El procedimiento judicial se origina a partir de una reclamación presentada por un usuario contra el periódico Der Standard, por la implementación de un cookie-wall que condicionaba el acceso gratuito al contenido a la aceptación de cookies con fines publicitarios. La sentencia revisa la decisión de la Autoridad Austriaca de Protección de Datos, analiza la validez del consentimiento otorgado en ese contexto y establece criterios importantes sobre la libertad de elección, la granularidad del consentimiento y los límites del tratamiento de datos personales en medios digitales.
La autoridad de protección de datos austriaca (Datenschutzbehörde) emitió un primer fallo el 29 de marzo de 2023, en el que estimó parcialmente la reclamación, declarando que hubo una violación del principio de licitud, ya que el consentimiento que se otorgó no fue válido. Sin embargo, rechazó la solicitud de prohibición de tratamiento del reclamante y la imposición de sanciones.
La decisión de la autoridad fue recurrida ante el orden jurisdiccional austriaco, y el asunto llegó a las manos del Tribunal Administrativo Federal, mayor instancia judicial del orden contencioso-administrativo en el país.
El Tribunal confirmó la resolución de la autoridad austriaca, al considerar que el uso de cookies implica el tratamiento de datos personales (aun tratándose de identificadores indirectos como IDs de usuario, datos relativos al dispositivo móvil, IPs o TC-strings), y que dichos datos fueron tratados de manera ilícita, al no considerarse válido el consentimiento prestado por el usuario.
Esta doctrina puede suponer más complicaciones al sector periodístico en Austria, cuyo negocio se basa en la monetización de los datos personales de los usuarios y en la creación de publicidad personalizada. Se trata de un modelo más rígido al sostenido por otras autoridades en Europa, como el Information Commissioner’s Office, el cual determinó que la existencia de ambas opciones no supone, de primeras, la invalidez del consentimiento, debiendo valorar las circunstancias y el contexto en que dicho consentimiento se presta.
El reclamante fue representado en vía administrativa y judicial por la organización sin ánimo de lucro ‘NOYB’, la cual emitió recientemente un informe en el que sostienen que este modelo de negocio tampoco tiene una justificación económica, y el cual ha suscitado el interés del Comité Europeo de Protección de Datos.