Processo C‑673/17
Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV
contra
Planet49 GmbH
(pedido de decisão prejudicial apresentado pelo Bundesgerichtshof)
Acórdão do Tribunal de Justiça (Grande Secção) de 1 de outubro de 2019
«Reenvio prejudicial — Diretiva 95/46/CE — Diretiva 2002/58/CE — Regulamento (UE) 2016/679 — Tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas — Cookies — Conceito de consentimento do titular dos dados — Declaração de consentimento através de uma opção pré‑validada»
1. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados pessoais e proteção da privacidade no setor das comunicações eletrónicas — Diretiva 2002/58 — Cookies — Consentimento do titular dos dados — Conceito — Declaração de consentimento através de uma opção pré‑validada — Exclusão
[Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 4.°, ponto 11, e 6.°, n.° 1, alínea a); Diretivas do Parlamento Europeu e do Conselho 95/46, artigo 2.°, alínea h), e 2002/58, conforme alterada pela Diretiva 2009/136, artigos 2.°, alínea f), e 5.°, n.° 3]
(cf. n.os 49‑58, 60‑63, disp. 1)
2. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados pessoais e proteção da privacidade no setor das comunicações eletrónicas — Diretiva 2002/58 — Cookies — Consentimento do titular dos dados — Conceito — Informações armazenadas ou consultadas que são ou não dados pessoais — Não repercussão
[Regulamento 2016/679 do Parlamento Europeu e do Conselho, artigo 4.°, ponto 11, e 6.°, n.° 1, alínea a); Diretivas do Parlamento Europeu e do Conselho 95/46, artigo 2.°, alínea h), e 2002/58, conforme alterada pela Diretiva 2009/136, artigos 2.°, alínea f), e 5.°, n.° 3]
(cf. n.os 68‑71, disp. 2)
3. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados pessoais e proteção da privacidade no setor das comunicações eletrónicas — Diretiva 2002/58 — Cookies — Informações claras e completas que devem ser dadas pelo prestador de serviços — Conceito — Duração do funcionamento dos cookies — Inclusão — Possibilidade ou não de terceiros terem acesso aos cookies — Inclusão
(Diretiva 2002/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva 2009/136, artigo 5.°, n.° 3)
(cf. n.os 74‑81, disp. 3)
Resumo
A colocação de cookies exige o consentimento ativo dos internautas
Pelo Acórdão de 1 de outubro de 2019, a Planet49 (C‑673/17), o Tribunal de Justiça, reunido em Grande Secção, declarou que o consentimento para o armazenamento de informações ou para o acesso a informações através de cookies instalados no equipamento terminal do utilizador de um sítio Internet não é validamente dado quando a autorização resulta de uma opção pré‑validada, independentemente de as informações em causa serem ou não dados pessoais. Além disso, o Tribunal de Justiça sublinhou que o prestador de serviços deve indicar ao utilizador de um sítio Internet a duração do funcionamento dos cookies e a possibilidade ou não de terceiros terem acesso a esses cookies.
O litígio no processo principal versava sobre a organização de um jogo promocional pela Planet49 no sítio Internet www.dein‑macbook.de. Para participar, os internautas deviam comunicar os respetivos nomes e endereços numa página web em que se encontravam quadrículas de seleção. A quadrícula que autorizava a instalação dos cookies estava pré‑validada. A Federação alemã das associações de consumidores interpôs um recurso no Bundesgerichtshof (Supremo Tribunal Federal, Alemanha), que nutria dúvidas sobre a validade da obtenção do consentimento dos utilizadores mediante a opção pré‑validada e sobre o alcance do dever de informação que recai sobre o prestador de serviços.
O pedido de decisão prejudicial incidia essencialmente sobre a interpretação do conceito de consentimento a que se refere a Diretiva relativa à privacidade e às comunicações eletrónicas (1), conjugada com a Diretiva 95/46 (2) e com o Regulamento Geral sobre a Proteção de Dados (3).
Em primeiro lugar, o Tribunal de Justiça observou que o artigo 2.°, alínea h), da Diretiva 95/46, para o qual remete o artigo 2.°, alínea f), da Diretiva relativa à privacidade e às comunicações eletrónicas, define o consentimento como «qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento». Sublinhou que a exigência de uma «manifestação» de vontade da pessoa em causa aponta claramente para um comportamento ativo, e não passivo. Ora, um consentimento dado através de uma opção pré‑validada não implica um comportamento ativo por parte do utilizador de um sítio Internet. Além disso, a génese do artigo 5.°, n.° 3, da Diretiva relativa à privacidade e às comunicações eletrónicas, que prevê, desde a sua alteração pela Diretiva 2009/136, que o utilizador deve ter «dado o seu consentimento prévio», tende a indicar que o consentimento do utilizador já não pode ser presumido e deve resultar de um comportamento ativo deste. Por último, um consentimento ativo está atualmente previsto no Regulamento Geral sobre a Proteção de Dados (4), cujo artigo 4.°, ponto 11, exige uma manifestação de vontade sob a forma, nomeadamente, de um «ato positivo inequívoco» e cujo considerando 32 exclui expressamente que «o silêncio, as opções pré‑validadas ou a omissão» constituam um consentimento.
Por conseguinte, Tribunal de Justiça declarou que o consentimento não é validamente dado quando o armazenamento de informações ou o acesso a informações já armazenadas no equipamento terminal do utilizador de um sítio de Internet são autorizados mediante uma opção pré‑validada que o utilizador deve desmarcar para recusar o seu consentimento. Acrescentou que o facto de esse utilizador ativar o botão de participação no jogo promocional em causa não pode bastar para considerar que o utilizador deu validamente o seu consentimento à colocação de cookies.
Em segundo lugar, o Tribunal de Justiça observou que o artigo 5.°, n.° 3, da Diretiva relativa à privacidade e às comunicações eletrónicas se destina a proteger os utilizadores de qualquer intromissão na sua esfera privada, independentemente da questão de saber se essa intromissão diz ou não respeito a dados pessoais. Daqui resulta que o conceito de consentimento não deve ser interpretado de forma diferente consoante as informações armazenadas ou consultadas no equipamento terminal do utilizador de um sítio Internet constituam ou não dados pessoais.
Em terceiro lugar, o Tribunal de Justiça salientou que o artigo 5.°, n.° 3, da Diretiva relativa à privacidade e às comunicações eletrónicas exige que o utilizador tenha dado o seu consentimento com base em informações claras e completas, nomeadamente sobre os objetivos do processamento. Ora, as informações claras e completas devem permitir ao utilizador determinar facilmente as consequências do consentimento que possa dar e garantir que esse consentimento é dado com pleno conhecimento de causa. A este respeito, o Tribunal de Justiça considerou que a duração do funcionamento dos cookies e a possibilidade ou não de terceiros terem acesso a esses cookies fazem parte das informações claras e completas que devem ser dadas ao utilizador de um sítio Internet pelo prestador de serviços.