SENTENCIA DEL TRIBUNAL DE JUSTICIA (Gran Sala) de 1 de octubre de 2019 (*)
«Procedimiento prejudicial — Directiva 95/46/CE — Directiva 2002/58/CE — Reglamento (UE) 2016/679 — Tratamiento de datos personales y protección de la intimidad en el sector de las comunicaciones electrónicas — Cookies — Concepto de consentimiento del interesado — Declaración de consentimiento mediante una casilla marcada por defecto»
En el asunto C‑673/17,
que tiene por objeto una petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE, por el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal, Alemania), mediante resolución de 5 de octubre de 2017, recibida en el Tribunal de Justicia el 30 de noviembre de 2017, en el procedimiento entre
Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV
y
Planet49 GmbH,
EL TRIBUNAL DE JUSTICIA (Gran Sala),
integrado por el Sr. K. Lenaerts, Presidente, la Sra. R. Silva de Lapuerta, Vicepresidenta, los Sres. J.‑C. Bonichot, M. Vilaras y T. von Danwitz, la Sra. C. Toader, el Sr. F. Biltgen, la Sra. K. Jürimäe y el Sr. C. Lycourgos, Presidentes de Sala, y los Sres. A. Rosas (Ponente), L. Bay Larsen, M. Safjan y S. Rodin, Jueces;
Abogado General: Sr. M. Szpunar;
Secretario: Sr. D. Dittert, jefe de unidad;
habiendo considerado los escritos obrantes en autos y celebrada la vista el 13 de noviembre de 2018;
consideradas las observaciones presentadas:
– en nombre de la Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV, por el Sr. P. Wassermann, Rechtsanwalt;
– en nombre de Planet49 GmbH, por el Sr. M. Jaschinski, la Sra. J. Viniol y el Sr. T. Petersen, Rechtsanwälte;
– en nombre del Gobierno alemán, por el Sr. J. Möller, en calidad de agente;
– en nombre del Gobierno italiano, por la Sra. G. Palmieri, en calidad de agente, asistida por el Sr. F. De Luca, avvocato dello Stato;
– en nombre del Gobierno portugués, por los Sres. L. Inez Fernandes y M. Figueiredo y las Sras. L. Medeiros y C. Guerra, en calidad de agentes;
– en nombre de la Comisión Europea, por los Sres. G. Braun y H. Kranenborg y la Sra. P. Costa de Oliveira, en calidad de agentes;
oídas las conclusiones del Abogado General, presentadas en audiencia pública el 21 de marzo de 2019;
dicta la siguiente
Sentencia
1 La petición de decisión prejudicial tiene por objeto la interpretación de los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas) (DO 2002, L 201, p. 37), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009 (DO 2009, L 337, p. 11) (en lo sucesivo, «Directiva 2002/58»), en relación con el artículo 2, letra h), de la Directiva 95/46/CEdel Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (DO 1995, L 281, p. 31), y con el artículo 6, apartado 1, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento general de protección de datos) (DO 2016, L 119, p. 1).
2 Esta petición se ha presentado en el contexto de un litigio entre la Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband eV (Federación de Organizaciones y Asociaciones de Consumidores — Federación de Organizaciones de Consumidores, Alemania) (en lo sucesivo, «Federación») y Planet49 GmbH, sociedad que ofrece juegos en línea, en relación con el consentimiento prestado por los participantes en un juego con fines promocionales organizado por dicha sociedad con el que autorizaban la transmisión de sus datos personales a patrocinadores y empresas colaboradoras de dicha sociedad, el almacenamiento de información y el acceso a información almacenada en su equipo terminal.
Marco jurídico
Derecho de la Unión
Directiva 95/46
3 El artículo 1 de la Directiva 95/46 establece lo siguiente:
«1. Los Estados miembros garantizarán, con arreglo a las disposiciones de la presente Directiva, la protección de las libertades y de los derechos fundamentales de las personas físicas, y, en particular, del derecho a la intimidad, en lo que respecta al tratamiento de los datos personales.
2. Los Estados miembros no podrán restringir ni prohibir la libre circulación de datos personales entre los Estados miembros por motivos relacionados con la protección garantizada en virtud del apartado 1.»
4 El artículo 2 de esta Directiva dispone:
«A efectos de la presente Directiva, se entenderá por:
a) “datos personales”: toda información sobre una persona física identificada o identificable (el “interesado”); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;
b) “tratamiento de datos personales” (“tratamiento”): cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción;
[…]
h) “consentimiento del interesado”: toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan.»
5 El artículo 7 de la citada Directiva establece:
«Los Estados miembros dispondrán que el tratamiento de datos personales solo pueda efectuarse si:
a) el interesado ha dado su consentimiento de forma inequívoca, o
[…]».
6 Con arreglo al artículo 10 de la referida Directiva:
«Los Estados miembros dispondrán que el responsable del tratamiento o su representante deberán comunicar a la persona de quien se recaben los datos que le conciernan por lo menos la información que se enumera a continuación, salvo si la persona ya hubiera sido informada de ello:
a) la identidad del responsable del tratamiento y, en su caso, de su representante;
b) los fines del tratamiento de que van a ser objeto los datos;
c) cualquier otra información tal como:
– los destinatarios o las categorías de destinatarios de los datos,
– el carácter obligatorio o no de la respuesta y las consecuencias que tendría para la persona interesada una negativa a responder,
– la existencia de derechos de acceso y rectificación de los datos que la conciernen,
en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.»
Directiva 2002/58
7 Los considerandos 17 y 24 de la Directiva 2002/58 establecen:
«(17) A efectos de la presente Directiva, el consentimiento de un usuario o abonado, independientemente de que se trate de una persona física o jurídica, debe tener el mismo significado que el consentimiento de la persona afectada por los datos tal como se define y se especifica en la Directiva [95/46]. El consentimiento podrá darse por cualquier medio apropiado que permita la manifestación libre, inequívoca y fundada de la voluntad del usuario, por ejemplo mediante la selección de una casilla de un sitio web en Internet.
[…]
(24) Los equipos terminales de los usuarios de redes de comunicaciones electrónicas, así como toda información almacenada en dichos equipos, forman parte de la esfera privada de los usuarios que debe ser protegida de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales [, firmado en Roma el 4 de noviembre de 1950]. Los denominados “programas espía” (spyware), web bugs, identificadores ocultos y otros dispositivos similares pueden introducirse en el terminal del usuario sin su conocimiento para acceder a información, archivar información oculta o rastrear las actividades del usuario, lo que puede suponer una grave intrusión en la intimidad de dichos usuarios. Solo debe permitirse la utilización de tales dispositivos con fines legítimos y con el conocimiento de los usuarios afectados.»
8 A tenor del artículo 1 de la Directiva 2002/58:
«1. La presente Directiva establece la armonización de las disposiciones nacionales necesaria para garantizar un nivel equivalente de protección de las libertades y los derechos fundamentales y, en particular, del derecho a la intimidad y la confidencialidad, en lo que respecta al tratamiento de los datos personales en el sector de las comunicaciones electrónicas, así como la libre circulación de tales datos y de los equipos y servicios de comunicaciones electrónicas en la [Unión Europea].
2. Las disposiciones de la presente Directiva especifican y completan la Directiva [95/46] a los efectos mencionados en el apartado 1. […]»
9 El artículo 2 de esta Directiva dispone:
«Salvo disposición en contrario, serán de aplicación a efectos de la presente Directiva las definiciones que figuran en la Directiva [95/46] y en la Directiva 2002/21/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa a un marco regulador común de las redes y los servicios de comunicaciones electrónicas (Directiva marco) [DO 2002, L 108, p. 33].
Además, a efectos de la presente Directiva se entenderá por:
a) “usuario”: una persona física que utiliza con fines privados o comerciales un servicio de comunicaciones electrónicas disponible para el público, sin que necesariamente se haya abonado a dicho servicio;
[…]
f) “consentimiento” de un usuario o abonado: el consentimiento del interesado, con arreglo a la definición de la Directiva [95/46];
[…]».
10 Con arreglo al artículo 5, apartado 3, de la referida Directiva:
«Los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un abonado o usuario, a condición de que dicho abonado o usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva [95/46]. Lo anterior no impedirá el posible almacenamiento o acceso de índole técnica al solo fin de efectuar la transmisión de una comunicación a través de una red de comunicaciones electrónicas, o en la medida de lo estrictamente necesario a fin de que el proveedor de un servicio de la sociedad de la información preste un servicio expresamente solicitado por el abonado o el usuario.»
Reglamento 2016/679
11 El considerando 32 del Reglamento 2016/679 dispone:
«El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en [I]nternet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.»
12 El artículo 4 de este Reglamento establece:
«A efectos del presente Reglamento se entenderá por:
1) “datos personales”: toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona;
2) “tratamiento”: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;
[…]
11) “consentimiento del interesado”: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen;
[…]».
13 El artículo 6 del referido Reglamento prevé:
«1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
[…]».
14 El artículo 7, apartado 4, del mismo Reglamento dispone:
«Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.»
15 A tenor del artículo 13, apartados 1 y 2, del Reglamento 2016/679:
«1. Cuando se obtengan de un interesado datos personales relativos a él, el responsable del tratamiento, en el momento en que estos se obtengan, le facilitará toda la información indicada a continuación:
[…]
e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso; […]
[…]
2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:
a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
[…]».
16 El artículo 94 del citado Reglamento dispone:
«1. Queda derogada la Directiva [95/46] con efecto a partir del 25 de mayo de 2018.
2. Toda referencia a la Directiva derogada se entenderá hecha al presente Reglamento. Toda referencia al Grupo de protección de las personas en lo que respecta al tratamiento de datos personales establecido por el artículo 29 de la Directiva [95/46] se entenderá hecha al Comité Europeo de Protección de Datos establecido por el presente Reglamento.»
Derecho alemán
17 A tenor del artículo 307, apartado 1, primera frase, del Bürgerliches Gesetzbuch (Código Civil alemán; en lo sucesivo, «BGB»), «las cláusulas contenidas en las condiciones generales de contratación serán nulas cuando perjudiquen al adherente de forma desproporcionada, en contra del principio de buena fe».
18 El artículo 307, apartado 2, punto 1, del BGB establece que, en caso de duda, «se considerará que existe un perjuicio desproporcionado cuando no sea posible conciliar una cláusula con los principios fundamentales de una normativa legal de la que diverge».
19 El artículo 12, apartado 1, de la Telemediengesetz (Ley relativa a determinados servicios de comunicación e información electrónicos), de 26 de febrero de 2007 (BGBl. 2007 I, p. 179), en su versión aplicable a los hechos del litigio principal (en lo sucesivo, «TMG»), dispone lo siguiente:
«(1) El proveedor de servicios únicamente podrá recabar y utilizar datos personales para prestar servicios de comunicación e información electrónicos en la medida en que lo permitan la presente Ley u otras normas que se refieran expresamente a los servicios de comunicación e información electrónicos, o en caso de que el usuario lo haya consentido.
(2) El proveedor de servicios únicamente podrá utilizar para otros fines los datos personales recabados con la finalidad de ponerlos a disposición de los servicios de comunicación e información electrónicos en la medida en que lo permitan la presente Ley u otras normas que se refieran expresamente a los servicios de comunicación e información electrónicos, o en caso de que el usuario lo haya consentido.
(3) Salvo disposición en contrario, serán de aplicación las correspondientes disposiciones vigentes relativas a la protección de los datos personales, aun cuando no se produzca un tratamiento automatizado de los datos.»
20 En virtud del artículo 13, apartado 1, de la TMG, al inicio de la operación de uso, el proveedor de servicios informará al usuario sobre el alcance y la finalidad de la recogida y utilización de datos personales, en una forma que sea generalmente comprensible, a no ser que ya se le haya informado previamente de ello. En los procesos automatizados que permiten una identificación posterior del usuario y preparan la recogida o utilización de datos personales, el usuario deberá ser informado al inicio de dicho proceso.
21 A tenor del artículo 15, apartado 3, de la TMG, el proveedor de servicios podrá elaborar perfiles de usuario con seudónimos para fines de publicidad, estudios de mercado y para la configuración personalizada de servicios de comunicación e información electrónicos, siempre que el usuario no se oponga a ello después de haber sido informado sobre su derecho de oposición.
22 Con arreglo a la definición dada por el artículo 3, apartado 1, de la Bundesdatenschutzgesetz (Ley Federal de Protección de Datos), de 20 de diciembre de 1990 (BGBl. 1990 I, p. 2954), en su versión aplicable al litigio principal (en lo sucesivo, «BDSG»), «los datos personales son indicaciones concretas relativas a circunstancias personales o materiales de una persona física identificada o identificable (el interesado)».
23 De acuerdo con la definición contenida en el artículo 3, apartado 3, de la BDSG, se entenderá por «recogida» la obtención de datos del interesado.
24 El artículo 4 bis, apartado 1, primera frase, de la BDSG, que transpone el artículo 2, letra h), de la Directiva 95/46, dispone que el consentimiento solo será válido si procede de una decisión libremente adoptada por el interesado.
Litigio principal y cuestiones prejudiciales
25 El 24 de septiembre de 2013, Planet49 organizó un juego con fines promocionales en el sitio de Internet www.dein-macbook.de.
26 Los internautas que deseaban participar en el juego debían introducir su código postal, tras lo cual accedían a una página web en la que debían introducir su nombre y dirección. Debajo de los campos reservados para facilitar la dirección figuraban dos menciones acompañadas de casillas. La primera mención, cuya casilla (en lo sucesivo, «primera casilla») no estaba marcada por defecto, rezaba:
«Presto mi consentimiento para que determinados patrocinadores y empresas colaboradoras puedan informarme por correo, teléfono, correo electrónico o SMS sobre ofertas de su respectivo ámbito de actividad. Yo mismo puedo determinarlos aquí, en caso contrario serán elegidos por el organizador. Puedo revocar mi consentimiento en cualquier momento. Aquí puede obtener más información al respecto.»
27 La segunda mención, cuya casilla (en lo sucesivo, «segunda casilla») estaba marcada por defecto, tenía la siguiente redacción:
«Presto mi consentimiento para el uso del servicio de análisis de páginas web Remintrex. En consecuencia, el organizador del juego con fines promocionales, [Planet49], instalará cookies una vez me haya registrado para en el juego, lo que le permitirá analizar mi comportamiento de navegación y uso de páginas web de socios publicitarios y enviarme publicidad específica conforme a mis intereses a través de Remitrex. Puedo cancelar las cookies en cualquier momento. Aquí puede obtener más información.»
28 La participación en el juego solo era posible si se marcaba, al menos, la primera casilla.
29 El enlace electrónico que figuraba en la mención que acompañaba a la primera casilla, vinculado a las palabras «patrocinadores y empresas colaboradoras» y «aquí», conducía a una lista en la que constaban 57 empresas, sus direcciones, el sector de actividad publicitado y el medio de comunicación utilizado para la publicidad (correo electrónico, correo ordinario o teléfono). El término subrayado «dar de baja» figuraba después del nombre de cada empresa. La lista venía precedida del siguiente aviso:
«Al hacer clic en el enlace “Dar de baja”, decido que no puede otorgarse a la empresa colaboradora/patrocinador en cuestión una autorización para hacer publicidad. Si no he dado de baja a ninguna empresa colaboradora/patrocinador o no lo he hecho en cantidad suficiente, Planet49 elegirá libremente para mí empresas colaboradoras/patrocinadores (número máximo: 30 empresas colaboradoras/patrocinadores).»
30 Al activar el enlace electrónico que figuraba en la mención que acompañaba a la segunda casilla, vinculado al término «aquí», aparecía la siguiente información:
«Las cookies utilizadas con las denominaciones ceng_cache, ceng_etag, ceng_png y gcr son pequeños ficheros que su navegador almacena en su disco duro, gracias a los cuales se facilita determinada información que hace posible una publicidad más efectiva y acorde con las preferencias del usuario. Las cookies contienen un número aleatorio (ID) que se vincula al mismo tiempo a sus datos de registro. Si usted visita posteriormente una página web de un socio publicitario registrado en Remintrex (consulte la información pertinente en la declaración de protección de datos del socio publicitario para saber si está registrado), se registrará automáticamente, gracias a un iFrames de Remintrex vinculado a esta, que usted (es decir, el usuario con la ID almacenada) ha visitado la página, los productos por los que se ha interesado y si se ha concluido un contrato.
Posteriormente, de acuerdo con la autorización para hacer publicidad otorgada en el momento de registrarse en el juego promocional, [Planet49] puede enviarle correos publicitarios relacionados con los intereses mostrados en la página web del socio publicitario. En caso de que haya revocado la autorización publicitaria, lógicamente no volverá a recibir correos publicitarios.
La información transmitida por las cookies únicamente es utilizada para publicidad en la que se presenten productos del socio publicitario. La información será recabada, almacenada y utilizada para cada socio publicitario por separado. En ningún caso se establecerán perfiles de usuario para varios socios publicitarios. Los distintos socios publicitarios no recibirán datos personales.
En caso de que rechace el uso de cookies, las puede eliminar de su navegador en cualquier momento. En la función de ayuda de su navegador encontrará información al respecto.
A través de las cookies no se pueden ejecutar programas ni transmitir virus.
Naturalmente, tiene la posibilidad de revocar ese consentimiento en cualquier momento. La revocación deberá remitirse por escrito a [Planet49] [dirección]. Pero también bastará un correo electrónico enviado a nuestro servicio de atención al cliente [dirección de correo electrónico].»
31 De la resolución de remisión se desprende que las cookies son ficheros que el proveedor de un sitio de Internet coloca en el ordenador de los usuarios de dicho sitio y a los que puede acceder nuevamente, cuando estos vuelven a visitar el sitio, con el fin de facilitar la navegación en Internet o las transacciones o de obtener información sobre el comportamiento de dichos usuarios.
32 En el marco de un requerimiento que no recibió respuesta alguna, la Federación, que figura inscrita en la lista de entidades que gozan de legitimación activa con arreglo al artículo 4 de la Gesetz über Unterlassungsklagen bei Verbraucherrechts- und anderen Verstößen (Ley sobre Acciones de Cesación en Caso de Infracción del Derecho de Consumo o de Otras Infracciones), de 26 de noviembre de 2001 (BGBl. 2001 I, p. 3138), alegó que las declaraciones de consentimiento solicitadas por Planet49 mediante las casillas primera y segunda no cumplían los requisitos exigidos por las disposiciones del artículo 307 del BGB, del artículo 7, apartado 2, punto 2, de la Gesetz gegen den unlauteren Wettbewerb (Ley de Defensa de la Competencia), de 3 de julio de 2004 (BGBl. 2004 I, p. 1414), en su versión aplicable al litigio principal, y de los artículos 12 y siguientes de la TMG.
33 La Federación presentó una demanda ante el Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno, Alemania) solicitando, sustancialmente, que se exigiese a Planet49 que dejase de pedir tales declaraciones de consentimiento y que fuera condenada a pagarle la cantidad de 214 euros, más intereses desde el 15 de marzo de 2014.
34 El Landgericht Frankfurt am Main (Tribunal Regional de lo Civil y Penal de Fráncfort del Meno) estimó parcialmente dicha demanda.
35 A raíz de un recurso de apelación interpuesto por Planet49 ante el Oberlandesgericht Frankfurt am Main (Tribunal Superior Regional de lo Civil y Penal de Fráncfort del Meno, Alemania), este último tribunal declaró que la pretensión de la Federación de que Planet49 dejara de incluir, en los contratos de juego con fines promocionales celebrados con los consumidores, la mención reproducida en el apartado 27 de la presente sentencia, cuya segunda casilla estaba marcada por defecto, carecía de fundamento, puesto que, por un lado, el usuario tenía conocimiento de la posibilidad de quitar la marca de dicha casilla, y, por otro lado, la referida mención presentaba una tipografía suficientemente clara y daba información sobre el modo de funcionamiento de las cookies. Consideró asimismo que no era necesario divulgar la identidad de los terceros que podían acceder a la información recabada.
36 El Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal), ante quien la Federación interpuso recurso de casación, considera que la solución del litigio principal depende de la interpretación de las disposiciones de los artículos 5, apartado 3, y 2, letra f), de la Directiva 2002/58, del artículo 2, letra h), de la Directiva 95/46, y del artículo 6, apartado 1, letra a), del Reglamento 2016/679.
37 Al albergar dudas acerca de la validez, a la luz de estas disposiciones, de la obtención, por Planet49, del consentimiento de los usuarios del sitio de Internet www.dein-macbook.de mediante la segunda casilla y sobre el alcance de la obligación de información prevista en el artículo 5, apartado 3, de la Directiva 2002/58, el Bundesgerichtshof (Tribunal Supremo de lo Civil y Penal) decidió suspender el procedimiento y plantear al Tribunal de Justicia las siguientes cuestiones prejudiciales:
«1) a) ¿Existe un consentimiento válido en el sentido de los artículos 5, apartado 3, y 2, letra f), de la Directiva [2002/58], en relación con el artículo 2, letra h), de la Directiva [95/46], cuando el almacenamiento de información o la obtención de acceso a la información ya almacenada en el equipo terminal de un usuario se autoriza a través de una casilla ya marcada de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento?
b) Al aplicar los artículos 5, apartado 3, y 2, letra f), de la Directiva [2002/58], en relación con el artículo 2, letra h), de la Directiva [95/46], ¿implica alguna diferencia el hecho de que la información almacenada u obtenida se refiera a datos personales?
c) En las circunstancias señaladas en la primera cuestión, letra a), ¿existe un consentimiento válido en el sentido del artículo 6, apartado 1, letra a), del Reglamento [2016/679]?
2) ¿Qué información debe facilitar el proveedor de servicios al usuario para cumplir con la obligación de facilitar una información clara y completa establecida en el artículo 5, apartado 3, de la Directiva [2002/58]? ¿Incluye esta información también el tiempo durante el cual las cookies estarán activas y la cuestión de si un tercero obtiene acceso a las mismas?»
Sobre las cuestiones prejudiciales
Observaciones preliminares
38 Con carácter preliminar, procede examinar la aplicabilidad de la Directiva 95/46 y del Reglamento 2016/679 a los hechos controvertidos en el litigio principal.
39 El 25 de mayo de 2018, la Directiva 95/46 fue derogada y sustituida por el Reglamento 2016/679 en virtud del artículo 94, apartado 1, de este último.
40 Ciertamente, esta fecha es posterior a la fecha de la última vista celebrada ante el órgano jurisdiccional remitente, que tuvo lugar el 14 de julio de 2017, y a la fecha en la que dicho órgano jurisdiccional remitió su petición de decisión prejudicial al Tribunal de Justicia.
41 No obstante, el órgano jurisdiccional remitente ha indicado que, habida cuenta de la entrada en vigor, el 25 de mayo de 2018, del Reglamento 2016/679, sobre el que versa, además, una parte de la primera cuestión prejudicial, es probable que dicho Reglamento deba tomarse en consideración a la hora de resolver el litigio principal. Además, tal y como indicó el Gobierno alemán en la vista celebrada ante el Tribunal de Justicia, no puede excluirse que, en la medida en que el procedimiento iniciado por la Federación persigue el cese del comportamiento de Planet49 para el futuro, el Reglamento 2016/679 resulte aplicable ratione temporis en el marco del litigio principal, debido a la jurisprudencia nacional relativa a la situación jurídica pertinente en materia de acciones de cesación, extremo que corresponde comprobar al órgano jurisdiccional remitente (véase, en lo que concierne a un recurso de carácter declarativo, la sentencia de 16 de enero de 2019, Deutsche Post, C‑496/17, EU:C:2019:26, apartado 38).
42 En estas circunstancias, y habida cuenta de que, en virtud del artículo 94, apartado 2, del Reglamento 2016/679, las referencias contenidas en la Directiva 2002/58 a la Directiva 95/46 han de entenderse realizadas a dicho Reglamento, no cabe excluir, en el presente asunto, que la Directiva 2002/58 se aplique conjuntamente con las disposiciones o bien de la Directiva 95/46 o bien del Reglamento 2016/679 en función de la naturaleza de las pretensiones de la Federación y del período de que se trate.
43 Por ello, procede responder a las cuestiones prejudiciales planteadas tanto sobre la base de la Directiva 95/46 como del Reglamento 2016/679.
Sobre la primera cuestión prejudicial, letras a) yc)
44 Mediante su primera cuestión prejudicial, letras a) y c), el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46 y con artículo 6, apartado 1, letra a), del Reglamento 2016/679, deben interpretarse en el sentido de que el consentimiento al que se hace referencia en estas disposiciones se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
45 Con carácter preliminar ha de precisarse que, según las indicaciones que figuran en la resolución de remisión, las cookies que pueden colocarse en el equipo terminal de los usuarios que participan en el juego con fines promocionales organizado por Planet49 llevan un número que se adjudica a los datos de registro de dicho usuario, quien debe inscribir su nombre y su dirección en el formulario de participación de dicho juego. El órgano jurisdiccional remitente añade que la asociación de ese número y esos datos personaliza los datos almacenados por las cookies cuando el usuario se sirve de Internet, de modo que la recogida de tales datos mediante las cookies constituye un tratamiento de datos personales. Estas indicaciones fueron confirmadas por Planet49, quien subrayó en sus observaciones escritas que el consentimiento correspondiente a la segunda casilla constituye una autorización de recogida y tratamiento de datos personales, y no de información anónima.
46 Una vez realizadas estas precisiones, procede señalar que, conforme al artículo 5, apartado 3, de la Directiva 2002/58, los Estados miembros velarán por que únicamente se permita el almacenamiento de información, o la obtención de acceso a la información ya almacenada, en el equipo terminal de un usuario cuando dicho usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, con arreglo a lo dispuesto en la Directiva 95/46.
47 A este respecto procede recordar que de las exigencias tanto de la aplicación uniforme del Derecho de la Unión como del principio de igualdad se desprende que el tenor de una disposición del Derecho de la Unión que no contenga una remisión expresa al Derecho de los Estados miembros para determinar su sentido y su alcance normalmente debe ser objeto en toda la Unión de una interpretación autónoma y uniforme [sentencias de 26 de marzo de 2019, SM (Menor bajo el régimen de la kafala argelina), C‑129/18, EU:C:2019:248, apartado 50, y de 11 de abril de 2019, Tarola, C‑483/17, EU:C:2019:309, apartado 36].
48 Además, según reiterada jurisprudencia del Tribunal de Justicia, al interpretar una disposición del Derecho de la Unión deben tomarse en consideración no solamente su redacción y los objetivos que persigue, sino también su contexto y el conjunto de las disposiciones del Derecho de la Unión. La génesis de una disposición del Derecho de la Unión también puede ofrecer elementos pertinentes para su interpretación (sentencia de 10 de diciembre de 2018, Wightman y otros, C‑621/18, EU:C:2018:999, apartado 47 y jurisprudencia citada).
49 En lo que concierne al tenor del artículo 5, apartado 3, de la Directiva 2002/58, procede señalar que, si bien esta disposición establece expresamente que el usuario debe haber «dado su consentimiento» a la colocación de cookies en su equipo terminal y a la consulta de estas, la referida disposición no contiene, en cambio, indicación alguna sobre el modo en que debe darse dicho consentimiento. No obstante, los términos «dado su consentimiento» se prestan a una interpretación literal, según la cual se precisa una acción del usuario para que este exprese su consentimiento. A este respecto, del considerando 17 de la Directiva 2002/58 se desprende que, a efectos de esta Directiva, el consentimiento de un usuario podrá darse por cualquier medio apropiado que permita la manifestación libre, inequívoca y fundada de la voluntad del usuario, por ejemplo, «mediante la selección de una casilla de un sitio web en Internet».
50 En lo que respecta al contexto en el que se inscribe el artículo 5, apartado 3, de la Directiva 2002/58, procede subrayar que el artículo 2, letra f), de esta Directiva, que contiene la definición de «consentimiento» a efectos de esta, remite, a este respecto, al «consentimiento del interesado» que figura en la Directiva 95/46. El considerando 17 de la Directiva 2002/58 precisa que, a efectos de esta Directiva, el consentimiento de un usuario debe tener el mismo significado que el consentimiento de la persona afectada por los datos, tal como se define y se especifica en la Directiva 95/46.
51 El artículo 2, letra h), de esta última Directiva define el «consentimiento del interesado» como «toda manifestación de voluntad, libre, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernan».
52 Así, tal y como subrayó el Abogado General en el punto 60 de sus conclusiones, la exigencia de una «manifestación» de voluntad del interesado sugiere claramente un comportamiento activo y no pasivo. Pues bien, el consentimiento dado mediante una casilla marcada por defecto no implica un comportamiento activo por parte del usuario de un sitio de Internet.
53 Esta interpretación queda corroborada por el artículo 7 de la Directiva 95/46, que incluye una lista exhaustiva de los casos en que un tratamiento de datos personales puede considerarse lícito (véase, en este sentido, la sentencia de 24 de noviembre de 2011, Asociación Nacional de Establecimientos Financieros de Crédito, C‑468/10 y C‑469/10, EU:C:2011:777, apartado 30, y de 19 de octubre de 2016, Breyer, C‑582/14, EU:C:2016:779, apartado 57).
54 En particular, el artículo 7, letra a), de la Directiva 95/46 dispone que el consentimiento del interesado puede hacer que tal tratamiento se considere lícito siempre que dicho consentimiento haya sido dado «de forma inequívoca» por el interesado. Pues bien, solo un comportamiento activo por parte del interesado con el que manifieste su consentimiento puede cumplir este requisito.
55 A este respecto, parece prácticamente imposible determinar de manera objetiva si el usuario de un sitio de Internet ha dado efectivamente su consentimiento para el tratamiento de sus datos personales al no quitar la marca de una casilla marcada por defecto y si dicho consentimiento ha sido dado, en todo caso, de manera informada. En efecto, no puede descartarse que dicho usuario no haya leído la información que acompaña a la casilla marcada por defecto, o que ni tan siquiera la haya visto, antes de proseguir con su actividad en el sitio de Internet que visita.
56 Por último, en lo que respecta a la génesis del artículo 5, apartado 3, de la Directiva 2002/58, procede declarar que la versión inicial de esta disposición solo establecía el requisito de que el usuario tuviera el «derecho de negarse» a la colocación de cookies, después de haber recibido, con arreglo a lo dispuesto en la Directiva 95/46, información clara y completa, en particular sobre los fines del tratamiento de los datos. La Directiva 2009/136 introdujo una modificación sustancial en la redacción de esta disposición, sustituyendo esta expresión por los términos «dado su consentimiento». Así pues, la génesis del artículo 5, apartado 3, de la Directiva 2002/58 muestra que el consentimiento del usuario ya no puede presumirse y debe resultar del comportamiento activo de este último.
57 Habida cuenta de los anteriores elementos, el consentimiento al que se hace referencia en los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46, no se otorga de manera válida cuando el almacenamiento de información o el acceso a información ya almacenada en el equipo terminal del usuario de un sitio de Internet se autoriza mediante una casilla marcada por defecto por el proveedor del servicio de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
58 Es preciso añadir que la manifestación de voluntad a que se hace referencia en el artículo 2, letra h), de la Directiva 95/46 debe ser, en particular, «específica», en el sentido de que debe tener concretamente por objeto el tratamiento de datos de que se trate y no puede deducirse de una manifestación de voluntad que tenga un objeto distinto.
59 En el caso de autos, en contra de lo que aduce Planet49, el hecho de que un usuario active el botón de participación en el juego con fines promocionales organizado por dicha sociedad no basta para considerar que el usuario ha dado de manera válida su consentimiento para la colocación de cookies.
60 La anterior interpretación se impone, con mayor motivo, a la luz del Reglamento 2016/679.
61 En efecto, tal y como declaró, sustancialmente, el Abogado General en el punto 70 de sus conclusiones, el tenor del artículo 4, punto 11, del Reglamento 2016/679, que define el «consentimiento del interesado» a efectos de dicho Reglamento y , en particular, de su artículo 6, apartado 1, letra a), a que se hace referencia en la primera cuestión prejudicial, letra c), es todavía más estricto que el del artículo 2, letra h), de la Directiva 95/46, puesto que requiere una manifestación de voluntad «libre, específica, informada e inequívoca» del interesado, que ha de adoptar la forma de una declaración o de una «clara acción afirmativa» que marque su aceptación del tratamiento de datos personales que le conciernen.
62 Así pues, el Reglamento 2016/679 prevé expresamente un consentimiento activo. Es preciso señalar a este respecto que, según el considerando 32 de dicho Reglamento, la expresión del consentimiento podría incluir, en particular, marcar una casilla de un sitio web en Internet. En cambio, dicho considerando excluye expresamente que pueda haber consentimiento en caso de «silencio, […] casillas ya marcadas o […] inacción».
63 De ello se sigue que el consentimiento al que se hace referencia en los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en relación con los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento 2016/679, no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
64 Por último, es preciso subrayar que el órgano jurisdiccional remitente no ha preguntado al Tribunal de Justicia si el hecho de que un usuario haya de prestar su consentimiento al tratamiento de sus datos personales para fines publicitarios para poder participar en un juego con fines promocionales, como, según las indicaciones que figuran en la resolución de remisión, parece ser el caso en el presente asunto, o al menos en lo que respecta a la primera casilla, es compatible con la exigencia de un consentimiento «libre», en el sentido del artículo 2, letra h), de la Directiva 95/46 y de los artículos 4, punto 11, y 7, apartado 4, del Reglamento 2016/679. En tales circunstancias, el Tribunal de Justicia no ha de examinar esta cuestión.
65 Habida cuenta de las anteriores consideraciones, procede responder a la primera cuestión prejudicial, letras a) y c), que los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46 y con los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento 2016/679, deben interpretarse en el sentido de que el consentimiento al que se hace referencia en estas disposiciones no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
Sobre la primera cuestión prejudicial, letra b)
66 Mediante su primera cuestión prejudicial, letra b), el órgano jurisdiccional remitente pregunta, en esencia, si los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46 y con los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento 2016/679, deben interpretarse de manera diferente en función de que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet sean o no datos personales en el sentido de la Directiva 95/46 y del Reglamento 2016/679.
67 Tal y como se ha señalado en el apartado 45 de la presente sentencia, de la resolución de remisión resulta que la colocación de cookies controvertida en el litigio principal constituye un tratamiento de datos personales.
68 Dicho esto, procede observar, en todo caso, que el artículo 5, apartado 3, de la Directiva 2002/58 hace referencia al «almacenamiento de información» y a la «obtención de acceso a la información ya almacenada», sin calificar dicha información ni precisar si esta ha de consistir en datos personales.
69 Tal y como señaló el Abogado General en el punto 107 de sus conclusiones, con esta disposición se pretende proteger al usuario de la injerencia en su esfera privada, independientemente de que dicha injerencia afecte a datos personales o de otro tipo.
70 Esta interpretación queda corroborada por el considerando 24 de la Directiva 2002/58, con arreglo al cual toda información almacenada en el equipo terminal de los usuarios de una red de comunicaciones electrónicas forma parte de la esfera privada de los usuarios, que debe ser protegida de conformidad con el Convenio Europeo para la Protección de los Derechos Humanos y de las Libertades Fundamentales. Esta protección se aplica a toda información almacenada en dicho equipo, con independencia de si se trata de datos personales o no, y tiene como finalidad, en particular, según se desprende de ese mismo considerando, proteger a los usuarios contra el riesgo de que identificadores ocultos u otros dispositivos similares puedan introducirse en el equipo terminal del usuario sin su conocimiento.
71 Habida cuenta de las anteriores consideraciones, procede responder a la primera cuestión prejudicial, letra b), que los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en relación con el artículo 2, letra h), de la Directiva 95/46 y con el artículo 6, apartado 1, letra a), del Reglamento 2016/679, no deben interpretarse de manera diferente en función de que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet sean o no datos personales en el sentido de la Directiva 95/46 y del Reglamento 2016/679.
Sobre la segunda cuestión prejudicial
72 Mediante su segunda cuestión prejudicial, el órgano jurisdiccional remitente pregunta, en esencia, si el artículo 5, apartado 3, de la Directiva 2002/58 debe interpretarse en el sentido de que la información que el proveedor de servicios debe facilitar al usuario de un sitio de Internet incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.
73 Según se desprende del apartado 46 de la presente sentencia, el artículo 5, apartado 3, de la Directiva 2002/58 requiere que el usuario haya dado su consentimiento después de que se le haya facilitado información clara y completa, en particular sobre los fines del tratamiento de los datos, «con arreglo a lo dispuesto en la Directiva [95/46]».
74 Tal y como subrayó el Abogado General en el punto 115 de sus conclusiones, una información clara y completa debe permitir al usuario determinar fácilmente las consecuencias de cualquier consentimiento que pueda dar y garantizar que dicho consentimiento se otorgue con pleno conocimiento de causa. Debe ser claramente comprensible y suficientemente detallada para que el usuario pueda comprender el funcionamiento de las cookies empleadas.
75 Pues bien, en una situación como la controvertida en el litigio principal, en la que, según las indicaciones que figuran en los documentos obrantes en los autos remitidos al Tribunal de Justicia, las cookies tienen como finalidad recabar información con fines publicitarios para los productos de las empresas colaboradoras del organizador del juego promocional, la información acerca del tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas forma parte de la información clara y completa que debe facilitarse al usuario de conformidad con el artículo 5, apartado 3, de la Directiva 2002/58.
76 A este respecto, procede señalar que el artículo 10 de la Directiva 95/46, a la que se hace referencia en el artículo 5, apartado 3, de la Directiva 2002/58, y el artículo 13 del Reglamento 2016/679 enumeran las indicaciones que el responsable del tratamiento debe facilitar a la persona cuyos datos recaba.
77 En virtud del artículo 10 de la Directiva 95/46, estas indicaciones incluyen, en particular, además de la identidad del responsable del tratamiento y de los fines del tratamiento de que van a ser objeto los datos, cualquier otra información tal como los destinatarios o las categorías de destinatarios de los datos, en la medida en que, habida cuenta de las circunstancias específicas en que se hayan obtenido los datos, dicha información suplementaria resulte necesaria para garantizar un tratamiento de datos leal respecto del interesado.
78 Si bien el tiempo durante el cual se va a proceder al tratamiento de los datos no se halla entre dichas indicaciones, de la expresión «por lo menos» que figura en el artículo 10 de la Directiva 95/46 resulta, no obstante, que esta enumeración no es exhaustiva. Pues bien, debe considerarse que la información relativa al tiempo durante el cual las cookies estarán activas responde a la exigencia, establecida en dicho artículo, de que el tratamiento de los datos sea leal, puesto que, en una situación como la controvertida en el litigio principal, un período de tiempo largo, o incluso ilimitado, implica la recogida de numerosos datos sobre los hábitos de navegación y la frecuencia de las eventuales visitas del usuario a los sitios de los socios publicitarios del organizador del juego con fines promocionales.
79 Esta interpretación queda corroborada por el artículo 13, apartado 2, letra a), del Reglamento 2016/679, que prevé que, para garantizar un tratamiento de datos leal y transparente, el responsable del tratamiento debe facilitar al interesado información, entre otras cosas, sobre el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, sobre los criterios utilizados para determinar este plazo.
80 En lo que concierne a la posibilidad de que terceros puedan acceder o no a las cookies, se trata de una información comprendida en las indicaciones mencionadas en el artículo 10, letra c), de la Directiva 95/46 y en el artículo 13, apartado 1, letra e), del Reglamento 2016/679, puesto que estas disposiciones mencionan explícitamente los destinatarios o las categorías de destinatarios de los datos.
81 Habida cuenta de las anteriores consideraciones, procede responder a la segunda cuestión prejudicial que el artículo 5, apartado 3, de la Directiva 2002/58 debe interpretarse en el sentido de que la información que el proveedor de servicios debe facilitar al usuario de un sitio de Internet incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.
Costas
82 Dado que el procedimiento tiene, para las partes del litigio principal, el carácter de un incidente promovido ante el órgano jurisdiccional nacional, corresponde a este resolver sobre las costas. Los gastos efectuados por quienes, no siendo partes del litigio principal, han presentado observaciones ante el Tribunal de Justicia no pueden ser objeto de reembolso.
En virtud de todo lo expuesto, el Tribunal de Justicia (Gran Sala) declara:
1) Los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), en su versión modificada por la Directiva 2009/136/CE del Parlamento Europeo y del Consejo, de 25 de noviembre de 2009, en relación con el artículo 2, letra h), de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y con los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46 (Reglamento general de protección de datos), deben interpretarse en el sentido de que el consentimiento al que se hace referencia en estas disposiciones no se presta de manera válida cuando el almacenamiento de información o el acceso a la información ya almacenada en el equipo terminal del usuario de un sitio de Internet a través de cookies se autoriza mediante una casilla marcada por defecto de la que el usuario debe retirar la marca en caso de que no desee prestar su consentimiento.
2) Los artículos 2, letra f), y 5, apartado 3, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, en relación con el artículo 2, letra h), de la Directiva 95/46 y con los artículos 4, punto 11, y 6, apartado 1, letra a), del Reglamento 2016/679, no deben interpretarse de manera diferente en función de que la información almacenada o consultada en el equipo terminal del usuario de un sitio de Internet sean o no datos personales en el sentido de la Directiva 95/46 y del Reglamento 2016/679.
3) El artículo 5, apartado 3, de la Directiva 2002/58, en su versión modificada por la Directiva 2009/136, debe interpretarse en el sentido de que la información que el proveedor de servicios debe facilitar al usuario de un sitio de Internet incluye el tiempo durante el cual las cookies estarán activas y la posibilidad de que terceros tengan acceso a ellas.