplirse para poder considerar que una manifestación de voluntad es específica e informada?
2) A efectos del artículo 2, letra h), de la Directiva 95/46, ¿cuáles son los requisitos que deben cumplirse para poder considerar que una manifestación de voluntad ha sido libremente expresada?”
Sobre las cuestiones prejudiciales
28 Con carácter preliminar, procede determinar la aplicabilidad de la Directiva 95/46 y del Reglamento 2016/679 a los hechos controvertidos en el litigio principal.
29 En virtud de los artículos 94, apartado 1, y 99, apartado 2, del Reglamento 2016/679, la Directiva 95/46 fue derogada y sustituida por dicho Reglamento con efectos desde el 25 de mayo de 2018.
30 Por consiguiente, al haberse adoptado la resolución de la ANSPDCP controvertida en el litigio principal el 28 de marzo de 2018 y, por lo tanto, antes del 25 de mayo de 2018, el órgano jurisdiccional remitente considera acertadamente que la Directiva 95/46 es la norma aplicable ratione temporis al litigio principal.
31 Dicho esto, también se desprende de los autos que obran en poder del Tribunal de Justicia que la ANSPDCP, mediante su resolución, no solo impuso una multa a Orange România, sino que también exigió la destrucción de las copias de los documentos de identidad de que se trata, y que el litigio principal también versa sobre ese requerimiento. Ahora bien, dado que de ningún elemento de dichos autos se desprende que este requerimiento se ejecutara antes del 25 de mayo de 2018, no cabe excluir que, en el presente asunto, resulte aplicable ratione temporis el Reglamento 2016/679 en lo que respecta a dicho requerimiento (véase, en este sentido, la sentencia de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartado 41).
32 En tales circunstancias, a fin de permitir al Tribunal de Justicia dar respuestas útiles a las cuestiones prejudiciales planteadas por el órgano jurisdiccional remitente, procede responder a dichas cuestiones tanto sobre la base de la Directiva 95/46 como del Reglamento 2016/679 (véase, por analogía, la sentencia de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartado 43).
33 Mediante sus dos cuestiones prejudiciales, que procede examinar conjuntamente, el órgano jurisdiccional remitente pretende que se dilucide, en esencia, si los artículos 2, letra h), y 7, letra a), de la Directiva 95/46 y los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento 2016/679 deben interpretarse en el sentido de que un contrato relativo a la prestación de servicios de telecomunicaciones que contiene una cláusula conforme a la cual el interesado ha sido informado y ha consentido en la obtención y la conservación de una copia de su documento de identidad con fines de identificación permite demostrar que esa persona ha dado válidamente su consentimiento para dicha obtención y dicha conservación, en el sentido de las referidas disposiciones.
34 A este respecto, ha de recordarse que el artículo 7 de la Directiva 95/46 y el artículo 6 del Reglamento 2016/679 incluyen una lista exhaustiva de los casos en que un tratamiento de datos personales puede considerarse lícito (véanse, en lo que respecta al artículo 7 de la Directiva 95/46, las sentencias de 19 de octubre de 2016, Breyer, C-582/14, EU:C:2016:779, apartado 57 y jurisprudencia citada, y de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartado 53). En particular, el artículo 7, letra a), de dicha Directiva y el artículo 6, apartado 1, letra a), de dicho Reglamento disponen que el consentimiento del interesado puede convertir tal tratamiento en lícito.
35 En lo que respecta a los requisitos a que está supeditado tal consentimiento, el artículo 7, letra a), de la Directiva 95/46 dispone que el interesado debe haber “dado su consentimiento de forma inequívoca”, mientras que el artículo 2, letra h), de la misma Directiva define la expresión “consentimiento del interesado” como “toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan”. En la medida en que estas disposiciones establecen que el interesado ha de proceder a una “manifestación de voluntad” para dar su consentimiento “de forma inequívoca”, solo un comportamiento activo por parte del interesado con el que manifieste su consentimiento puede tenerse en cuenta (véase, en este sentido, la sentencia de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartados 52 y 54).
36 Este mismo requisito se aplica también en el marco del Reglamento 2016/679. En efecto, el tenor del artículo 4, punto 11, de dicho Reglamento, que define el “consentimiento del interesado” a los efectos, en particular, de su artículo 6, apartado 1, letra a), resulta todavía más estricto que el del artículo 2, letra h), de la Directiva 95/46, puesto que requiere una manifestación de voluntad “libre, específica, informada e inequívoca” del interesado, que adopte la forma de una declaración o de “una clara acción afirmativa” que marque su aceptación del tratamiento de datos personales que le conciernen. Así pues, el Reglamento 2016/679 prevé ahora expresamente un consentimiento activo (véase, en este sentido, la sentencia de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartados 61 a 63).
37 A este respecto, si bien el considerando 32 de dicho Reglamento precisa que la expresión del consentimiento podría realizarse marcando una casilla de un sitio web en Internet, excluye, en cambio, expresamente, que constituyan consentimiento “el silencio, las casillas ya marcadas o la inacción”. Como ya ha declarado el Tribunal de Justicia, en tales supuestos, parece prácticamente imposible determinar de manera objetiva si el usuario de un sitio de Internet ha dado efectivamente su consentimiento para el tratamiento de sus datos personales al no quitar la marca de una casilla marcada por defecto y si dicho consentimiento ha sido dado, en todo caso, de manera informada. En efecto, no puede descartarse que dicho usuario no haya leído la información que acompaña a la casilla marcada por defecto, o que ni tan siquiera la haya visto, antes de proseguir con su actividad en el sitio de Internet que visita (véase, en este sentido, la sentencia de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartados 55 y 57).
38 Por otra parte, el artículo 2, letra h), de la Directiva 95/46 y el artículo 4, punto 11, del Reglamento 2016/679 exigen una manifestación de voluntad “específica”, en el sentido de que debe tener concretamente por objeto el tratamiento de datos de que se trate y no puede deducirse de una manifestación de voluntad que tenga un objeto distinto [véase, en lo que respecta al artículo 2, letra h), de la Directiva 95/46, la sentencia de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartado 58].
39 A este respecto, el artículo 7, apartado 2, primera frase, de dicho Reglamento precisa que, si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de tal forma que se distinga claramente de los demás asuntos. En particular, se desprende de esa disposición, en relación con el considerando 42 de dicho Reglamento, que tal declaración debe presentarse de forma inteligible y de fácil acceso y utilizando un lenguaje claro y sencillo, especialmente cuando se trate de un modelo de declaración de consentimiento elaborado previamente por el responsable del tratamiento de datos personales.
40 Por lo que respecta al requisito derivado del artículo 2, letra h), de la Directiva 95/46 y del artículo 4, punto 11, del Reglamento 2016/679, conforme al cual el consentimiento debe ser “informado”, este requisito -de conformidad con el artículo 10 de dicha Directiva, a la luz de su considerando 38, así como con el artículo 13 de dicho Reglamento, a la luz de su considerando 42- implica que el responsable del tratamiento facilitará al interesado información respecto de todas las circunstancias relacionadas con el tratamiento de datos, con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, debiendo el interesado conocer, en particular, qué datos serán tratados, la identidad del responsable del tratamiento, la duración del tratamiento y su forma, y los fines que se persigue con dicho tratamiento. Esta información debe permitir a esa persona determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que dicho consentimiento se otorgue con pleno conocimiento de causa (véase, por analogía, la sentencia de 1 de octubre de 2019, Planet49, C-673/17, EU:C:2019:801, apartado 74).
41 Además, como señaló la Comisión en sus observaciones presentadas ante el Tribunal de Justicia, se desprende del artículo 10, letra c), segundo guion, de la Directiva 95/46 y del artículo 13, apartado 2, letras b) y c), del Reglamento 2016/679, interpretado a la luz del considerando 42 de dicho Reglamento, que, para garantizar al interesado una verdadera libertad de elección, las estipulaciones contractuales no deben inducir al interesado a error en lo que respecta a la posibilidad de celebrar el contrato pese a negarse a dar su consentimiento para el tratamiento de sus datos. A falta de tal información, no puede considerarse que el consentimiento de dicha persona al tratamiento de sus datos personales haya sido dado libremente ni que, por otra parte, haya sido dado de manera informada.
42 Procede añadir que, en virtud del artículo 6, apartados 1, letra a), y 2, de la Directiva 95/46 y del artículo 5, apartado 1, letra a), del Reglamento 2016/679, el responsable del tratamiento de los datos personales está obligado a garantizar, en particular, la licitud del tratamiento de dichos datos y, como precisa el apartado 2 del mismo artículo 5, debe ser capaz de demostrar esa licitud. Por lo que respecta, más concretamente, a un posible consentimiento del interesado, el artículo 7, letra a), de la referida Directiva prevé que el interesado debe haber dado su consentimiento “de forma inequívoca”, lo cual implica, tal como expuso el Abogado General en el punto 56 de sus conclusiones, que la carga de la prueba relativa a la existencia de un consentimiento válido incumbe al responsable del tratamiento. El artículo 7, apartado 1, del mismo Reglamento dispone ahora que, cuando el tratamiento se base en el consentimiento del interesado, el responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus datos personales.
43 En el presente asunto, en sus observaciones presentadas ante el Tribunal de Justicia, Orange România alegó que, durante el procedimiento de celebración de los contratos de que se trata en el litigio principal, antes de la conclusión de estos, sus agentes comerciales informaban a los clientes interesados, en particular, de los fines de la obtención y la conservación de las copias de los documentos de identidad y de la opción de que disponían los clientes en relación con dicha obtención y dicha conservación, antes de recabar oralmente de esos clientes el consentimiento para tales obtención y conservación. Según Orange România, la casilla relativa a la conservación de las copias de documentos de identidad se marcaba, pues, únicamente sobre la base del acuerdo libremente expresado en este sentido por los interesados en el momento de la celebración del contrato.
44 En estas circunstancias, la petición de decisión prejudicial tiene por objeto esencialmente clarificar si el consentimiento invocado de este modo para tal tratamiento de los datos personales puede demostrarse sobre la base de las cláusulas contractuales contenidas en esos contratos.
45 A este respecto, de las indicaciones que figuran en dicha petición se desprende que, si bien los referidos contratos contienen una cláusula conforme a la cual los clientes interesados han sido informados y han dado su consentimiento para la conservación de una copia de su documento de identidad con fines de identificación, la casilla relativa a dicha cláusula ya había sido marcada por los agentes comerciales de Orange România antes de que esos clientes procedieran a la firma por la que aceptaban todas las cláusulas contractuales, a saber, tanto la referida cláusula como otras no relacionadas con la protección de datos. Además, se señala en la referida petición que, sin que los contratos objeto del litigio principal lo precisen, Orange România aceptaba celebrar esos contratos con clientes que se negaban a dar su consentimiento para la conservación de una copia de su documento de identidad, exigiendo al mismo tiempo que, en ese caso, estos clientes firmasen un formulario específico haciendo constar su negativa.
46 Pues bien, habida cuenta de que, según estas indicaciones, no parece que los propios clientes interesados marcasen la casilla relativa a la referida cláusula, el mero hecho de que esa casilla se marcase no demuestra que exista una manifestación afirmativa del consentimiento de esos clientes para la obtención y la conservación de una copia de su documento de identidad. En efecto, como señaló el Abogado General en el punto 45 de sus conclusiones, el hecho de que dichos clientes hayan firmado los contratos que contienen la casilla marcada no permite, por sí solo, determinar que existe tal consentimiento, a falta de indicaciones que confirmen que dicha cláusula ha sido efectivamente leída y entendida. Corresponde al órgano jurisdiccional remitente efectuar las comprobaciones necesarias a este respecto.
47 Por otra parte, en la medida en que la cláusula marcada relativa al tratamiento de esos datos no parece haber sido presentada de tal forma que se distinga claramente de las demás cláusulas contractuales, le incumbe apreciar si, habida cuenta de las consideraciones que figuran en el apartado 34 de la presente sentencia, cabe considerar que la firma de dichos contratos, que se refieren a una multitud de cláusulas contractuales, pone de manifiesto un consentimiento específico para la obtención y la conservación de los datos personales, en el sentido del artículo 2, letra h), de la Directiva 95/46 y del artículo 4, punto 11, del Reglamento 2016/679.
48 Además, dado que la cláusula contractual controvertida en el litigio principal se limita a indicar, sin otra mención, que la conservación de las copias de los documentos de identidad se realiza con fines de identificación, corresponde al órgano jurisdiccional remitente comprobar si la información que reciben los interesados satisface los requisitos del artículo 10 de la Directiva 95/46 y del artículo 13 del Reglamento 2016/679, que mencionan la información que el responsable del tratamiento debe proporcionar a la persona de la que obtiene los datos que le conciernen para garantizar, a su respecto, un tratamiento leal de los datos.
49 Asimismo, corresponde a dicho órgano jurisdiccional apreciar, en particular, si las estipulaciones contractuales controvertidas en el litigio principal podían inducir a error al interesado en cuanto a la posibilidad de celebrar el contrato pese a no consentir en el tratamiento de sus datos, ya que no se precisa este extremo, lo que pondría en tela de juicio el carácter informado del consentimiento prestado mediante la firma del contrato.
50 Además, como señaló el Abogado General en el punto 60 de sus conclusiones, el carácter libre de dicho consentimiento parece dudoso por el hecho de que, en el supuesto de una denegación del mismo, Orange România, apartándose del procedimiento normal que lleva a la celebración del contrato, exigía que el cliente interesado declarase por escrito que no consentía en la obtención ni en la conservación de la copia de su documento de identidad. En efecto, como observó la Comisión durante la vista, tal requisito adicional puede afectar indebidamente a la libre elección de oponerse a esa obtención y esa conservación, extremo que también corresponde comprobar al órgano jurisdiccional remitente.
51 En todo caso, como se desprende de las consideraciones que figuran en los apartados 35, 36 y 42 de la presente sentencia, corresponde a Orange România, en cuanto responsable del tratamiento de los datos, demostrar que sus clientes han manifestado su consentimiento para el tratamiento de sus datos personales mediante un comportamiento activo, de manera que dicha sociedad no puede exigir que aquellos manifiesten su negativa de manera activa.
52 Habida cuenta de las consideraciones anteriores, procede responder a las cuestiones prejudiciales planteadas que los artículos 2, letra h), y 7, letra a), de la Directiva 95/46 y los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento 2016/679 deben interpretarse en el sentido de que corresponde al responsable del tratamiento de los datos demostrar que el interesado ha manifestado su consentimiento para el tratamiento de sus datos personales mediante un comportamiento activo y que ha recibido, previamente, información respecto de todas las circunstancias relacionadas con ese tratamiento, con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, que le permita determinar sin dificultad las consecuencias de dicho consentimiento, de modo que se garantice que este se otorga con pleno conocimiento de causa. Un contrato relativo a la prestación de servicios de telecomunicaciones que contiene una cláusula conforme a la cual el interesado ha sido informado y ha consentido en la obtención y la conservación de una copia de su documento de identidad con fines de identificación no permite demostrar que esa persona haya dado válidamente su consentimiento para dicha obtención y dicha conservación, en el sentido de las referidas disposiciones, cuando
- la casilla referente a dicha cláusula haya sido marcada por el responsable del tratamiento de datos antes de la firma del contrato, o cuando
- las estipulaciones contractuales de dicho contrato puedan inducir al interesado a error sobre la posibilidad de celebrar el contrato en cuestión pese a negarse a consentir en el tratamiento de sus datos, o cuando
- la libre elección de oponerse a dicha obtención y dicha conservación se vea indebidamente obstaculizada por ese responsable, al exigir que el interesado, para negarse a dar su consentimiento, cumplimente un formulario adicional en el que haga constar esa negativa.
Costas
53 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional remitente, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Sala Segunda) declara:
Los artículos 2, letra h), y 7, letra a), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), deben interpretarse en el sentido de que corresponde al responsable del tratamiento de los datos demostrar que el interesado ha manifestado su consentimiento para el tratamiento de sus datos personales mediante un comportamiento activo y que ha recibido, previamente, información respecto de todas las circunstancias relacionadas con ese tratamiento, con una formulación inteligible y de fácil acceso que emplee un lenguaje claro y sencillo, que le permita determinar sin dificultad las consecuencias de dicho consentimiento, de modo que se garantice que este se otorga con pleno conocimiento de causa. Un contrato relativo a la prestación de servicios de telecomunicaciones que contiene una cláusula conforme a la cual el interesado ha sido informado y ha consentido en la obtención y la conservación de una copia de su documento de identidad con fines de identificación no permite demostrar que esa persona haya dado válidamente su consentimiento para dicha obtención y dicha conservación, en el sentido de las referidas disposiciones, cuando
- la casilla referente a dicha cláusula haya sido marcada por el responsable del tratamiento de datos antes de la firma del contrato, o cuando
- las estipulaciones contractuales de dicho contrato puedan inducir al interesado a error sobre la posibilidad de celebrar el contrato en cuestión pese a negarse a consentir en el tratamiento de sus datos, o cuando
- la libre elección de oponerse a dicha obtención y dicha conservación se vea indebidamente obstaculizada por ese responsable, al exigir que el interesado, para negarse a dar su consentimiento, cumplimente un formulario adicional en el que haga constar esa negativa.
