CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2019:246

CONCLUSÕES DO ADVOGADO‑GERAL

MACIEJ SZPUNAR

apresentadas em 21 de março de 2019(1)

Processo C‑673/17

Planet49 GmbH

contra

Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e.V.

[pedido de decisão prejudicial apresentado pelo Bundesgerichtshof (Supremo Tribunal Federal, Alemanha)]

«Reenvio prejudicial — Diretiva 95/46/CE — Diretiva 2002/58/CE — Regulamento (UE) 2016/679 — Tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas — Cookies — Conceito de consentimento do titular dos dados — Declaração de consentimento através de uma opção pré‑validada»

I. Introdução

1. Para participar num jogo promocional organizado pela Planet49, um utilizador da Internet deparou com duas menções antecedidas de quadrículas de seleção que tinha de selecionar ou desmarcar antes de poder acionar o «botão de participação». Uma das menções exigia que o utilizador aceitasse ser contactado por uma lista de empresas para efeitos de ofertas promocionais e a outra exigia o consentimento do utilizador para a instalação de cookies no seu computador. Estes são, em suma, os factos que estão na origem do presente pedido de decisão prejudicial do Bundesgerichtshof (Supremo Tribunal Federal, Alemanha).

2. Sob estes factos aparentemente inócuos, existem questões fundamentais do âmbito do direito da União relativo à proteção de dados: quais são, concretamente, as exigências do consentimento informado que deve resultar de uma manifestação de vontade livre? Existe diferença no que se refere (apenas) ao tratamento de dados pessoais e à instalação e acesso a cookies? Que quadro jurídico é aplicável?

3. Nestas conclusões, defenderei, no que respeita ao presente processo, que as exigências do consentimento são idênticas no âmbito da Diretiva 95/46/CE (2) e do Regulamento (UE) 2016/679 (3), e que é indiferente, neste caso, se se trata da questão geral do tratamento de dados pessoais ou da questão mais específica que diz respeito ao armazenamento ou à possibilidade de acesso a informações através de cookies.

II. Quadro jurídico

A. Direito da União

1. Diretiva 95/46

4. O artigo 2.^o da Diretiva 95/46, sob a epígrafe «Definições», prevê:

«Para efeitos da presente diretiva, entende‑se por:

[…]

h) “Consentimento da pessoa em causa”, qualquer manifestação de vontade, livre, específica e informada, pela qual a pessoa em causa aceita que dados pessoais que lhe dizem respeito sejam objeto de tratamento.»

5. No âmbito da secção II desta diretiva, sob a epígrafe «Princípios relativos à legitimidade do tratamento de dados», o artigo 7.^o, alínea a), prevê:

«Os Estados‑Membros estabelecerão que o tratamento de dados pessoais só poderá ser efetuado se:

a) A pessoa em causa tiver dado de forma inequívoca o seu consentimento; ou

[…]»

6. O artigo 10.^o da mesma diretiva, sob a epígrafe «Informação em caso de recolha de dados junto da pessoa em causa», prevê o seguinte:

«Os Estados‑Membros estabelecerão que o responsável pelo tratamento ou o seu representante deve fornecer à pessoa em causa junto da qual recolha dados que lhe digam respeito, pelo menos as seguintes informações, salvo se a pessoa já delas tiver conhecimento:

a) Identidade do responsável pelo tratamento e, eventualmente, do seu representante;

b) Finalidades do tratamento a que os dados se destinam;

c) Outras informações, tais como:

– os destinatários ou categorias de destinatários dos dados,

– o caráter obrigatório ou facultativo da resposta, bem como as possíveis consequências se não responder,

– a existência do direito de acesso aos dados que lhe digam respeito e do direito de os retificar,

desde que sejam necessárias, tendo em conta as circunstâncias específicas da recolha dos dados, para garantir à pessoa em causa um tratamento leal dos mesmos.»

2. Diretiva 2002/58/CE (4)

7. Os considerandos 24 e 25 da Diretiva 2002/58/CE (5) estabelecem o seguinte:

«(24) O equipamento terminal dos utilizadores de redes de comunicações eletrónicas e todas as informações armazenadas nesse equipamento constituem parte integrante da esfera privada dos utilizadores e devem ser protegidos ao abrigo da Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais. Os denominados […] “programas‑espiões” (“spyware”), “gráficos‑espiões” (“web bugs”) e “identificadores ocultos” (“hidden identifiers”) e outros dispositivos análogos podem entrar nos terminais dos utilizadores sem o seu conhecimento a fim de obter acesso a informações, armazenar informações escondidas ou permitir a rastreabilidade das atividades do utilizador e podem constituir uma grave intrusão na privacidade desses utilizadores. A utilização desses dispositivos deverá ser autorizada unicamente para fins legítimos, com o conhecimento dos utilizadores em causa.

(25) Todavia, esses dispositivos, por exemplo os denominados testemunhos de conexão (“cookies”), podem ser um instrumento legítimo e útil, nomeadamente na análise da eficácia da conceção e publicidade do sítio web, e para verificar a identidade dos utilizadores que procedem a transações em linha. Sempre que esses dispositivos, por exemplo os testemunhos de conexão (“cookies”), se destinem a um fim legítimo, como por exemplo a facilitar a prestação de serviços de informação, a sua utilização deverá ser autorizada, na condição de que sejam fornecidas aos utilizadores informações claras e precisas, em conformidade com a Diretiva 95/46/CE, acerca da finalidade dos testemunhos de conexão (“cookies”) ou dos dispositivos análogos por forma a assegurar que os utilizadores tenham conhecimento das informações colocadas no equipamento terminal que utilizam. Os utilizadores deveriam ter a oportunidade de recusarem que um testemunho de conexão (“cookie”) ou um dispositivo análogo seja armazenado no seu equipamento terminal. Tal é particularmente importante nos casos em que outros utilizadores para além do próprio têm acesso ao equipamento terminal e, consequentemente, a quaisquer dados que contenham informações sensíveis sobre a privacidade armazenadas no referido equipamento. A informação e o direito a recusar poderão ser propostos uma vez em relação aos diversos dispositivos a instalar no equipamento terminal do utente durante a mesma ligação e deverá também contemplar quaisquer outras futuras utilizações do dispositivo durante posteriores ligações. As modalidades para prestar as informações, proporcionar o direito de recusar ou pedir consentimento deverão ser tão conviviais quanto possível. O acesso ao conteúdo de um sítio web específico pode ainda depender da aceitação, com conhecimento de causa, de um testemunho de conexão (“cookie”) ou dispositivo análogo, caso seja utilizado para um fim legítimo.»

8. O artigo 2.^o da referida diretiva, sob a epígrafe «Definições», prevê na alínea f):

«Salvo disposição em contrário, são aplicáveis as definições constantes da Diretiva 95/46/CE e da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (Diretiva‑Quadro) ^[(6)^].

São também aplicáveis as seguintes definições:

[…]

f) “Consentimento” por parte do utilizador ou assinante significa o consentimento dado pela pessoa a quem dizem respeito os dados, previsto na Diretiva 95/46/CE;

[…]»

9. O artigo 5.^o, n.^o 3, da referida diretiva, sob a epígrafe «Confidencialidade das comunicações», prevê:

«Os Estados‑Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva 95/46/CE, nomeadamente sobre os objetivos do processamento. Tal não impede o armazenamento técnico ou o acesso que tenha como única finalidade efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas, ou que seja estritamente necessário ao fornecedor para fornecer um serviço da sociedade da informação que tenha sido expressamente solicitado pelo assinante ou pelo utilizador.»

3. Diretiva 2009/136/CE (7)

10. O considerando 66 da Diretiva 2009/136/CE (8) estabelece:

«Terceiros podem desejar armazenar informações sobre o equipamento de um utilizador, ou ter acesso a informação já armazenada, para uma série de fins, que vão desde os legítimos [por exemplo, certos tipos de testemunhos de conexão (“cookies”], até os que envolvem a intromissão indevida na esfera privada (por exemplo, software espião ou vírus). É, pois, de suma importância que sejam prestadas informações claras e exaustivas aos utilizadores, sempre que sejam encetadas atividades que possam resultar nesse tipo de armazenamento ou de possibilidade de acesso. As formas de dar informações, proporcionar o direito de recusar ou pedir consentimento deverão ser tão simples quanto possível. As exceções à obrigação de prestar informações e de permitir o direito de recusar deverão limitar‑se às situações em que o armazenamento técnico ou o acesso é estritamente necessário para o objetivo legítimo de permitir a utilização de um serviço específico explicitamente solicitado pelo assinante ou utilizador. Sempre que tecnicamente possível e eficaz, e em conformidade com as disposições aplicáveis da Diretiva 95/46/CE, o consentimento do utilizador relativamente ao tratamento de dados pode ser manifestado através do uso dos parâmetros adequados do programa de navegação ou de outra aplicação. O cumprimento destes requisitos deverá ser tornado mais eficaz através do reforço dos poderes concedidos às autoridades nacionais competentes.»

4. Regulamento 2016/679

11. O considerando 32 do Regulamento 2016/679 estabelece:

«O consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré‑validadas ou a omissão não deverão, por conseguinte, constituir um consentimento. O consentimento deverá abranger todas as atividades de tratamento realizadas com a mesma finalidade. Nos casos em que o tratamento sirva fins múltiplos, deverá ser dado um consentimento para todos esses fins. Se o consentimento tiver de ser dado no seguimento de um pedido apresentado por via eletrónica, esse pedido tem de ser claro e conciso e não pode perturbar desnecessariamente a utilização do serviço para o qual é fornecido.»

12. O artigo 4.^o, ponto 11), do mesmo regulamento, sob a epígrafe «Definições», prevê:

«Para efeitos do presente regulamento, entende‑se por:

[…]

11) “Consentimento” do titular dos dados, uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento;

[…]»

13. O artigo 6.^o do referido regulamento, sob a epígrafe «Licitude do tratamento», prevê:

«1. O tratamento só é lícito se e na medida em que se verifique pelo menos uma das seguintes situações:

a) O titular dos dados tiver dado o seu consentimento para o tratamento dos seus dados pessoais para uma ou mais finalidades específicas;

[…]»

14. O artigo 7.^o do Regulamento 2016/679 tem por epígrafe «Condições aplicáveis ao consentimento». Nos termos do artigo 7.^o, n.^o 4, «[a]o avaliar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato.»

B. Direito alemão

1. Código Civil alemão

15. O § 307 (9) do Bürgerliches Gesetzbuch (Código Civil alemão, a seguir «BGB») prevê:

«(1) São nulas as cláusulas contratuais gerais que, contrariamente às exigências da boa‑fé, sejam desproporcionadamente desfavoráveis à contraparte de quem as utiliza. Também pode ser considerada desproporcionadamente desfavorável a cláusula que não é clara e compreensível.

(2) Em caso de dúvida, presume‑se que a cláusula é desproporcionadamente desfavorável, se:

1. Não estiver em consonância com princípios fundamentais subjacentes à norma legal de que se afasta, ou

2. Restringir de tal forma direitos ou obrigações essenciais resultantes da natureza do contrato que põe em risco a realização do objetivo do contrato.

(3) Os n.^os 1 e 2, supra, e os § 308 e 309 só são aplicáveis a cláusulas contratuais gerais em que se estipulem regras que divergem de disposições legais ou que as complementam. Podem ser declaradas nulas outras disposições, por força do n.^o 1, segundo período, conjugado com o n.^o 1, primeiro período, supra.»

2. Lei sobre a Concorrência Desleal

16. A Gesetz gegen den unlauteren Wettbewerb (Lei sobre a Concorrência Desleal, a seguir «UWG») proíbe práticas comerciais que constituem um incómodo inaceitável para um participante no mercado. O § 7, n.^o 2, da UWG prevê, no ponto 2, que «[o] incómodo inaceitável deve presumir‑se sempre nos casos de […] publicidade telefónica a um consumidor sem o seu consentimento explícito prévio ou a outro participante no mercado sem consentimento prévio.»

3. Lei relativa aos Meios de Telecomunicação

17. O § 12, n.^o 1, da Telemediengesetz (Lei relativa aos Meios de Telecomunicação, a seguir «TMG») transpõe o artigo 7.^o, alínea a), da Diretiva 95/46 e estabelece as condições em que um prestador de serviços está autorizado a coligir e utilizar dados pessoais para prestação de serviços de telecomunicações. Nos termos dessa disposição, um prestador de serviços só pode coligir e utilizar dados pessoais para prestação de serviços de telecomunicações na medida em que a TMG ou outra disposição legal que se refira expressamente aos meios de telecomunicação o permitir ou o utilizador tiver dado o seu consentimento.

18. O § 12, n.^o 3, da TMG prevê que a legislação em vigor que regula a proteção de dados pessoais deve ser aplicada mesmo que os dados não sejam objeto de um tratamento automatizado.

19. O § 13, n.^o 1, da TMG obriga o prestador de serviços a informar o utilizador, no início da utilização, da natureza, da extensão e da finalidade do tratamento de dados pessoais, bem como do tratamento de dados fora do âmbito de aplicação da Diretiva 95/46.

20. O § 15, n.^o 1, da TMG prevê que os prestadores de serviços possam proceder à recolha e ao tratamento de dados pessoais apenas se tal for necessário para efeitos de utilização de meios de comunicação em linha ou de emissão de uma fatura relativa a esta utilização (a seguir «dados do utilizador»). Os dados do utilizador são definidos, designadamente, como os dados que permitem a identificação dos utilizadores.

21. O § 15, n.^o 3, da TMG transpõe o artigo 5.^o, n.^o 3, da Diretiva 2002/58 e autoriza o prestador de serviços, para efeitos de publicidade e prospeção de mercados ou para a orientação personalizada dos meios de telecomunicação, a construir perfis dos utilizadores utilizando pseudónimos, desde que o utilizador não se oponha a isso e o prestador de serviços o informe do seu direito de oposição, em conformidade com a obrigação de prestar informações ao abrigo do § 13, n.^o 1, da TMG.

4. Lei Federal relativa à Proteção dos Dados

22. O § 3, n.^o 1, da Bundesdatenschutzgesetz (Lei Federal relativa à Proteção dos Dados, a seguir «BDSG») (10) transpõe o artigo 2.^o, alínea a), da Diretiva 95/46 e define o conceito de «dados pessoais» como informações específicas sobre relações pessoais ou situações factuais de uma pessoa singular determinada ou determinável.

23. O § 4, alínea a), da BDSG transpõe para a ordem jurídica nacional o artigo 2.^o, alínea h), da Diretiva 95/46 e prevê que o consentimento só é válido se resultar da livre escolha dos interessados.

III. Matéria de facto, tramitação processual e questões prejudiciais

24. Em 24 de setembro de 2013, a Planet49 organizou um jogo promocional através do endereço Internet www.dein‑macbook.de (11). Para participar no jogo promocional, era exigido ao utilizador da Internet que fornecesse o seu código postal, o que acionava uma página onde devia indicar o seu nome e o seu endereço nos campos a preencher. Sob os campos a preencher com o endereço encontravam‑se duas menções explicativas antecedidas de quadrículas de seleção. Referir‑me‑ei seguidamente às mesmas como «primeira menção» e «segunda menção». Na primeira menção explicativa, cuja opção não estava pré‑validada, podia ler‑se:

«Concordo que alguns patrocinadores e parceiros de cooperação me informem por via postal ou telefónica ou por correio eletrónico/sms das ofertas dos seus ramos de negócio. Posso aqui indicá‑los pessoalmente; se não o fizer, a escolha dos mesmos é feita pelo organizador. Posso revogar o meu consentimento a qualquer momento. Mais informações aqui.»

25. A segunda menção explicativa, que continha uma opção pré‑validada, tinha o seguinte teor:

«Concordo que o serviço de análise web Remintrex seja instalado no meu terminal, o que implica que o organizador do jogo promocional, a Planet49 GmbH, instalará cookies depois da inscrição no jogo, o que permitirá à Planet49 uma avaliação dos meus hábitos de navegação e utilização de sítios web de parceiros publicitários, possibilitando assim uma publicidade orientada para os meus interesses pela Remintrex. Posso bloquear de novo os cookies a qualquer momento. Leia mais pormenores aqui.»

26. A participação no jogo só era possível quando fosse validada pelo menos a opção que antecedia a primeira menção.

27. A hiperligação eletrónica constante da primeira menção sob as palavras «patrocinadores e parceiros de cooperação» e «aqui» conduzia a uma lista de 57 empresas, com os respetivos endereços, o ramo de negócio a publicitar e o método de comunicação utilizado para a publicidade (correio eletrónico, correio ou telefone), bem como, a seguir a cada empresa, à palavra sublinhada «cancelar o registo». A lista era antecedida do seguinte aviso:

«Ao clicar no link “cancelar o registo”, decido que não tem de ser dado ao parceiro/patrocinador indicado nenhum consentimento para a publicidade. Se eu não tiver cancelado o registo para nenhum ou para um número suficiente de parceiros/patrocinadores, a Planet49 escolhe livremente por mim os parceiros/patrocinadores (número máximo: 30 parceiros/patrocinadores).»

28. Ao acionar a hiperligação eletrónica sob a palavra «aqui» contida na segunda menção, era divulgada a seguinte informação:

«Os cookies instalados com os nomes ceng_cache, ceng_etag, ceng_png e gcr são pequenos arquivos que são armazenados de modo ordenado no seu disco rígido pelo navegador que utiliza, e através dos quais fluem determinadas informações que possibilitam uma publicidade mais adequada ao utilizador e mais eficaz. Os cookies contêm um determinado número gerado aleatoriamente (ID), que é simultaneamente atribuído aos seus dados de registo. Se, em seguida, visitar a página web de um dos parceiros publicitários registados para o serviço Remintrex (para verificar se existe um registo, é favor consultar a declaração de proteção dos dados desse parceiro), é automaticamente registado pela Remintrex, através de iFrames aí ligados, que a pessoa (ou seja, o utilizador com o ID armazenado) visitou a página, por que produto se interessou e se foi celebrado um contrato.

Em seguida, a Planet49 GmbH pode, com base no consentimento dado no ato do registo para o jogo promocional para receber publicidade, mandar‑lhe mensagens eletrónicas publicitárias em função dos interesses que manifestou na página web dos parceiros. Evidentemente, depois de revogar a autorização para a publicidade, não recebe mais mensagens eletrónicas publicitárias.

As informações transmitidas através dos cookies só são utilizadas para a publicidade em que sejam apresentados produtos do parceiro publicitário. As informações são recolhidas, armazenadas e utilizadas separadamente para cada um dos parceiros. Em caso algum são construídos perfis globais dos utilizadores. Os parceiros publicitários não recebem individualmente quaisquer dados pessoais.

Na medida em que deixe de ter interesse na utilização dos cookies, pode bloqueá‑los a qualquer momento através do seu navegador. Encontra instruções para esse efeito na função de ajuda do seu navegador.

Através dos cookies não podem ser executados quaisquer programas nem transmitidos vírus.

Tem, evidentemente, a possibilidade de revogar este consentimento a qualquer momento. Pode fazê‑lo por escrito dirigido à PLANET49 GmbH [endereço]. Mas também é suficiente enviar uma mensagem de correio eletrónico ao nosso serviço de clientes [endereço de correio eletrónico].»

29. A recorrente no processo principal, a Bundesverband der Verbraucherzentralen (Federação Alemã das Associações de Consumidores, a seguir «Bundesverband»), está inscrita na lista das entidades qualificadas nos termos da Gesetz über Unterlassungsklagen bei Verbraucherrechts‑ und anderen Verstößen (Lei relativa às Ações Inibitórias em Matéria de Direitos dos Consumidores, a seguir «UKlaG»). Segundo a Bundesverband, as referidas declarações de consentimento usadas pela Planet49 não cumpriam os requisitos do § 307 do BGB, do § 7, n.^o 2, ponto 2, da UWG e do § 12 e seguintes da TMG. A interpelação pré‑contenciosa promovida pela recorrente não teve nenhum resultado.

30. A Bundesverband intentou uma ação no Landgericht Frankfurt am Main (Tribunal Regional de Frankfurt am Main, Alemanha), requerendo que a Planet49 deixasse de incluir as cláusulas supramencionadas (12) e que condenasse essa empresa a pagar‑lhe o montante de 214 euros, acrescido de juros a partir de 15 de março de 2014.

31. O Landgericht Frankfurt am Main (Tribunal Regional de Frankfurt am Main) julgou a ação procedente quanto a determinados pedidos e improcedente quanto ao restante. Na sequência do recurso interposto (13) no Oberlandesgericht Frankfurt am Main (Tribunal Regional Superior, Frankfurt am Main, Alemanha), o Bundesgerichtshof (Supremo Tribunal Federal) foi chamado a conhecer de um recurso de revista (14).

32. O Bundesgerichtshof (Supremo Tribunal Federal) considera que o sucesso do recurso de revista depende da interpretação do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 2.^o, alínea h), da Diretiva 95/46, e do artigo 6.^o, n.^o 1, alínea a), do Regulamento 2016/679 e submeteu ao Tribunal de Justiça as seguintes questões para decisão a título prejudicial:

«1) a) Considera‑se que é dado um consentimento válido na aceção do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva [2002/58], conjugados com o artigo 2.^o, alínea h), da Diretiva [95/46], quando o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal do utilizador são autorizados mediante uma opção pré‑validada que o utilizador deve desmarcar para recusar o seu consentimento?

b) Há alguma diferença na aplicação do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva [2002/58], conjugados com o artigo 2.^o, alínea h), da Diretiva [95/46], se as informações armazenadas ou acedidas constituírem dados pessoais?

c) Nas circunstâncias descritas na alínea a) desta questão, considera‑se que é dado um consentimento válido na aceção do artigo 6.^o, n.^o 1, alínea a), do Regulamento [2016/679]?

2) Que informações deve o prestador de serviços comunicar ao utilizador no âmbito das informações claras e completas a que se refere o artigo 5.^o, n.^o 3, da Diretiva [2002/58]? Também fazem parte destas informações a duração do funcionamento dos cookies e a questão de saber se terceiros têm acesso aos cookies?»

33. O despacho de reenvio deu entrada na Secretaria do Tribunal de Justiça em 30 de novembro de 2017. Foram apresentadas observações escritas pela Planet49, pela Bundesverband, pelos Governos português e italiano e pela Comissão Europeia. Foi realizada uma audiência em 13 de novembro de 2018, na qual participaram a Planet49, a Bundesverband, o Governo alemão e a Comissão.

IV. Análise

34. As duas questões prejudiciais submetidas pelo Bundesgerichtshof (Supremo Tribunal Federal) estão relacionadas com o consentimento dado para o armazenamento e a possibilidade de acesso a informações já armazenadas no equipamento terminal do utilizador, ou seja, a cookies, no contexto específico das disposições da Diretiva 2002/58, conjugadas com as disposições da Diretiva 95/46 e do Regulamento 2016/679.

35. A título de observações preliminares, considero útil prestar esclarecimentos factuais sobre o fenómeno dos cookies e terminologia associada, bem como um esclarecimento sobre os instrumentos jurídicos aplicáveis ao presente processo.

A. Observações preliminares

1. Quanto aos cookies

36. Um cookie é um meio de recolha de informações geradas por um sítio web e guardadas pelo programa de navegação do utilizador (15). É uma pequena quantidade de dados ou um arquivo de texto, normalmente com uma dimensão inferior a um kbyte, que um sítio web, através do programa de navegação do utilizador, armazena no disco duro local do seu computador ou no seu dispositivo móvel (16).

37. Um cookie permite que o sítio web «memorize» as ações ou as preferências do utilizador ao longo do tempo. A maioria dos programas de navegação suportam cookies, mas os utilizadores podem recusá‑los mediante definição dos seus programas de navegação. Os utilizadores podem igualmente apagá‑los sempre que assim o desejarem. Com efeito, muitos utilizadores definem os parâmetros dos cookies nos respetivos programas de navegação para apagarem automaticamente os cookies, por defeito, quando a janela do programa é fechada. Dito isto, dados empíricos demonstram claramente que as pessoas raramente modificam os parâmetros por defeito, um fenómeno que foi designado «inércia por defeito» (17).

38. Os sítios web utilizam cookies para fins de identificação de utilizadores, memorizar as suas preferências habituais e permitir que os utilizadores concluam tarefas sem ter de voltar a inserir informações quando passam de uma página para outra ou acedam novamente ao sítio web.

39. Os cookies podem igualmente ser utilizados para recolher informações a fim de adaptar a publicidade e marketing aos comportamentos em linha (18). As empresas, por exemplo, utilizam programas informáticos (software) para seguir o comportamento dos utilizadores e construir perfis pessoais que permitem a apresentação de anúncios relevantes para os utilizadores relativamente a pesquisas anteriores que efetuaram (19).

40. Existem diferentes tipos de cookies, alguns dos quais são classificados de acordo com a sua duração (por exemplo, cookies que funcionam apenas durante a sessão em curso — session cookies — e cookies que funcionam além da sessão em curso — persistent cookies) e outros que se baseiam no domínio a que pertencem (por exemplo, da parte que recolheu os dados — first‑party cookies — e de um terceiro a quem foram transmitidos — third‑party cookies) (20). Quando o servidor web que fornece a página web conserva os cookies no computador ou dispositivo móvel do utilizador, os cookies são conhecidos como cookies «http header» (21). Outro meio de armazenamento de cookies é através do código JavaScript contido ou referenciado nessa página (22). A validade do consentimento para a instalação de cookies e a aplicabilidade de eventuais isenções pertinentes devem, contudo, ser avaliadas com base na finalidade do cookie e não nas suas características técnicas (23).

2. Quanto aos instrumentos jurídicos aplicáveis

41. O quadro jurídico aplicável ao processo principal evoluiu ao longo dos anos, culminando com a entrada em vigor, mais recentemente, do Regulamento 2016/679.

42. São aplicáveis ao presente processo dois grupos de instrumentos jurídicos da União. Em primeiro lugar, a Diretiva 95/46 e o Regulamento 2016/679. Em segundo lugar, a Diretiva 2002/58, conforme alterada pela Diretiva 2009/136 (24).

43. Gostaria de fazer duas observações no que respeita a estes dois grupos de instrumentos jurídicos.

44. A primeira observação diz respeito à aplicabilidade da Diretiva 95/46 e do Regulamento 2016/679.

45. O Regulamento 2016/679, em vigor desde 25 de maio de 2018 (25), revogou a Diretiva 95/46 com efeitos a partir da mesma data (26).

46. A data de 25 de maio de 2018 é posterior à data da última audiência no órgão jurisdicional de reenvio, em 14 de julho de 2017, e, de facto, também à data de 5 de outubro de 2017, quando o presente processo foi submetido ao Tribunal de Justiça para decisão a título prejudicial.

47. Por esta razão, às situações anteriores a 25 de maio de 2018 é aplicável a Diretiva 2002/58, conjugada com a Diretiva 95/46, ao passo que às situações posteriores a 25 de maio de 2018 é aplicável a Diretiva 2002/58, conjugada com o Regulamento 2016/679.

48. O Regulamento 2016/679 é aplicável ao presente processo na medida em que a Bundesverband pretende, com a medida inibitória (27), evitar um comportamento semelhante da Planet49 no futuro. Na sua decisão sobre o pedido de ação inibitória para o futuro, o Bundesgerichtshof (Supremo Tribunal Federal) deverá, por conseguinte, ter em conta os requisitos do Regulamento 2016/679. Neste contexto, o Governo alemão menciona a jurisprudência nacional constante sobre a situação jurídica pertinente em matéria de ações inibitórias (28).

49. Consequentemente, a questão prejudicial deve ser respondida tendo em conta tanto a Diretiva 95/46 como o Regulamento 2016/679 (29).

50. Além disso, deve sublinhar‑se que as remissões da Diretiva 2002/58 para a Diretiva 95/46 são consideradas remissões para o Regulamento 2016/679. (30)

51. A segunda observação diz respeito à evolução do artigo 5.^o, n.^o 3, da Diretiva 2002/58.

52. A Diretiva 2002/58 visa garantir o pleno respeito dos direitos previstos na Carta dos Direitos Fundamentais da União Europeia, especialmente, nos seus artigos 7.^o e 8.^o (31). O artigo 5.^o desta diretiva destina‑se a garantir a «confidencialidade das comunicações». Em especial, o artigo 5.^o, n.^o 3, regula a utilização de cookies e estabelece os requisitos que devem ser respeitados com vista ao armazenamento ou ao acesso aos dados no computador de um utilizador através da instalação de um cookie.

53. A Diretiva 2009/136 introduziu alterações significativas aos requisitos em matéria de consentimento do artigo 5.^o, n.^o 3, da Diretiva 2002/58, a fim de melhorar a proteção dos utilizadores. Anteriormente às alterações introduzidas por esta diretiva, o artigo 5.^o, n.^o 3, exigia apenas que fosse conferida aos utilizadores a possibilidade de recusa («opt‑out») informada do tratamento de dados por meio de cookies. Por outras palavras, segundo a versão original do artigo 5.^o, n.^o 3, da Diretiva 2002/58, o prestador de serviços devia, para o armazenamento de informações ou para obter acesso à informação armazenada no equipamento terminal de um utilizador, não só fornecer ao assinante ou ao utilizador em causa informações claras e completas, nomeadamente sobre os objetivos do processamento, mas também fornecer‑lhe o direito de recusar esse tratamento.

54. A Diretiva 2009/136 substituiu esta exigência de informação sobre o direito de o assinante ou o utilizador recusar o tratamento de dados pela exigência de o «assinante ou utilizador [ter] dado o seu consentimento prévio», o que significa que substituiu o sistema de «opt‑out» informado, suscetível de ser cumprido mais facilmente, por um sistema de «opt‑in» informado. Com exceção de uma situação muito restrita que não é aplicável ao presente processo (32), a utilização de cookies nos termos do novo artigo 5.^o, n.^o 3, da Diretiva 2002/58 só é admitida se o utilizador tiver dado o seu consentimento prévio com base em informações claras e completas, em conformidade com a Diretiva 95/46 quanto aos motivos pelos quais os seus dados estão a ser seguidos, isto é, quanto às finalidades do respetivo tratamento (33).

55. Como se verá melhor adiante, o âmbito do dever de informação previsto no artigo 5.^o, n.^o 3, da Diretiva 2002/58 constitui o cerne da questão em litígio, especialmente, no contexto da definição de parâmetros por defeito para atividades em linha.

B. Questão 1

56. Com a sua questão 1, alínea a), o órgão jurisdicional de reenvio interroga‑se sobre se se trata de um consentimento válido na aceção do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 2.^o, alínea h), da Diretiva 95/46, quando o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal do utilizador são autorizados mediante uma opção pré‑validada que o utilizador deve desmarcar para recusar o seu consentimento. A este propósito, o órgão jurisdicional de reenvio interroga‑se sobre se há alguma diferença no caso de as informações armazenadas ou acedidas constituírem dados pessoais [questão 1, alínea b)]. Por último, o órgão jurisdicional de reenvio pretende saber se, nas circunstâncias descritas, se considera que é dado um consentimento válido na aceção do artigo 6.^o, n.^o 1, alínea a), do Regulamento 2016/679 [questão 1, alínea c)].

1. Quanto ao consentimento livre e informado

57. O consentimento é um elemento subjacente ao direito da União relativo à proteção de dados.

58. Antes de abordar a questão específica dos cookies, gostaria de identificar os princípios gerais que decorrem dos instrumentos jurídicos pertinentes em matéria de consentimento.

a) Regime da Diretiva 95/46

1) Consentimento ativo

59. Concluo das disposições da Diretiva 95/46 que o consentimento deve ser manifestado de forma ativa (34).

60. O artigo 2.^o, alínea h), da Diretiva 95/46 refere‑se a uma manifestação de vontade do titular dos dados, que aponta claramente para um comportamento ativo e não passivo. Além disso, o artigo 7.^o, alínea a), da Diretiva 95/46, que enuncia os critérios que legitimam o tratamento de dados (pessoais), prevê que o titular dos dados tenha dado de forma inequívoca o seu consentimento. Mais uma vez, a ambiguidade só pode ser anulada com um comportamento ativo e não passivo.

61. Donde deduzo que não é suficiente, a este respeito, que a declaração de consentimento do utilizador esteja previamente redigida e este se deva opor à mesma caso não esteja de acordo com o tratamento de dados.

62. Com efeito, nesta última situação, não se sabe se tal declaração de consentimento previamente redigida foi lida e assimilada. A situação não é desprovida de ambiguidade. Um utilizador pode ou não ter lido a declaração de consentimento. Pode ter deixado de o fazer por mera negligência. Em tal situação, não é possível determinar se o consentimento foi dado livremente.

2) Consentimento em separado

63. Estreitamente ligado à exigência do consentimento ativo está o consentimento dado em separado (35).

64. Poder‑se‑ia argumentar, como faz a Planet49, que o titular dos dados dá um consentimento válido não quando este não desmarca uma declaração de consentimento previamente redigida, mas quando «clica» ativamente no botão de participação do jogo promocional em linha.

65. Não subscrevo esta interpretação.

66. Para que o consentimento seja dado de forma «livre» e «informada», não deve apenas ser ativo, deve também ser dado em separado. A atividade que um utilizador prossegue na Internet (leitura de uma página da Internet, participação num jogo, visualização de um vídeo, etc.) e o consentimento dado não podem constituir um mesmo ato. Em especial, na perspetiva do utilizador, o consentimento não parece ser de natureza acessória à participação no jogo. Ambas as ações devem, oticamente em especial, ser apresentadas em igualdade de condições. Por conseguinte, parece‑me duvidoso que um conjunto de manifestações de intenção, no qual está incluído um consentimento, esteja em conformidade com a definição de consentimento ao abrigo da Diretiva 95/46.

3) Obrigação de prestar todas as informações

67. Neste contexto, deve ficar bem claro para o utilizador se a atividade que prossegue na Internet está dependente de um consentimento. Um utilizador deve estar em posição de avaliar em que medida está disposto a fornecer os seus dados para prosseguir a sua atividade na Internet. Não deve haver margem para nenhuma ambiguidade (36). O utilizador deve saber se e, em caso afirmativo, em que medida o seu consentimento influencia a sua atividade na Internet.

b) Regime do Regulamento 2016/679

68. Os princípios definidos anteriormente são igualmente válidos para o Regulamento 2016/679.

69. O artigo 4.^o, ponto 11, do Regulamento 2016/679 define consentimento do titular dos dados como uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.

70. É de salientar que esta manifestação de vontade tem um âmbito mais restrito do que a do artigo 2.^o, alínea h), da Diretiva 95/46, na medida em que exige do titular dos dados uma manifestação de vontade inequívoca e um ato positivo claro pelos quais este aceita o tratamento dos dados pessoais.

71. Além disso, os considerandos do Regulamento 2016/679 são especialmente claros. Dado que farei referência, em larga medida, aos considerandos (37), não posso deixar de salientar que estes não têm, obviamente, qualquer valor jurídico independente (38), mas o Tribunal de Justiça recorre aos mesmos frequentemente na interpretação de disposições de um ato jurídico da União. Na ordem jurídica da União, os considerandos têm natureza descritiva e não prescritiva. Com efeito, a questão do seu valor jurídico não é habitualmente suscitada pela simples razão de que, tipicamente, os considerandos estão refletidos nas disposições jurídicas de uma diretiva. A boa prática legislativa das instituições políticas da União tende a procurar uma situação em que os considerandos proporcionam o contexto factual das disposições de um texto jurídico (39).

72. Nos termos do considerando 32 do Regulamento 2016/679, o consentimento do titular dos dados deverá ser dado mediante um ato positivo claro que indique uma manifestação de vontade livre, específica, informada e inequívoca de que o titular de dados consente no tratamento dos dados que lhe digam respeito, como por exemplo mediante uma declaração escrita, inclusive em formato eletrónico, ou uma declaração oral. O consentimento pode ser dado validando uma opção ao visitar um sítio web na Internet, selecionando os parâmetros técnicos para os serviços da sociedade da informação ou mediante outra declaração ou conduta que indique claramente nesse contexto que aceita o tratamento proposto dos seus dados pessoais. O silêncio, as opções pré‑validadas ou a omissão não deverão, por conseguinte, constituir um consentimento.

73. O consentimento ativo está agora, por conseguinte, expressamente previsto no Regulamento 2016/679.

74. Além disso, o considerando 43 do referido regulamento enuncia que, a fim de assegurar que o consentimento é dado de livre vontade, este não deverá constituir um fundamento jurídico válido para o tratamento de dados pessoais em casos específicos em que exista um desequilíbrio manifesto entre o titular dos dados e o responsável pelo seu tratamento, nomeadamente quando o responsável pelo tratamento é uma autoridade pública, pelo que é improvável que o consentimento tenha sido dado de livre vontade em todas as circunstâncias associadas à situação específica em causa. Presume‑se que o consentimento não é dado de livre vontade se não for possível dar consentimento separadamente para diferentes operações de tratamento de dados pessoais, ainda que seja adequado no caso específico, ou se a execução de um contrato, incluindo a prestação de um serviço, depender do consentimento apesar de o consentimento não ser necessário para a mesma execução.

75. A necessidade de consentimento em separado está agora, assim, explicitamente sublinhada neste considerando.

c) Regime da Diretiva 2002/58 — a questão dos cookies

76. Nos termos do artigo 5.^o, n.^o 3, da Diretiva 2002/58, os Estados‑Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva 95/46, nomeadamente sobre os objetivos do processamento.

77. Esta disposição não estabelece critérios adicionais quanto ao conceito de consentimento.

78. No entanto, os considerandos da Diretiva 2002/58 e da Diretiva 2009/136 dão orientações sobre o consentimento no que diz respeito a cookies.

79. Assim, o considerando 17 da Diretiva 2002/58 indica que o consentimento do utilizador pode ser dado por qualquer forma adequada que permita obter uma indicação comunicada de livre vontade, específica e informada sobre os seus desejos, incluindo por via informática ao visitar um sítio na Internet (40).

80. Além disso, o considerando 66 da Diretiva 2009/136 explica que é de suma importância que sejam prestadas informações claras e completas aos utilizadores, sempre que sejam encetadas atividades que possam resultar nesse tipo de armazenamento no equipamento de um utilizador ou de possibilidade de acesso a informação já armazenada e que as formas de prestar informações, proporcionar o direito de recusar ou pedir consentimento deverão ser tão simples quanto possível.

81. A este respeito, gostaria igualmente de sublinhar as recomendações não vinculativas, contudo claras, do Grupo de Trabalho de Proteção de Dados do «artigo 29.^o» (a seguir «Grupo de Trabalho “artigo 29.^o”») (41), segundo as quais o consentimento implica um ato voluntário prévio dos utilizadores pelo qual aceitam o armazenamento e a utilização de cookies (42). O mesmo grupo de trabalho revela que o conceito de «manifestação de vontade» tem implícita a necessidade de um ato (43). Corroboram esta interpretação outros elementos da definição de consentimento e a exigência adicional do artigo 7.^o, alínea a), da Diretiva 95/46 de que o consentimento seja inequívoco (44). A exigência de que a pessoa em causa emita uma manifestação «pela qual» aceite indica que a simples omissão não é suficiente e que é exigida alguma forma de ação para que possa existir consentimento, embora sejam admissíveis diversos tipos de atos, consoante «o contexto» em causa (45).

2. Aplicação ao presente processo

82. Vou agora aplicar estes critérios ao presente processo. Ao fazê‑lo, abordo em primeiro lugar a questão 1, alíneas a) e c), isto é, a questão de saber se houve consentimento válido sobre a instalação e o acesso a cookies. Tal diz respeito à segunda menção.

83. Além disso, uma vez que, como acaba de ser referido, as exigências do consentimento não diferem substancialmente no que diz respeito a cookies e, de um modo mais geral, ao tratamento de dados pessoais, considero necessário analisar resumidamente, por questões de exaustividade e clareza, e para uma correta e uniforme interpretação do direito da União, se existiu um consentimento válido para o tratamento dos dados pessoais no contexto da primeira menção, embora o órgão jurisdicional de reenvio não interrogue explicitamente sobre esta questão. Entendo igualmente que, no âmbito do processo nele pendente, o Bundesgerichtshof (Supremo Tribunal Federal) terá de se pronunciar sobre a primeira menção (46).

a) Segunda menção — questão 1, alíneas a) e c)

84. O órgão jurisdicional de reenvio interroga‑se sobre se se trata de um consentimento válido na aceção do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 2.^o, alínea h), da Diretiva 95/46, quando o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal do utilizador são autorizados mediante uma menção contendo uma opção pré‑validada que o utilizador deve desmarcar para recusar o seu consentimento.

85. Os termos essenciais do artigo 2.^o, alínea h), da Diretiva 95/46 e do artigo 4.^o, ponto 11, do Regulamento 2016/679 para efeitos da presente questão são «livre» e «informada». Coloca‑se a questão de saber se, numa situação como a descrita pelo órgão jurisdicional de reenvio, o consentimento pode ser dado de forma livre e informada.

86. A Planet49 considera ser esse o caso. Todas as restantes partes (47) discordam. Neste contexto, o debate jurídico das partes focou‑se principalmente em saber se o ato de selecionar ou desmarcar uma opção pré‑validada cumpre estas exigências. A controvérsia gira em torno da questão da atividade e da passividade. Contudo, ainda que importante, este aspeto constitui apenas uma parte das exigências, uma vez que aborda apenas a do consentimento ativo, mas não a do consentimento em separado.

87. Em meu entender, com base nos critérios que precedem, a resposta é que não existe um consentimento válido no presente processo.

88. Em primeiro lugar, não é respeitado o critério do consentimento ativo se um utilizador que não dá o seu consentimento para a instalação de cookies tiver de, mediante um ato voluntário, desmarcar uma opção para que esta fique ativa. Nesta situação, é praticamente impossível determinar objetivamente se um utilizador deu o seu consentimento com base numa decisão livre e informada. Pelo contrário, esta afirmação é muito mais provável se for exigido ao utilizador que selecione a opção.

89. Em segundo lugar, e mais importante ainda, a participação no jogo promocional em linha e o consentimento para a instalação de cookies não podem ser objeto do mesmo ato. No entanto, é precisamente este o caso no presente processo. Em última análise, um utilizador só aciona o botão de participação uma vez a fim de participar no jogo promocional. Ao mesmo tempo, dá o seu consentimento para a instalação de cookies. Existem, simultaneamente, duas manifestações de vontade (a participação no jogo e o consentimento para a instalação de cookies). Estes dois atos não podem ser objeto do mesmo botão de participação. Com efeito, o consentimento para a instalação de cookies parece ser de natureza acessória no presente processo, no sentido de que não é claro, de modo nenhum, que constitui um ato separado. Por outras palavras (des)marcar a opção relativa aos cookies configura um ato preparatório do ato final e juridicamente vinculativo de «acionar» o botão de participação.

90. O utilizador não está, nesta situação, em condições de dar o seu consentimento de forma livre e em separado para o armazenamento ou a possibilidade de acesso a informações já armazenadas no seu equipamento terminal.

91. Além disso, foi anteriormente demonstrado que a participação no jogo só era possível quando fosse validada pelo menos a opção que antecedia a primeira menção. Em consequência, a participação no jogo promocional não estava subordinada (48) ao consentimento para a instalação e a possibilidade de acesso a cookies. Bastaria que o utilizador selecionasse (apenas) a primeira menção.

92. Contudo, tanto quanto é do meu conhecimento, em nenhum momento o utilizador foi informado desse facto, pelo que não é respeitado o critério relativo à prestação de todas as informações aos utilizadores, referido anteriormente.

93. Em suma, proponho que se responda à questão 1, alíneas a) e c), no sentido de que não é dado um consentimento válido na aceção do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 2.^o, alínea h), da Diretiva 95/46, numa situação como a do processo principal, quando o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal do utilizador são autorizados mediante uma opção pré‑validada que o utilizador deve desmarcar para recusar o seu consentimento e em que o consentimento não é dado em separado mas ao mesmo tempo que a confirmação de participação num jogo promocional em linha. O mesmo é válido para a interpretação do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 4.^o, ponto 11, do Regulamento 2016/679.

b) Primeira menção

94. Embora as questões do órgão jurisdicional de reenvio se refiram apenas à segunda menção, gostaria de fazer duas observações específicas no que respeita à primeira menção, o que pode apoiar o órgão jurisdicional de reenvio na sua decisão final.

95. Recordo que a primeira menção não diz respeito a cookies, mas apenas ao tratamento de dados pessoais. Neste contexto, um utilizador não aceita ter informações armazenadas no seu equipamento, mas (apenas) ser contactado por uma lista de empresas por via postal, telefone ou correio eletrónico.

96. Em primeiro lugar, os critérios relativos ao consentimento ativo e em separado e à prestação de todas as informações aplicam‑se também, obviamente, à primeira menção. O consentimento ativo não parece constituir um problema, uma vez que a opção não estava pré‑validada. Em contrapartida, tenho algumas dúvidas quanto à questão do consentimento em separado. Com base na análise que precede (49) relativamente aos factos do presente processo, seria mais adequado, recorrendo a uma metáfora, que existisse um botão separado que pudesse ser acionado (50), em vez de apenas uma simples quadricula a selecionar, para dar consentimento para o tratamento de dados pessoais.

97. Em segundo lugar, no que respeita à primeira menção relativa ao contacto por patrocinadores e parceiros, há que ter em conta o disposto no artigo 7.^o, n.^o 4, do Regulamento 2016/679. Em conformidade com esta disposição, ao apreciar se o consentimento é dado livremente, há que verificar com a máxima atenção se, designadamente, a execução de um contrato, inclusive a prestação de um serviço, está subordinada ao consentimento para o tratamento de dados pessoais que não é necessário para a execução desse contrato. O artigo 7.^o, n.^o 4, do Regulamento 2016/679, por conseguinte, estabelece uma «proibição de agrupar» (51).

98. Como resulta da expressão «há que verificar com a máxima atenção», a proibição de agrupar não tem caráter absoluto (52).

99. Neste contexto, caberá ao órgão jurisdicional competente analisar se o consentimento no tratamento de dados pessoais é necessário para a participação no jogo. A este respeito, deve ter‑se em conta que o objetivo subjacente à participação no jogo promocional é a «venda» de dados pessoais (ou seja, aceitar ser contactado pelos chamados «patrocinadores» de ofertas promocionais). Por outras palavras, o fornecimento de dados pessoais é que constitui a obrigação principal do utilizador, a fim de participar no jogo promocional. Nesta situação, parece‑me que o tratamento desses dados pessoais é necessário para a participação no jogo (53).

3. Quanto aos dados pessoais [questão 1, alínea b)]

100. Vou agora analisar a questão de saber se, para efeitos da aplicação do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 2.^o, alínea h), da Diretiva 95/46, há alguma diferença se as informações armazenadas ou acedidas constituírem dados pessoais.

101. A melhor forma de entender esta questão é no contexto da transposição do artigo 5.^o, n.^o 3, da Diretiva 2002/58 pelo direito alemão (54). Com efeito, o direito alemão estabelece uma diferença entre a recolha e a utilização de dados pessoais e de outros dados.

102. Em conformidade com o artigo 12.^o, n.^o 1, da TMG, o prestador de serviços só pode recolher e utilizar dados pessoais se, entre outros, o utilizador tiver dado o seu consentimento.

103. Em contrapartida, o artigo 15.^o, n.^o 3, da TMG autoriza o prestador de serviços a construir perfis dos utilizadores utilizando pseudónimos, entre outros, para efeitos de publicidade e prospeção de mercados, desde que o utilizador não se oponha a isso. Por esta razão, na medida em que não estejam em causa dados pessoais, a exigência é menos estrita no direito alemão: não um consentimento, mas uma mera não oposição.

104. O conceito de dados pessoais está juridicamente definido no artigo 4.^o, ponto 1, do Regulamento 2016/679 como a «informação relativa a uma pessoa singular identificada ou identificável (“titular dos dados”); é considerada identificável uma pessoa singular que possa ser identificada, direta ou indiretamente, em especial por referência a um identificador, como por exemplo um nome, um número de identificação, dados de localização, identificadores por via eletrónica ou a um ou mais elementos específicos da identidade física, fisiológica, genética, mental, económica, cultural ou social dessa pessoa singular».

105. Considero que não há dúvida de que, no que diz respeito ao presente processo, as «informações» referidas no artigo 5.^o, n.^o 3, da Diretiva 2002/58 constituem «dados pessoais». Também parece ser este o entendimento do órgão jurisdicional de reenvio, que afirma explicitamente no despacho de reenvio que a consulta de dados a partir dos cookies utilizados pela demandada está sujeita à exigência do consentimento prevista no artigo 12.^o, n.^o 1, da TMG, porque se trata neste caso de dados pessoais (55). Além disso, não parece ter sido contestado por nenhuma das partes no processo principal que se trata neste caso de dados pessoais.

106. Por conseguinte, podemos perguntar-nos sobre a pertinência desta questão para o presente processo, bem como sobre se a mesma não é hipotética (56).

107. Seja como for, considero que a resposta a esta questão é muito clara: não há nenhuma diferença se as informações armazenadas ou acedidas constituírem dados pessoais. O artigo 5.^o, n.^o 3, da Diretiva 2002/58 refere «o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas».(57) É claro que este tipo de informações tem uma componente de natureza privada, independentemente da questão de saber se constitui ou não «dados pessoais» na aceção do artigo 4.^o, ponto 1, do Regulamento 2016/679. Como a Comissão salienta, com razão, o artigo 5.^o, n.^o 3, da Diretiva 2002/58 destina‑se a proteger os utilizadores de intromissão na sua esfera privada, independentemente da questão de saber se essa intromissão envolve dados pessoais ou outros dados.

108. Esta interpretação do artigo 5.^o, n.^o 3, da Diretiva 2002/58 é, aliás, corroborada pelos considerandos 24 (58) e 25 (59) da referida diretiva, bem como pelos pareceres do Grupo de Trabalho «artigo 29.^o». Com efeito, de acordo com este grupo, «[o] artigo 5.^o, n.^o 3, é aplicável ao armazenamento e/ou acesso a “informações”, qualquer que seja o seu tipo. Não é um requisito da aplicação desta disposição que estas informações sejam dados pessoais na aceção da Diretiva [95/46]» (60).

109. Em consequência, afigura‑se que o artigo 15.^o, n.^o 3, da TMG não procede à transposição integral dos requisitos do artigo 5.^o, n.^o 3, da Diretiva 2002/58 para o direito alemão (61).

110. Proponho, assim, em resposta à questão 1, alínea b), que, para efeitos da aplicação do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 2.^o, alínea h), da Diretiva 95/46, não há nenhuma diferença se as informações armazenadas ou acedidas constituírem dados pessoais.

C. Questão 2

111. Com a segunda questão, o órgão jurisdicional de reenvio pretende saber que informações deve o prestador de serviços comunicar ao utilizador no âmbito das informações claras e completas a que se refere o artigo 5.^o, n.^o 3, da Diretiva 2002/58 e se também fazem parte destas informações a duração do funcionamento dos cookies e a questão de saber se terceiros têm acesso aos cookies.

1. Quanto às informações claras e completas

112. Os artigos 10.^o e 11.^o da Diretiva 95/46 (e os artigos 13.^o e 14.^o do Regulamento 2016/679) estabelecem a obrigação de prestar informações aos titulares dos dados. Esta obrigação está ligada ao consentimento, na medida em que as informações devem ser sempre prestadas antes que seja dado o consentimento.

113. Tendo em conta a proximidade dos conceitos de utilizador (e prestador de serviços) da Internet e de consumidor (e profissional) (62), pode recorrer‑se, na presente fase, ao conceito de consumidor médio europeu, normalmente informado e razoavelmente atento e avisado (63) e que está em condições de tomar a decisão de se comprometer com conhecimento de causa (64).

114. No entanto, devido à complexidade técnica dos cookies, a informação assimétrica entre prestador de serviços e utilizador e, de um modo mais geral, a relativa falta de conhecimento de qualquer utilizador médio da Internet, não se pode esperar que este tenha um elevado nível de conhecimento do funcionamento dos cookies.

115. Assim, o conceito de informações claras e completas pressupõe que o utilizador esteja em posição de poder determinar facilmente as consequências de qualquer consentimento que possa vir a dar. Para tal, deve estar em condições de poder avaliar as consequências dos seus atos. As informações facultadas devem ser claramente compreensíveis e não sujeitas a ambiguidade ou interpretação. Devem ser suficientemente pormenorizadas, a fim de permitir que o utilizador compreenda o funcionamento dos cookies efetivamente utilizados.

116. Também fazem parte destas informações, como o órgão jurisdicional de reenvio corretamente indica, a duração do funcionamento dos cookies e a questão de saber se terceiros têm acesso aos cookies.

2. Informação sobre a duração do funcionamento dos cookies

117. Nos termos dos considerandos 23 e 26 da Diretiva 2002/58, a duração do funcionamento dos cookies é um elemento da exigência do consentimento informado no sentido de que «os prestadores de serviços devem informar sempre os assinantes acerca dos tipos de dados que estão a tratar e dos fins e duração desse tratamento». Mesmo que o cookie seja essencial, deve ser analisada, para efeitos de consentimento, a questão de saber qual o seu grau de intrusão à luz das circunstâncias em causa. Além de perguntar quais os dados que cada cookie contém e se se encontra associado a qualquer outra informação sobre o utilizador, os prestadores de serviços devem ter em conta a duração do cookie e se essa duração é adequada, considerando a finalidade a que se destina.

118. A duração de funcionamento dos cookies está relacionada com os requisitos explícitos do consentimento informado relativos à qualidade e acessibilidade da informação aos utilizadores. Esta informação é vital para permitir às pessoas tomarem decisões informadas antes do tratamento dos dados (65). Tal como referido pelos Governos italiano e português, uma vez que os dados recolhidos através de cookies devem ser eliminados quando já não são necessários para o cumprimento da finalidade inicial, o prazo de conservação dos dados recolhidos deve, por conseguinte, ser claramente comunicado ao utilizador.

3. Informações sobre o acesso por parte de terceiros

119. Neste contexto, a Planet49 alega que, se terceiros têm acesso a um cookie, os utilizadores devem ser igualmente informados desse facto. Contudo, se for apenas o prestador que pretende instalar o cookie a ter acesso ao mesmo, como no presente processo, basta chamar a atenção para este facto. Não é necessário assinalar separadamente o facto de terceiros não terem acesso ao cookie. Essa obrigação não seria compatível com a intenção do legislador de que as disposições sobre proteção dos dados devem permanecer concisas e de fácil compreensão.

120. Não posso subscrever esta interpretação. Pelo contrário, o utilizador deverá ser explicitamente informado sobre se terceiros têm ou não acesso aos cookies instalados de modo que as informações sejam claras e completas. Se terceiros tiverem acesso, a sua identidade deve ser conhecida. Como salienta, com razão, a Bundesverband, isto é indispensável para garantir que é dado um consentimento informado.

4. Resultado

121. Por conseguinte, proponho que se responda à segunda questão no sentido de que as informações claras e completas que o prestador de serviços tem de prestar ao utilizador nos termos do artigo 5.^o, n.^o 3, da Diretiva 2002/58 incluem a duração do funcionamento dos cookies e a questão de saber se terceiros têm ou não acesso aos cookies.

V. Conclusão

122. À luz das considerações precedentes, proponho que o Tribunal de Justiça responda às questões prejudiciais submetidas pelo Bundesgerichtshof (Supremo Tribunal Federal, Alemanha) do seguinte modo:

1) Considera‑se que não é dado um consentimento válido na aceção do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), conjugados com o artigo 2.^o, alínea h), da Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, numa situação como a do processo principal, quando o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal do utilizador são autorizados mediante uma opção pré‑validada que o utilizador deve desmarcar para recusar o seu consentimento e em que o consentimento não é dado em separado mas ao mesmo tempo que a confirmação de participação num jogo promocional em linha.

2) O mesmo é válido para a interpretação do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 4.^o, ponto 11, do Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46 (Regulamento Geral sobre a Proteção de Dados).

3) Para efeitos da aplicação do artigo 5.^o, n.^o 3, e do artigo 2.^o, alínea f), da Diretiva 2002/58, conjugados com o artigo 2.^o, alínea h), da Diretiva 95/46, não há nenhuma diferença se as informações armazenadas ou acedidas constituírem dados pessoais.

4) As informações claras e completas que o prestador de serviços tem de prestar ao utilizador nos termos do artigo 5.^o, n.^o 3, da Diretiva 2002/58 incluem a duração do funcionamento dos cookies e a questão de saber se terceiros têm ou não acesso aos cookies.

1 Língua original: inglês.

2 Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

3 Regulamento do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).

4 Frequentemente designada «Diretiva Privacidade e Comunicações Eletrónicas».

5 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «Diretiva 2002/58»).

6 JO 2002, L 108, p. 33.

7 Frequentemente designada «diretiva cookies».

8 Diretiva do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, que altera a Diretiva 2002/22/CE relativa ao serviço universal e aos direitos dos utilizadores em matéria de redes e serviços de comunicações eletrónicas, a Diretiva 2002/58 e o Regulamento (CE) n.^o 2006/2004 relativo à cooperação entre as autoridades nacionais responsáveis pela aplicação da legislação de defesa do consumidor (JO L 2009, L 337, p. 11). O conteúdo normativo da Diretiva 2009/136 consta atualmente, portanto, destas últimas diretivas, bem como do referido regulamento, conforme alterado (e, no que se refere ao presente processo, do artigo 5.^o, n.^o 3, da Diretiva 2002/58), razão pela qual apenas é citado um considerando da Diretiva 2009/136 no presente processo.

9 Estou bem ciente de que, em rigor, deveria referir «parágrafos» (§) e não artigos. Com efeito, na Alemanha, estes últimos raramente são utilizados e, se for esse o caso, apenas em textos fulcrais, como a Lei Fundamental. Contudo, para facilitar as referências, referir‑me‑ei a «artigos» ao longo do texto.

10 Importa referir que se trata da versão anterior da BDSG de 20 de dezembro de 1990, conforme alterada, e não da versão atual de 30 de junho de 2017.

11 Pode obter‑se uma ideia do aspeto do referido sítio web consultando o seguinte endereço: https://web.archive.org/web/20130902100750/http:/www.dein‑macbook.de:80/.

12 E outras cláusulas que não relevam para o presente processo.

13 «Berufung».

14 «Revision».

15 V., também, Conclusões do advogado‑geral Y. Bot no processo Wirtschaftsakademie Schleswig‑Holstein (C‑210/16, EU:C:2017:796, n.^o 5).

16 V. Lynskey, O., «Track[ing] changes: an examination of EU Regulation of online behavioural advertising through a data protection lens», European Law Review, Sweet & Maxwell, 2011, pp. 874 a 886 a pp. 875 e 876.

17 V. Lynskey, O., ibidem, p. 878.

18 V., em geral, Clifford, D., «EU Data Protection Law and Targeted Advertising: Consent and the Cookie Monster — Tracking the crumbs of online user behaviour», Journal of Intellectual Property, Information Technology and Electronic Commerce Law, 2014, pp. 195 e 196.

19 V. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.

20 V. Clifford, D., ibidem, pp. 195 e 196.

21 V. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.

22 V. http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm.

23 V., por exemplo, Parecer 04/2012 sobre a isenção de consentimento para cookie, adotado pelo Grupo de Trabalho «artigo 29.^o» em 7 de junho de 2012 (00879/12/EN, WP 194, p. 12).

24 Para ter um quadro completo, poder‑se‑ia acrescentar que a Diretiva 2002/58 foi igualmente alterada pela Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Diretiva 2002/58 (JO 2006, L 105, p. 54). Contudo, em primeiro lugar, como resulta do artigo 11.^o da Diretiva 2006/24, esta alteração foi de menor importância e dizia apenas respeito a um artigo da Diretiva 2002/58 e, em segundo lugar, e sobretudo, a Diretiva 2006/24 foi, entretanto, declarada inválida; v. Acórdão de 8 de abril de 2014, Digital Rights Ireland e o. (C‑293/12 e C‑594/12, EU:C:2014:238, n.^o 71).

25 Em conformidade com o artigo 99.^o, n.^o 2, do Regulamento 2016/679.

26 V. artigo 94.^o, n.^o 1, do Regulamento 2016/679.

27 Em alemão: «Unterlassungsanspruch».

28 V. Bundesgerichtshof, de 23 de fevereiro de 2016, XI ZR 101/15, ponto II.1., Neue Juristische Wochenschrift (NJW), 2016, p. 1881: Na medida em que o pedido de medida inibitória pelo demandante é orientado para o futuro, os pedidos de medidas inibitórias cuja base jurídica foi alterada no decurso do processo judicial são apreciados pelo tribunal de recurso tendo em conta a atual situação jurídica, mesmo que a alteração legislativa só tenha entrado em vigor após o encerramento da audiência em segunda instância ou durante o recurso. V., igualmente, Bundesgerichtshof, de 13 de julho de 2004, KZR 10/03, ponto I., Gewerblicher Rechtsschutz und Urheberrecht (GRUR), 2004, p. 62.

29 No que respeita à aplicabilidade da Diretiva 95/46 e do Regulamento 2016/679 no contexto de um Feststellungsklage no direito processual alemão, v. Acórdão de 16 de janeiro de 2019, Deutsche Post (C‑496/17, EU:C:2019:26, n.^o 39); e Conclusões do advogado‑geral M. Campos Sánchez‑Bordona no processo Deutsche Post (C‑496/17, EU:C:2018:838, n.^o 32): «Cabe ao órgão jurisdicional de reenvio interpretar o seu direito processual nacional, sobre o qual o Tribunal de Justiça não se pronuncia. Por conseguinte, se, por força das normas internas, o litígio tem de ser resolvido, ratione temporis, nos termos do Regulamento 2016/679 e não da Diretiva 95/46, o Tribunal de Justiça tem de facultar a interpretação daquele e não desta.»

30 V. artigo 94.^o, n.^o 2, do Regulamento 2016/679.

31 V., em geral, considerando 2.

32 Nos termos do artigo 5.^o, n.^o 3, segundo período, da Diretiva 2002/58, a necessidade de consentimento não impede o armazenamento técnico ou o acesso que tenham como finalidade exclusiva efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas, ou que sejam estritamente necessários para fornecer um serviço no âmbito da sociedade de informação que tenha sido explicitamente solicitado pelo assinante ou pelo utilizador. No caso vertente, o armazenamento ou o acesso às informações não são tecnicamente necessários na aceção do artigo 5.^o, n.^o 3, segundo período, da Diretiva 2002/58, mas destinam‑se à publicidade, de modo que não se verifica uma exceção à necessidade de consentimento.

33 V. igualmente Bond, R., «The EU E‑Privacy Directive and Consent to Cookies», The Business Lawyer, vol. 68, n.^o 1, American Bar Association, novembro de 2012, p. 215.

34 Em vez de utilizar os termos «ativo» e «passivo», pode, igualmente, fazer‑se referência aos termos «explícito» e «implícito».

35 Estritamente falando, a exigência de consentimento em separado já inclui a exigência de consentimento ativo, pois só se for aplicado em separado obstará à possibilidade de vir a ser «introduzido» através de opções pré‑validadas.

36 Isto não quer dizer que a participação num jogo não possa ser subordinada a um consentimento. Contudo, esse consentimento tem de ser dado em separado e o utilizador tem de ser devidamente informado. Voltarei a esta questão adiante.

37 E porque já fiz referência aos considerandos das Diretivas 2002/58 e 2009/136, supra.

38 Acórdãos de 19 de novembro de 1998, Nilsson e o. (C‑162/97, EU:C:1998:554, n.^o 54); de 24 de novembro de 2005, Deutsches Milch‑Kontor (C‑136/04, EU:C:2005:716, n.^o 32); Conclusões do advogado‑geral Ruiz‑Jarabo Colomer, no processo TeliaSonera Finland (C‑192/08, EU:C:2009:309, n.^os 87 a 89).

39 V., também, as minhas Conclusões nos processos apensos X e Visser (C‑360/15 e C‑31/16, EU:C:2017:397, n.^o 132).

40 V. segundo período do considerando 17 da Diretiva 2002/58.

41 Trata‑se de um órgão consultivo criado ao abrigo do artigo 29.^o da Diretiva 95/46. Com a entrada em vigor do Regulamento 2016/679, o Grupo de Trabalho «artigo 29.^o» foi substituído pelo Comité Europeu para a Proteção de Dados (v. artigos 68.^o e 94.^o, n.^o 2, do Regulamento 2016/679).

42 V. Parecer 2/2010 sobre a publicidade comportamental em linha, adotado pelo Grupo de Trabalho «artigo 29.^o»em 22 de junho de 2010 (00909/10/PT, WP 171, p. 16, ponto 4.1.3.).

43 Parecer 15/2011 sobre a definição de consentimento, adotado pelo Grupo de Trabalho «artigo 29.^o» em 13 de julho de 2011 (01197/11/PT, WP 187, p. 12).

44 Parecer 15/2011 sobre a definição de consentimento, adotado pelo Grupo de Trabalho «artigo 29.^o» em 13 de julho de 2011 (01197/11/GT, WP 187, p. 12).

45 Parecer 15/2011 sobre a definição de consentimento, adotado pelo Grupo de Trabalho «artigo 29.^o» em 13 de julho de 2011 (01197/11/PT, WP 187, p. 12).

46 Este ponto, que já resulta do despacho de reenvio, foi explicitamente confirmado pela Bundesverband durante a audiência, na sequência de uma questão do órgão jurisdicional de primeira instância.

47 Ou seja, a Bundesverband, os Governos alemão, italiano e português, bem como a Comissão.

48 V. artigo 7.^o, n.^o 4, do Regulamento 2016/679.

49 V., especialmente, n.^o 66 das presentes conclusões.

50 Um botão semelhante ao botão de participação.

51 Na terminologia alemã: «Kopplungsverbot», v., entre muitos, Ingold, A., G. Sydow (ed.), Europäische Datenschutzgrundverordnung, Handkommentar, Nomos, Baden‑Baden, 2017, artigo 7, ponto 30.

52 V. Heckmann, D., Paschke, A., in E. Ehmann, M. Selmayr (ed.) DS‑GVO (Datenschutz‑Grundverordnung), Kommentar, C. H. Beck, Munique 2017, artigo 7, ponto 53.

53 V. igualmente, neste sentido, J. Buchner, Kühling, B., in J. Buchner, B. Kühling (eds.), Datenschutz‑Grundverordnung/BDSG, Kommentar, 2.^a ed. C. H. Beck, Munique 2018, artigo 7 DS‑GVO, ponto 48.

54 Com a redação que lhe foi dada pela Diretiva 2009/136.

55 Ver ponto 24 do despacho de reenvio.

56 Com efeito, durante a audiência, o representante da Bundesverband indicou que seria muito útil uma clarificação do Tribunal de Justiça em relação à questão 1, alínea b), tendo em conta a controvérsia existente na doutrina jurídica alemã sobre a questão de saber se o artigo 15.^o, n.^o 3, da TMG está ou não em conformidade com o direito da União.

57 O sublinhado é meu.

58 V. quadro jurídico, supra.

59 Ibidem.

60 V. Parecer 2/2010 sobre a publicidade comportamental em linha, adotado pelo Grupo de Trabalho «artigo 29.^o», de 22 de junho de 2010 (00909/10/PT, WP 171, p. 9, ponto 3.2.1.) De igual modo, afirma‑se no Parecer 2/2013 sobre as aplicações em dispositivos inteligentes, adotado pelo Grupo de Trabalho «artigo 29.^o», de 27 de fevereiro de 2013 (00461/13/EN, WP 202, p. 7, n.^o 3.1), que «[o requisito do consentimento previsto no artigo 5.^o, n.^o 3, é aplicável a qualquer informação, independentemente da natureza dos dados que são armazenados ou acedidos. O âmbito não se limita aos dados pessoais; incluem‑se no conceito de informação todo o tipo de dados armazenados no dispositivo».

61 Mais precisamente, os requisitos da Diretiva 2009/136 que altera, entre outras, a Diretiva 2002/58.

62 Sobre a terminologia no domínio da proteção dos consumidores, v. artigo 2.^o da Diretiva 2011/83/UE do Parlamento Europeu e do Conselho, de 25 de outubro de 2011, relativa aos direitos dos consumidores, que altera a Diretiva 93/13/CEE do Conselho e a Diretiva 1999/44/CE do Parlamento Europeu e do Conselho e que revoga a Diretiva 85/577/CEE do Conselho e a Diretiva 97/7/CE do Parlamento Europeu e do Conselho (JO 2011, L 304, p. 64).

63 Sendo esta a terminologia clássica utilizada pelo Tribunal de Justiça para descrever o consumidor médio europeu. V., a título de exemplo, Acórdãos de 7 de agosto de 2018, Verbraucherzentrale Berlin (C‑485/17, EU:C:2018:642, n.^o 44); de 7 de junho de 2018, Scotch Whisky Association (C-44/17, EU:C:2018:415, n.^o 47); e de 16 de julho de 1998, Gut Springenheide e Tusky (C‑210/96, EU:C:1998:369, n.^o 31).

64 V. Conclusões do advogado‑geral H. Saugmandsgaard Øe no processo slewo (C‑681/17, EU:C:2018:1041, n.^o 55).

65 Parecer 15/2011 sobre a definição de consentimento, adotado pelo Grupo de Trabalho «artigo 29.^o» em 13 de julho de 2011 (01197/11/PT, WP 187, p. 37).