Language of document : ECLI:EU:C:2019:801

ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)

1 de outubro de 2019 (*)

«Reenvio prejudicial — Diretiva 95/46/CE — Diretiva 2002/58/CE — Regulamento (UE) 2016/679 — Tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas — Cookies — Conceito de consentimento do titular dos dados — Declaração de consentimento através de uma opção pré‑validada»

No processo C‑673/17,

que tem por objeto um pedido de decisão prejudicial apresentado, nos termos do artigo 267.o TFUE, pelo Bundesgerichtshof (Supremo Tribunal Federal, Alemanha), por Decisão de 5 de outubro de 2017, que deu entrada no Tribunal de Justiça em 30 de novembro de 2017, no processo

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV

contra

Planet49 GmbH,

O TRIBUNAL DE JUSTIÇA (Grande Secção),

composto por: K. Lenaerts, presidente, R. Silva de Lapuerta, vice‑presidente, J.‑C. Bonichot, M. Vilaras, T. von Danwitz, C. Toader, F. Biltgen, K. Kürimäe e C. Lycourgos, presidentes de secção, A. Rosas (relator), L. Bay Larsen, M. Safjan e S. Rodin, juízes,

advogado‑geral: M. Szpunar,

secretário: D. Dittert, chefe de unidade,

vistos os autos e após a audiência de 13 de novembro de 2018,

vistas as observações apresentadas:

–        em representação da Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV, por P. Wassermann, Rechtsanwalt,

–        em representação da Planet49 GmbH, por M. Jaschinski, J. Viniol e T. Petersen, Rechtsanwälte,

–        em representação do Governo alemão, por J. Möller, na qualidade de agente,

–        em representação do Governo italiano, por G. Palmieri, na qualidade de agente, assistida por F. De Luca, avvocato dello Stato,

–        em representação do Governo português, por L. Inez Fernandes, M. Figueiredo, L. Medeiros e C. Guerra, na qualidade de agentes,

–        em representação da Comissão Europeia, por G. Braun, H. Kranenborg e P. Costa de Oliveira, na qualidade de agentes,

ouvidas as conclusões do advogado‑geral na audiência de 21 de março de 2019,

profere o presente

Acórdão

1        O pedido de decisão prejudicial tem por objeto a interpretação do artigo 2.o, alínea f), e do artigo 5.o, n.o 3, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «Diretiva 2002/58»), conjugados com o artigo 2.o, alínea h), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31), bem como do artigo 6.o, n.o 1, alínea a), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46 (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).

2        Este pedido foi apresentado no âmbito de um litígio que opõe a Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV (Federação das organizações e associações de consumidores — Federação das organizações de consumidores, Alemanha) (a seguir «Federação») à Planet49 GmbH, sociedade que propõe jogos em linha, a propósito do consentimento dos participantes num jogo promocional organizado por essa sociedade para a transmissão dos respetivos dados pessoais a patrocinadores e parceiros daquela, bem como para o armazenamento de informações e para o acesso a informações armazenadas no equipamento terminal desses utilizadores.

 Quadro jurídico

 Direito da União

 Diretiva 95/46

3        O artigo 1.o da Diretiva 95/46 prevê:

«1.      Os Estados‑Membros assegurarão, em conformidade com a presente diretiva, a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do direito à vida privada, no que diz respeito ao tratamento de dados pessoais.

2.      Os Estados‑Membros não podem restringir ou proibir a livre circulação de dados pessoais entre Estados‑Membros por razões relativas à proteção assegurada por força do n.o 1.»

4        O artigo 2.o desta diretiva dispõe:

«Para efeitos da presente diretiva, entende‑se por:

a)      “Dados pessoais”, qualquer informação relativa a uma pessoa singular, identificada ou identificável (“pessoa em causa”); é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social;

b)      “Tratamento de dados pessoais” (“tratamento”), qualquer operação ou conjunto de operações efetuadas sobre dados pessoais, com ou sem meios automatizados, tais como a recolha, registo, organização, conservação, adaptação ou alteração, recuperação, consulta, utilização, comunicação por transmissão, difusão ou qualquer outra forma de colocação à disposição, com comparação ou interconexão, bem como o bloqueio, apagamento ou destruição;

[…]

h)      “Consentimento da pessoa em causa”, qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento.»

5        O artigo 7.o da referida diretiva enuncia:

«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:

a)      A pessoa em causa tiver dado de forma inequívoca o seu consentimento;

[…]»

6        Nos termos do artigo 10.o desta diretiva:

«Os Estados‑Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

a)      Identidade do responsável pelo tratamento e, eventualmente, do seu representante;

b)      Finalidades do tratamento a que os dados se destinam;

c)      Outras informações, tais como:

–        os destinatários ou categorias de destinatários dos dados,

–        o caráter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder,

–        a existência do direito de acesso aos dados que lhe digam respeito e do direito de os retificar,

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.»

 Diretiva 2002/58

7        Os considerandos 17 e 24 da Diretiva 2002/58 enunciam:

«(17)      Para efeitos da presente diretiva, o consentimento por parte do utilizador ou assinante, independentemente de este ser uma pessoa singular ou coletiva, deve ter a mesma aceção que o consentimento da pessoa a quem os dados dizem respeito conforme definido e especificado na Diretiva [95/46]. O consentimento do utilizador pode ser dado por qualquer forma adequada que permita obter uma indicação comunicada de livre vontade, específica e informada sobre os seus desejos, incluindo por via informática ao visitar um sítio na [I]nternet.

[…]

(24)      O equipamento terminal dos utilizadores de redes de comunicações eletrónicas e todas as informações armazenadas nesse equipamento constituem parte integrante da esfera privada dos utilizadores e devem ser protegidos ao abrigo da Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais[, assinada em Roma em 4 de novembro de 1950]. Os denominados […] “programas‑espiões” (spyware), “gráficos‑espiões” (web bugs) e “identificadores ocultos” (hidden identifiers) e outros dispositivos análogos podem entrar nos terminais dos utilizadores sem o seu conhecimento a fim de obter acesso a informações, armazenar informações escondidas ou permitir a rastreabilidade das atividades do utilizador e podem constituir uma grave intrusão na privacidade desses utilizadores. A utilização desses dispositivos deverá ser autorizada unicamente para fins legítimos, com o conhecimento dos utilizadores em causa.»

8        O artigo 1.o da Diretiva 2002/58 prevê:

«1.      A presente diretiva prevê a harmonização das disposições dos Estados‑Membros necessárias para garantir um nível equivalente de proteção dos direitos e liberdades fundamentais, nomeadamente o direito à privacidade e à confidencialidade, no que respeita ao tratamento de dados pessoais no setor das comunicações eletrónicas, e para garantir a livre circulação desses dados e de equipamentos e serviços de comunicações eletrónicas na [União Europeia].

2.      Para os efeitos do n.o 1, as disposições da presente diretiva especificam e complementam a Diretiva [95/46]. […]»

9        O artigo 2.o desta diretiva dispõe:

«Salvo disposição em contrário, são aplicáveis as definições constantes da Diretiva [95/46] e da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (diretiva‑quadro) [JO 2002, L 108, p. 33].

São também aplicáveis as seguintes definições:

a)      “Utilizador” é qualquer pessoa singular que utilize um serviço de comunicações eletrónicas publicamente disponível para fins privados ou comerciais, não sendo necessariamente assinante desse serviço;

[…]

f)      “Consentimento” por parte do utilizador ou assinante significa o consentimento dado pela pessoa a quem dizem respeito os dados, previsto na Diretiva [95/46];

[…]»

10      O artigo 5.o, n.o 3, da referida diretiva prevê:

«Os Estados‑Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva [95/46], nomeadamente sobre os objetivos do processamento. Tal não impede o armazenamento técnico ou o acesso que tenha como única finalidade efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas, ou que seja estritamente necessário ao fornecedor para fornecer um serviço da sociedade da informação que tenha sido expressamente solicitado pelo assinante ou pelo utilizador.»

 Regulamento 2016/679

11      O considerando 32 do Regulamento 2016/679 enuncia:

«O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio Web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré‑validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido.»

12      O artigo 4.o deste regulamento dispõe:

«Para efeitos do presente regulamento, entende‑se por:

1)      “Dados pessoais”, informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável a pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular;

2)      “Tratamento”, uma operação ou um conjunto de operações efetuadas sobre dados pessoais ou sobre conjuntos de dados pessoais, por meios automatizados ou não automatizados, tais como a recolha, o registo, a organização, a estruturação, a conservação, a adaptação ou alteração, a recuperação, a consulta, a utilização, a divulgação por transmissão, difusão ou qualquer outra forma de disponibilização, a comparação ou interconexão, a limitação, o apagamento ou a destruição;

[…]

11)      “Consentimento” do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

[…]»

13      O artigo 6.o do referido regulamento prevê:

«1.      O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a)      O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

[…]»

14      O artigo 7.o, n.o 4, do mesmo regulamento enuncia:

«Ao avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.»

15      Nos termos do artigo 13.o, n.os 1 e 2, do Regulamento 2016/679:

«1.      Quando os dados pessoais forem recolhidos junto do titular, o responsável pelo tratamento faculta‑lhe, aquando da recolha desses dados pessoais, as seguintes informações:

[…]

e)      Os destinatários ou categorias de destinatários dos dados pessoais, se os houver;

[…]

2.      Para além das informações referidas no n.o 1, aquando da recolha dos dados pessoais, o responsável pelo tratamento fornece ao titular as seguintes informações adicionais, necessárias para garantir um tratamento equitativo e transparente:

a)      Prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo;

[…]»

16      O artigo 94.o do mesmo regulamento dispõe:

«1.      A Diretiva [95/46] é revogada com efeitos a partir de 25 de maio de 2018.

2.      As remissões para a diretiva revogada são consideradas remissões para [o] presente regulamento. As referências ao Grupo de proteção das pessoas no que diz respeito ao tratamento de dados pessoais, criado pelo artigo 29.o da Diretiva [95/46], são consideradas referências ao Comité Europeu para a Proteção de Dados criado pelo presente regulamento.»

 Direito alemão

17      Nos termos do § 307, n.o 1, primeiro período, do Bürgerliches Gesetzbuch (Código Civil, a seguir «BGB»), «são nulas as cláusulas contratuais gerais que, contrariamente às exigências da boa‑fé, sejam desproporcionadamente desfavoráveis à contraparte de quem as utiliza».

18      O § 307, n.o 2, ponto 1, do BGB determina que, em caso de dúvida, «presume‑se que a cláusula é desproporcionadamente desfavorável, se […] [n]ão estiver em consonância com princípios fundamentais subjacentes à norma legal de que se afasta».

19      O § 12 da Telemediengesetz (Lei das Telecomunicações Eletrónicas, de 26 de fevereiro de 2007 (BGBl. 2007 I, p. 179), na redação aplicável ao processo principal (a seguir «TMG»), dispõe:

«(1)      Um prestador de serviços só pode coligir e utilizar dados pessoais para prestação de serviços de telecomunicações eletrónicas se a presente lei ou outra disposição legal que se refira expressamente a telecomunicações eletrónicas o permitir ou o utilizador tiver dado o seu consentimento.

(2)      O prestador de serviços só pode utilizar, para outras finalidades, os dados pessoais coligidos para efeitos de disponibilização de serviços de telecomunicações eletrónicas para outras finalidades se a presente lei ou outra disposição que diga expressamente respeito a telecomunicações eletrónicas o permitir ou o utilizador tiver dado o seu consentimento.

(3)      Salvo disposição em contrário, as normas sobre proteção de dados pessoais em vigor aplicam‑se mesmo que os dados não tenham sido objeto de tratamento automatizado.»

20      Por força do § 13, n.o 1, da TMG, no início do ato de utilização o prestador de serviços tem de informar o utilizador, de uma forma geralmente compreensível, sobre a natureza, extensão e finalidade da recolha e utilização de dados pessoais, se essa informação não tiver sido já prestada. Nos procedimentos automatizados, que permitam a posterior identificação do utilizador e preparem a recolha ou a utilização dos dados pessoais, o utilizador deve ser informado no início desse procedimento.

21      Nos termos do § 15, n.o 3, da TMG, o prestador de serviços pode, para efeitos de publicidade, prospeção de mercados ou da orientação personalizada dos meios de telecomunicação, construir perfis dos utilizadores utilizando pseudónimos, desde que o utilizador, depois de informado sobre o seu direito de oposição, não se oponha a isso.

22      Segundo a definição dada pelo § 3, n.o 1, da Bundesdatenschutzgesetz (Lei Federal da Proteção de Dados), de 20 de dezembro de 1990 (BGBl. 1990 I, p. 2954), na redação aplicável ao processo principal (a seguir «BDSG»), os «dados pessoais são informações específicas sobre relações pessoais ou situações factuais de uma pessoa singular determinada ou determinável (o titular dos dados)».

23      De acordo com a definição que o § 3, n.o 3, da BDSG dá desse conceito, a recolha consiste na obtenção de dados sobre o respetivo titular.

24      O § 4a, n.o 1, primeiro período, da BDSG, que transpõe o artigo 2.o, alínea h), da Diretiva 95/46, dispõe que o consentimento só é válido se resultar da livre escolha do titular.

 Litígio no processo principal e questões prejudiciais

25      Em 24 de setembro de 2013, a Planet49 organizou um jogo promocional no sítio Internet www.dein‑macbook.de.

26      Os internautas que pretendiam participar nesse jogo tinham de comunicar o respetivo código postal, o que os encaminhava para uma página Web em que deviam inscrever os respetivos nomes e endereços. Sob os campos a preencher com o endereço encontravam‑se duas menções, antecedidas de quadrículas de seleção. A primeira menção, cuja quadrícula (a seguir «primeira quadrícula de seleção») não estava pré‑validada, tinha a seguinte redação:

«Concordo que alguns patrocinadores e parceiros de cooperação me informem por via postal ou telefónica ou por correio eletrónico/SMS sobre ofertas dos seus ramos de negócio. Posso aqui indicá‑los pessoalmente; se não o fizer, a escolha dos mesmos é feita pelo organizador. Posso revogar o meu consentimento a qualquer momento. Mais informações aqui

27      A segunda menção, cuja quadrícula (a seguir «segunda quadrícula de seleção») estava pré‑validada, tinha a seguinte redação:

«Concordo que o serviço de análise Web Remintrex seja instalado no meu terminal, o que implica que o organizador do jogo promocional, a [Planet49], instalará cookies depois da inscrição no jogo, o que permitirá à Planet49 uma avaliação dos meus hábitos de navegação e utilização de sítios Web de parceiros publicitários, possibilitando assim uma publicidade orientada para os meus interesses por parte da Remintrex. Posso bloquear de novo os cookies a qualquer momento. Leia mais pormenores aqui

28      A participação no jogo só era possível depois de selecionada, pelo menos, a primeira quadrícula de seleção.

29      A hiperligação eletrónica constante da menção que acompanhava a primeira quadrícula de seleção, sob as palavras «patrocinadores e parceiros de cooperação» e «aqui» conduzia a uma lista de 57 empresas, com os respetivos endereços, o ramo de negócio a publicitar e o método de comunicação utilizado para a publicidade (correio eletrónico, correio postal ou telefone). O termo sublinhado «cancelar o registo» figurava a seguir ao nome de cada empresa. A lista era antecedida do seguinte aviso:

«Ao clicar no link “cancelar o registo”, decido que não tem de ser dado ao parceiro/patrocinador indicado nenhum consentimento para a publicidade. Se eu não tiver cancelado o registo para nenhum ou para um número suficiente de parceiros/patrocinadores, a Planet49 escolhe livremente por mim os parceiros/patrocinadores (número máximo: 30 parceiros/patrocinadores).»

30      Quando se acionava a hiperligação eletrónica constante da menção que acompanhava a segunda quadrícula de seleção, apareciam as seguintes informações:

«Os cookies instalados com os nomes ceng_cache, ceng_etag, ceng_png e gcr são pequenos arquivos que são armazenados de modo ordenado no seu disco rígido pelo navegador que utiliza, e através dos quais fluem determinadas informações que possibilitam uma publicidade mais adequada ao utilizador e mais eficaz. Os cookies contêm um determinado número gerado aleatoriamente (ID), que é simultaneamente atribuído aos seus dados de registo. Se, em seguida, visitar a página Web de um dos parceiros publicitários registados para o serviço Remintrex (para verificar se existe um registo, é favor consultar a declaração de proteção dos dados desse parceiro), é automaticamente registado pela Remintrex, através de iFrames aí ligados, que a pessoa (ou seja, o utilizador com o ID armazenado) visitou a página, por que produto se interessou e se foi celebrado um contrato.

Em seguida, a [Planet49] pode, com base no consentimento dado no ato do registo para o jogo promocional para receber publicidade, mandar‑lhe mensagens eletrónicas publicitárias em função dos interesses que manifestou na página Web dos parceiros. Evidentemente, depois de revogar a autorização para a publicidade, não recebe mais mensagens eletrónicas publicitárias.

As informações transmitidas através dos cookies só são utilizadas para a publicidade em que sejam apresentados produtos do parceiro publicitário. As informações são recolhidas, armazenadas e utilizadas separadamente para cada um dos parceiros. Em caso algum são construídos perfis dos utilizadores para vários parceiros publicitários. Os parceiros publicitários não recebem individualmente quaisquer dados pessoais.

Na medida em que deixe de ter interesse na utilização dos cookies, pode bloqueá‑los a qualquer momento através do seu navegador. Encontra instruções para esse efeito na função de [“ajuda”] do seu navegador.

Através dos cookies não podem ser executados quaisquer programas nem transmitidos vírus.

Tem, evidentemente, a possibilidade de revogar este consentimento a qualquer momento. Pode fazê‑lo por escrito dirigido à [Planet49] [endereço]. Mas também é suficiente enviar uma mensagem de correio eletrónico ao nosso serviço de clientes [endereço de correio eletrónico].»

31      Resulta da decisão de reenvio que os cookies são ficheiros que um fornecedor de um sítio Internet coloca no computador do utilizador desse sítio e aos quais aquele pode aceder novamente quando de uma nova visita do sítio pelo utilizador, para facilitar a navegação na Internet ou transações ou para obter informações sobre o comportamento deste último.

32      No âmbito de uma interpelação que não teve êxito, a Federação, que está inscrita na lista das entidades com legitimidade ativa nos termos do artigo 4.o da Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Unterlassungsklagengesetz — UKlaG) (Lei Relativa às Ações Inibitórias em Matéria de Direitos dos Consumidores e Outros), de 26 de novembro de 2001 (BGBl. 2001 I, p. 3138), sustentou que as declarações de acordo solicitadas pela Planet49 através da primeira e segunda quadrículas de seleção não cumpriam os requisitos exigidos pelas disposições conjugadas do § 307 do BGB, do § 7, n.o 2, ponto 2, da Gesetz gegen den unlauteren Wettbewerb (Lei contra a Concorrência Desleal), de 3 de julho de 2004 (BGBl. 2004 I, P. 1414), na redação aplicável ao processo principal, e dos §§ 12 e seguintes da TMG.

33      A Federação intentou no Landgericht Frankfurt am Main (Tribunal Regional de Frankfurt am Main, Alemanha) uma ação em que pedia, em substância, que a Planet49 deixasse de solicitar essas declarações de acordo e que fosse condenada a pagar‑lhe a quantia de 214 euros, acrescida de juros desde 15 de março de 2014.

34      O Landgericht Frankfurt am Main (Tribunal Regional de Frankfurt am Main) julgou a ação parcialmente procedente.

35      Na sequência de um recurso interposto pela Planet49 no Oberlandesgericht Frankfurt am Main (Tribunal Regional Superior de Frankfurt am Main, Alemanha), esse órgão jurisdicional considerou que o pedido da Federação de que a Planet49 deixasse de incluir, nas convenções de jogo promocional celebradas com os consumidores, a menção constante do n.o 27 do presente acórdão, cuja segunda quadrícula de seleção estava pré‑validada, era improcedente, porquanto, por um lado, o utilizador tinha conhecimento da possibilidade de desmarcar essa opção e, por outro, a mesma era apresentada num tipo de letra suficientemente claro e dava informações sobre as modalidades de utilização dos cookies, sem que fosse necessário divulgar a identidade dos terceiros que podiam ter acesso às informações coligidas.

36      O Bundesgerichtshof (Supremo Tribunal Federal, Alemanha), no qual a federação interpôs um recurso de «Revision», considera que o desfecho do processo principal depende da interpretação das disposições conjugadas do artigo 5.o, n.o 3, e do artigo 2.o, alínea f), da Diretiva 2002/58, do artigo 2.o, alínea h), da Diretiva 95/46 e do artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679.

37      Por ter dúvidas quanto à validade, face a essas disposições, da obtenção, pela Planet49, do consentimento dos utilizadores do sítio Internet www.dein‑macbook.de através da segunda quadrícula de seleção e quanto ao alcance do dever de informar previsto no artigo 5.o, n.o 3, da Diretiva 2002/58, o Bundesgerichtshof (Supremo Tribunal Federal) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:

«1)      a)      Considera‑se que é dado um consentimento válido na aceção do artigo 5.o, n.o 3, e do artigo 2.o, alínea f), da Diretiva [2002/58], conjugados com o artigo 2.o, alínea h), da Diretiva [95/46], quando o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal do utilizador são autorizados mediante uma opção pré‑validada que o utilizador deve desmarcar para recusar o seu consentimento?

b)      Há alguma diferença na aplicação do artigo 5.o, n.o 3, e do artigo 2.o, alínea f), da Diretiva [2002/58], conjugados com o artigo 2.o, alínea h), da Diretiva [95/46], se as informações armazenadas ou acedidas constituírem dados pessoais?

c)      Nas circunstâncias descritas na alínea a) [da primeira] questão, considera‑se que é dado um consentimento válido na aceção do artigo 6.o, n.o 1, alínea a), do Regulamento [2016/679]?

2)      Que informações deve o prestador de serviços comunicar ao utilizador no âmbito das informações claras e completas a que se refere o artigo 5.o, n.o 3, da Diretiva [2002/58]? Também fazem parte destas informações a duração do funcionamento dos cookies e a questão de saber se terceiros têm acesso aos cookies

 Quanto às questões prejudiciais

 Observações preliminares

38      A título preliminar, importa examinar a aplicabilidade da Diretiva 95/46 e do Regulamento 2016/679 aos factos em causa no processo principal.

39      Com efeitos a 25 de maio de 2018, a Diretiva 95/46 foi revogada e substituída pelo Regulamento 2016/679, por força do artigo 94.o, n.o 1, deste último.

40      É certo que esta data é posterior à data da última audiência no órgão jurisdicional de reenvio, que teve lugar em 14 de julho de 2017, e à data em que o pedido de decisão prejudicial desse órgão jurisdicional deu entrada no Tribunal de Justiça.

41      Contudo, o órgão jurisdicional de reenvio referiu que, atendendo à entrada em vigor, em 25 de maio de 2018, do Regulamento 2016/679, sobre o qual, aliás, incide parte da primeira questão, era provável que esse regulamento devesse ser tido em conta no momento de decidir a causa no processo principal. Além disso, como o Governo alemão assinalou na audiência no Tribunal de Justiça, não se exclui que, uma vez que o processo instaurado pela Federação se destina a obrigar a Planet49 a cessar o seu comportamento para o futuro, o Regulamento 2016/679 seja aplicável ratione temporis no âmbito do litígio no processo principal devido à jurisprudência nacional relativa à situação jurídica relevante em matéria de ações inibitórias, o que cabe ao órgão jurisdicional de reenvio verificar (v., no tocante a uma ação de natureza declarativa, Acórdão de 16 de janeiro de 2019, Deutsche Post, C‑496/17, EU:C:2019:26, n.o 38).

42      Nestas condições, e atendendo a que, por força do artigo 94.o, n.o 2, do Regulamento 2016/679, as remissões, na Diretiva 2002/58, para a Diretiva 95/46 são consideradas remissões para o referido regulamento, não se exclui, no caso vertente, que a Diretiva 2002/58 se aplique conjuntamente com a Diretiva 95/46 ou com o Regulamento 2016/679, em função da natureza dos pedidos da Federação e do período em causa.

43      Há, pois, que responder às questões submetidas quer com base na Diretiva 95/46 quer com base no Regulamento 2016/679.

 Quanto à primeira questão, alíneas a) e c)

44      Com a sua primeira questão, alíneas a) e c), o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 2.o, alínea f), e o artigo 5.o, n.o 3, da Diretiva 2002/58, lidos conjuntamente com o artigo 2.o, alínea h), da Diretiva 95/46 e com o artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679, devem ser interpretados no sentido de que o consentimento a que essas disposições se referem é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento terminal do utilizador de um sítio Internet, por intermédio de cookies, são autorizados mediante uma opção pré‑validada que esse utilizador deve desmarcar para recusar o seu consentimento.

45      A título preliminar, há que esclarecer que, segundo as indicações constantes da decisão de reenvio, os cookies suscetíveis de ser colocados no equipamento terminal de um utilizador que participa no jogo promocional organizado pela Planet49 incluem um número que é atribuído aos dados de registo desse utilizador, o qual deve inscrever o seu nome e endereço no formulário de participação nesse jogo. O órgão jurisdicional de reenvio acrescenta que a associação desse número e desses dados personaliza os dados armazenados pelos cookies quando o utilizador recorre à Internet, pelo que a recolha desses dados através de cookies se traduz num tratamento de dados pessoais. Estas indicações foram confirmadas pela Planet49, que sublinhou nas suas observações escritas que o consentimento correspondente à segunda quadrícula de seleção se destina a autorizar a recolha e tratamento de dados pessoais, e não de informações anónimas.

46      Esclarecido este ponto, há que observar que, em conformidade com o artigo 5.o, n.o 3, da Diretiva 2002/58, os Estados‑Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva 95/46/CE, nomeadamente sobre os objetivos do processamento.

47      A este respeito, recorde‑se que decorre das exigências tanto da aplicação uniforme do direito da União como do princípio da igualdade que os termos de uma disposição do direito da União que não comporte uma remissão expressa para o direito dos Estados‑Membros para determinar o seu sentido e o seu alcance devem, em princípio, ser interpretados de modo autónomo e uniforme em toda a União Europeia [Acórdãos de 26 de março de 2019, SM (Menor colocado no regime de kafala argelino), C‑129/18, EU:C:2019:248, n.o 50, e de 11 de abril de 2019, Tarola, C‑483/17, EU:C:2019:309, n.o 36].

48      Além disso, segundo jurisprudência constante do Tribunal de Justiça, na interpretação de uma disposição do direito da União, há que ter em conta não só os seus termos e os objetivos que prossegue mas também o seu contexto e o conjunto das disposições do direito da União. A génese de uma disposição do direito da União pode igualmente revestir elementos pertinentes para a sua interpretação (Acórdão de 10 de dezembro de 2018, Wightman e o., C‑621/18, EU:C:2018:999, n.o 47 e jurisprudência aí referida).

49      Quanto aos termos do artigo 5.o, n.o 3, da Diretiva 2002/58, há que notar que, embora essa disposição preveja expressamente que o utilizador deve ter «dado o seu consentimento» à colocação e consulta de cookies no seu equipamento terminal, a referida disposição não contém, em contrapartida, indicações sobre a maneira como esse consentimento deve ser dado. Os termos «dado o seu consentimento» prestam‑se, no entanto, a uma interpretação literal segundo a qual é necessária uma ação do utilizador para exprimir o seu consentimento. A este respeito, resulta do considerando 17 da Diretiva 2002/58 que o consentimento do utilizador pode ser dado por qualquer forma adequada que permita obter uma indicação comunicada de livre vontade, específica e informada sobre os seus desejos, nomeadamente «por via informática ao visitar um sítio na [I]nternet».

50      No tocante ao contexto em torno do artigo 5.o, n.o 3, da Diretiva 2002/58, sublinhe‑se que o artigo 2.o, alínea f), dessa diretiva, que define o «consentimento», na aceção desta, remete, a esse respeito, para o «consentimento dado pela pessoa a quem dizem respeito os dados» constante da Diretiva 95/46. O considerando 17 da Diretiva 2002/58 esclarece que, para efeitos desta diretiva, o consentimento por parte do utilizador deve ter a mesma aceção que o consentimento da pessoa a quem os dados dizem respeito, conforme definido e especificado na Diretiva 95/46.

51      O artigo 2.o, alínea h), desta última diretiva define «consentimento da pessoa em causa» como «qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento».

52      Como o advogado‑geral sublinhou no n.o 60 das suas conclusões, a exigência de uma «manifestação» de vontade da pessoa em causa aponta claramente para um comportamento ativo, e não passivo. Ora, um consentimento dado através de uma opção pré‑validada não implica um comportamento ativo por parte do utilizador de um sítio Internet.

53      Esta interpretação é corroborada pelo artigo 7.o da Diretiva 95/46, que prevê uma lista exaustiva dos casos em que um tratamento de dados pessoais pode ser considerado lícito (v., nesse sentido, Acórdãos de 24 de novembro de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 e C‑469/10, EU:C:2011:777, n.o 30, e de 19 de outubro de 2016, Breyer, C‑582/14, EU:C:2016:779, n.o 57).

54      Em especial, o artigo 7.o, alínea a), da Diretiva 95/46 prevê que o consentimento da pessoa em causa pode tornar lícito esse tratamento, se tiver sido «dado de forma inequívoca». Ora, só um comportamento ativo por parte dessa pessoa, com vista a manifestar o seu consentimento, é suscetível de cumprir essa exigência.

55      A este respeito, verifica‑se que é impossível, na prática, determinar objetivamente se um utilizador de um sítio Internet efetivamente deu o seu consentimento ao tratamento dos seus dados pessoais se não tiver desmarcado uma opção pré‑validada e, em todo o caso, se esse consentimento foi dado de um modo informado. Com efeito, não se pode excluir que o referido utilizador não tenha lido a informação que acompanha a opção pré‑validada, ou até mesmo que não se tenha apercebido dessa opção, antes de prosseguir a sua atividade no sítio Internet que visita.

56      Por último, no que toca à génese do artigo 5, n.o 3, da Diretiva 2002/58, há que notar que a versão inicial dessa disposição previa unicamente a exigência de que o utilizador tivesse o «direito de recusar» a colocação de cookies, após ter recebido, com observância da Diretiva 95/46, informações claras e completas, nomeadamente sobre os objetivos do processamento. A Diretiva 2009/136 introduziu uma alteração substancial à redação dessa disposição, substituindo aquela expressão pelos termos «tiver dado o seu consentimento prévio». A génese do artigo 5.o, n.o 3, da Diretiva 2002/58 tende, pois, a indicar que o consentimento do utilizador já não pode presumido e deve resultar de um comportamento ativo deste.

57      Por conseguinte, face aos elementos que antecedem, o consentimento a que se referem o artigo 2.o, alínea f), e o artigo 5.o, n.o 3, da Diretiva 2002/58, lidos conjuntamente com o artigo 2.o, alínea h), da Diretiva 95/46, não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento terminal do utilizador de um sítio Internet são autorizados mediante uma opção pré‑validada pelo prestador do serviço, que o utilizador deverá desmarcar para recusar o seu consentimento.

58      Acresce que a manifestação de vontade a que se refere o artigo 2.o, alínea h), da Diretiva 95/46 deve, nomeadamente, ser «específica», no sentido de que deve incidir precisamente sobre o tratamento de dados pessoais em causa e não pode ser deduzida de uma manifestação de vontade que tem um objeto distinto.

59      No caso vertente, ao contrário do que alega a Planet49, o facto de um utilizador ativar o botão de participação no jogo promocional organizado por essa sociedade não pode, pois, bastar para considerar que o utilizador deu validamente o seu consentimento à colocação de cookies.

60      A interpretação que antecede impõe‑se, por maioria de razão, à luz do Regulamento 2016/679.

61      Com efeito, como observou, em substância, o advogado‑geral no n.o 70 das suas conclusões, a redação do artigo 4.o, ponto 11, do Regulamento 2016/679, que define o «[c]onsentimento do titular dos dados» para efeitos desse regulamento, e, em especial, do seu artigo 6.o, n.o 1, alínea a), a que se refere a primeira questão, alínea c), revela‑se ainda mais estrita do que a do artigo 2.o, alínea h), da Diretiva 95/46, porquanto exige uma manifestação de vontade «livre, específica, informada e explícita» do titular dos dados, sob a forma de uma declaração ou de um «ato positivo inequívoco», que constitui a sua aceitação do tratamento dos dados pessoais que lhe dizem respeito.

62      Um consentimento ativo passou, pois, a estar expressamente previsto no Regulamento 2016/679. Importa salientar a este respeito que, segundo o considerando 32 deste regulamento, o consentimento pode ser dado validando uma opção ao visitar um sítio Web na Internet. Em contrapartida, o referido considerando exclui que «o silêncio, as opções pré‑validadas ou a omissão» constituam um consentimento.

63      Daqui se conclui que o consentimento a que se referem o artigo 2.o, alínea f), e o artigo 5.o, n.o 3, da Diretiva 2002/58, lidos conjuntamente com o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679, não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento terminal do utilizador de um sítio Internet são autorizados mediante uma opção pré‑validada que o utilizador deve desmarcar para recusar o seu consentimento.

64      Por último, importa sublinhar que o órgão jurisdicional de reenvio não submeteu ao Tribunal de Justiça a questão de saber se a circunstância de o consentimento de um utilizador no tratamento dos seus dados pessoais para fins publicitários condicionar a possibilidade de este participar num jogo promocional, como parece suceder no caso vertente, segundo as indicações constantes da decisão de reenvio, pelo menos no que respeita à primeira quadrícula de seleção, é compatível com a exigência de um consentimento «livre», na aceção do artigo 2.o, alínea h), da Diretiva 95/46, bem como do artigo 4.o, ponto 11, e do artigo 7.o, n.o 4, do Regulamento 2016/679. Nestas condições, não é necessário que o Tribunal de Justiça aprecie esta questão.

65      Tendo em conta o conjunto das considerações precedentes, há que responder à primeira questão, alíneas a) e c), que o artigo 2.o, alínea f), e o artigo 5.o, n.o 3, da Diretiva 2002/58, lidos conjuntamente com o artigo 2.o, alínea h), da Diretiva 95/46, bem como com o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679, devem ser interpretados no sentido de que o consentimento a que essas disposições se referem não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento terminal do utilizador de um sítio Internet, por intermédio de cookies, são autorizados mediante uma opção pré‑validada que esse utilizador deve desmarcar para recusar o seu consentimento.

 Quanto à primeira questão, alínea b)

66      Com a sua primeira questão, alínea b), o órgão jurisdicional de reenvio pretende saber, em substância, se o artigo 2.o, alínea f), e o artigo 5.o, n.o 3, da Diretiva 2002/58, lidos conjuntamente com o artigo 2.o, alínea h), da Diretiva 95/46, bem como com o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679, devem ser interpretados de forma diferente consoante as informações armazenadas ou consultadas no equipamento terminal do utilizador de um sítio Internet constituam ou não dados pessoais, na aceção da Diretiva 95/46 e do Regulamento 2016/679.

67      Como se sublinhou no n.o 45 do presente acórdão, resulta da decisão de reenvio que a colocação dos cookies em causa no processo principal integra um tratamento de dados pessoais.

68      Esclarecido este ponto, há que observar, em todo o caso, que o artigo 5.o, n.o 3, da Diretiva 2002/58 faz referência ao «armazenamento de informações» e à «possibilidade de acesso a informações já armazenadas», sem qualificar essas informações nem especificar que as mesmas deverão ser dados pessoais.

69      Como o advogado‑geral observou no n.o 107 das suas conclusões, esta disposição destina‑se, pois, a proteger os utilizadores de qualquer intromissão na sua esfera privada, independentemente da questão de saber se essa intromissão diz ou não respeito a dados pessoais.

70      Esta interpretação é corroborada pelo considerando 24 da Diretiva 2002/58, segundo o qual todas as informações armazenadas no equipamento terminal dos utilizadores de redes de comunicações eletrónicas constituem parte integrante da esfera privada dos utilizadores e devem ser protegidos ao abrigo da Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais. Esta proteção aplica‑se a todas as informações armazenadas nesse equipamento terminal, independentemente de se tratar ou não de dados pessoais, e destina‑se, nomeadamente, como resulta desse mesmo considerando, a proteger os utilizadores contra o risco de identificadores ocultos ou outros dispositivos análogos entrarem nos terminais desses utilizadores sem o seu conhecimento.

71      Tendo em conta as considerações precedentes, há que responder à primeira questão, alínea b), que o artigo 2.o, alínea f), e o artigo 5.o, n.o 3, da Diretiva 2002/58, lidos conjuntamente com o artigo 2.o, alínea h), da Diretiva 95/46, bem como com o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679, não devem ser interpretados de forma diferente consoante as informações armazenadas ou consultadas no equipamento terminal do utilizador de um sítio Internet constituam ou não dados pessoais, na aceção da Diretiva 95/46 e do Regulamento 2016/679.

 Quanto à segunda questão

72      Com a sua segunda questão, o órgão jurisdicional de reenvio pergunta, em substância, se o artigo 5.o, n.o 3, da Diretiva 2002/58 deve ser interpretado no sentido de que as informações que o prestador de serviços deve dar ao utilizador de um sítio Internet incluem a duração do funcionamento dos cookies e a possibilidade ou não de terceiros terem acesso a esses cookies.

73      Como resulta já do n.o 46 do presente acórdão, o artigo 5.o, n.o 3, da Diretiva 2002/58 exige que o utilizador tenha dado o seu consentimento prévio com base em informações claras e completas, «nos termos da Diretiva [95/46]», nomeadamente sobre os objetivos do processamento.

74      Como o advogado‑geral sublinhou no n.o 115 das suas conclusões, as informações claras e completas devem permitir ao utilizador determinar facilmente as consequências do consentimento que possa vir a dar e garantir que esse consentimento seja dado com pleno conhecimento de causa. Essas informações devem ser compreensíveis e suficientemente pormenorizadas para permitir ao utilizador compreender o funcionamento dos cookies utilizados.

75      Ora, numa situação como a que está em causa no processo principal, em que, segundo as indicações constantes dos autos submetidos ao Tribunal de Justiça, os cookies se destinam a coligir informações para efeitos de publicidade dos produtos dos parceiros do organizador de um jogo promocional, a duração do funcionamento dos cookies e a possibilidade ou não de terceiros terem acesso a esses cookies fazem parte das informações claras e completas que devem ser prestadas ao utilizador em conformidade com o artigo 5.o, n.o 3, da Diretiva 2002/58.

76      A este respeito, refira‑se que o artigo 10.o da Diretiva 95/46, para o qual remete o artigo 5.o, n.o 3, da Diretiva 2002/58, e o artigo 13.o do Regulamento 2016/679 enunciam as informações que o responsável pelo tratamento deve prestar à pessoa junto da qual recolhe dados que lhe dizem respeito.

77      Estas informações incluem, nomeadamente, por força do artigo 10.o da Diretiva 95/46, além da identidade do responsável pelo tratamento e das finalidades do tratamento a que os dados se destinam, outras informações, tais como os destinatários ou categorias de destinatários dos dados, desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.

78      Embora a duração do tratamento dos dados não conste entre essas informações, resulta, porém, da expressão «pelo menos» do artigo 10.o da Diretiva 95/46 que estas não são enumeradas de forma exaustiva. Ora, deve‑se considerar que a informação sobre a duração do funcionamento dos cookies satisfaz a exigência de tratamento leal dos dados prevista no referido artigo, porquanto, numa situação como a que está em causa no processo principal, uma duração longa, ou mesmo ilimitada, implica a recolha de numerosas informações sobre os hábitos de navegação e a frequência das eventuais visitas do utilizador aos sítios dos parceiros publicitários do organizador do jogo promocional.

79      Esta interpretação é corroborada pelo artigo 13.o, n.o 2, alínea a), do Regulamento 2016/679, que prevê que o responsável pelo tratamento deve fornecer ao titular dos dados, para garantir um tratamento equitativo e transparente, informação sobre, nomeadamente, o prazo de conservação dos dados pessoais ou, se não for possível, os critérios usados para definir esse prazo.

80      Quanto à possibilidade ou não de terceiros terem acesso aos cookies, trata‑se de uma informação incluída nas informações mencionadas no artigo 10.o, alínea c), da Diretiva 95/46 e no artigo 13.o, n.o 1, alínea e), do Regulamento 2016/679, uma vez que essas disposições mencionam expressamente os destinatários ou as categorias de destinatários dos dados.

81      Tendo em conta as considerações precedentes, há que responder à segunda questão que o artigo 5.o, n.o 3, da Diretiva 2002/58 deve ser interpretado no sentido de que as informações que o prestador de serviços deve dar ao utilizador de um sítio Internet incluem a duração do funcionamento dos cookies e a possibilidade ou não de terceiros terem acesso a esses cookies.

 Quanto às despesas

82      Revestindo o processo, quanto às partes na causa principal, a natureza de incidente suscitado perante o órgão jurisdicional de reenvio, compete a este decidir quanto às despesas. As despesas efetuadas pelas outras partes para a apresentação de observações ao Tribunal de Justiça não são reembolsáveis.

Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) declara:

1)      O artigo 2.o, alínea f), e o artigo 5.o, n.o 3, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, lidos conjuntamente com o artigo 2.o, alínea h), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, bem como com o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46 (Regulamento Geral sobre a Proteção de Dados), devem ser interpretados no sentido de que o consentimento a que essas disposições se referem não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento terminal do utilizador de um sítio Internet, por intermédio de cookies, são autorizados mediante uma opção prévalidada que esse utilizador deve desmarcar para recusar o seu consentimento.

2)      O artigo 2.o, alínea f), e o artigo 5.o, n.o 3, da Diretiva 2002/58, conforme alterada pela Diretiva 2009/136, lidos conjuntamente com o artigo 2.o, alínea h), da Diretiva 95/46, bem como com o artigo 4.o, ponto 11, e o artigo 6.o, n.o 1, alínea a), do Regulamento 2016/679, não devem ser interpretados de forma diferente consoante as informações armazenadas ou consultadas no equipamento terminal do utilizador de um sítio Internet constituam ou não dados pessoais, na aceção da Diretiva 95/46 e do Regulamento 2016/679.

3)      O artigo 5.o, n.o 3, da Diretiva 2002/58, conforme alterada pela Diretiva 2009/136, deve ser interpretado no sentido de que as informações que o prestador de serviços deve dar ao utilizador de um sítio Internet incluem a duração do funcionamento dos cookies e a possibilidade ou não de terceiros terem acesso a esses cookies.

Assinaturas


*      Língua do processo: alemão.