L’articolo 2, lettera f), e l’articolo 5, paragrafo 3, della direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), come modificata dalla direttiva 2009/136/CE del Parlamento europeo e del Consiglio, del 25 novembre 2009, letti in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e altresì con l’articolo 4, punto 11, e l’articolo 6, paragrafo 1, lettera a), del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46 (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che il consenso di cui a tali disposizioni non è validamente espresso quando l’archiviazione di informazioni o l’accesso a informazioni già archiviate nell’apparecchiatura terminale dell’utente di un sito Internet attraverso cookie sono autorizzati mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.
L’articolo 2, lettera f), e l’articolo 5, paragrafo 3, della direttiva 2002/58, come modificata dalla direttiva 2009/136, letti in combinato disposto con l’articolo 2, lettera h), della direttiva 95/46, nonché con l’articolo 4, punto 11, e l’articolo 6, paragrafo 1, lettera a), del regolamento 2016/679, non devono essere interpretati in modo diverso a seconda che le informazioni archiviate o consultate nell’apparecchiatura terminale dell’utente di un sito Internet costituiscano o meno dati personali, ai sensi della direttiva 95/46 e del regolamento 2016/679.
L’articolo 5, paragrafo 3, della direttiva 2002/58, come modificata dalla direttiva 2009/136, deve essere interpretato nel senso che il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente di un sito Internet.