A Directiva 2006/24/CE do Parlamento Europeu e do Conselho de

no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Directiva 2002/58/CE

Em 15 de Março de 2006 foi adoptada a Directiva 2006/24/CE do Parlamento Europeu e do Conselho, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Directiva 2002/58/CE. Com esta directiva, os serviços que fornecem telefone e Internet deveriam reter diversos dados relativos à realização de chamadas telefónicas e à utilização da Internet durante um período mínimo de 6 meses e máximo de 2 anos, de modo a que estes dados estivessem disponíveis se fossem necessários para uma investigação criminal. Especificamente, estão em causa os dados necessários para identificar a fonte, o destino, a data, a hora, a duração, o tipo de comunicação, o equipamento de telecomunicação dos utilizadores e localização dos equipamentos de comunicação móvel 266_{. Contudo, esta directiva}

265 _{Do qual a UE faz parte.}

266 _{Entre os dados que permitiam obter estas informações não se encontrava elencado o conteúdo} das comunicações.

118 foi declarada inválida pelo TJUE em 8 de Abril de 2014 267 _{por, como veremos,} violação de direitos fundamentais, mais propriamente o respeito pela vida privada e a protecção dos dados pessoais, uma vez que esta ingerência não se limitava ao estritamente necessário.

O TJUE referiu que esta conservação destes dados era algo que incidia sobre a vida privada e, portanto, sobre os direitos abrangidos pelo artigo 7.º da CDFUE. Estava também abrangida pelo artigo 8.º do mesmo diploma, porque estavam em causa o tratamento de dados pessoais, devendo ser respeitados os critérios previstos neste artigo.

O TJUE concluiu que esta directiva implicava uma ingerência nos direitos garantidos por estes artigos, não só porque a conservação de dados e o acesso a estes por parte das autoridades nacionais competentes violavam o regime estabelecido pela Directiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de Outubro de 1995 relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e pela Directiva 2002/58/CE do Parlamento Europeu e do Conselho de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (“visto que estas diretivas consagram a confidencialidade das comunicações e dos dados relativos ao tráfego, bem como a obrigação de eliminar ou de tornar anónimos esses dados, quando deixem de ser necessários para a transmissão de uma comunicação, salvo se forem necessários para a faturaç~o e unicamente enquanto esta necessidade persistir”), mas também porque previa um tratamento dos dados pessoais, acrescendo o facto de o assinante ou o utilizador registado não serem informados da conservação dos dados e da sua utilização, o que poderia suscitar nas pessoas a ideia de que a sua vida privada estaria a ser permanentemente vigiada.

Seguidamente, o TJUE referiu o n.º 1 do artigo 52.º da CDFUE, onde é estabelecido que “qualquer restriç~o ao exercício dos direitos e liberdades reconhecidos pela presente Carta deve ser prevista por lei e respeitar o conteúdo essencial desses direitos e liberdades. Na observância do princípio da

119 proporcionalidade, essas restrições só podem ser introduzidas se forem necessárias e corresponderem efectivamente a objectivos de interesse geral reconhecidos pela União, ou à necessidade de protecção dos direitos e liberdades de terceiros”.

Na sequência da análise a este artigo, o TJUE afirmou que o conteúdo essencial do direito ao respeito pela vida privada e do direito à protecção dos dados pessoais não era afectado pela directiva, tendo em conta não só que esta não permitia o acesso ao conteúdo das comunicações electrónicas, mas também a formulação do artigo 7.º da mesma – “sem prejuízo das disposições adoptadas nos termos da Directiva 95/46/CE e da Directiva 2002/58/CE, cada Estado-Membro deve assegurar que os fornecedores de serviços de comunicações electrónicas publicamente disponíveis ou de uma rede pública de comunicações respeitem, no mínimo, os seguintes princípios em matéria de segurança de dados no que se refere aos dados conservados em conformidade com a presente directiva”, sendo que alguns dos princípios aí enunciados estavam relacionados com a adopç~o “de medidas técnicas e organizativas adequadas que os protejam [os dados] da destruição acidental ou ilícita, da perda ou alteração acidental, ou do armazenamento, tratamento, acesso ou divulgaç~o n~o autorizado ou ilícito” (alínea b)).

Relativamente à questão de saber se esta ingerência tinha por base um objectivo de interesse geral, o TJUE começou por referir que o interesse geral desta directiva, tal como é referido no n.º 1 do artigo 1.º da mesma, era “garantir a disponibilidade desses dados para efeitos de investigação, de detecção e de repressão de crimes graves, tal como definidos no direito nacional de cada Estado- Membro”, ou seja, lutar contra a criminalidade grave e promover a segurança pública, e acrescentou que a luta contra o terrorismo internacional e a criminalidade grave são objectivos de interesse geral da UE, invocando também o artigo 6.º da CDFUE (que estabelece o direito à liberdade e à segurança). Neste sentido, a conservação de dados prevista nesta directiva, com o propósito de permitir o acesso a estes pelas autoridades competentes, respondia a um objectivo de interesse geral.

120 Por fim, era necessário analisar a proporcionalidade desta ingerência. O TJUE começou por dizer que este princípio exige “que os atos das instituições da União sejam adequados à realização dos objetivos legítimos prosseguidos pela regulamentação em causa e não excedam os limites do que é adequado e necess|rio { realizaç~o desses objetivos”.

A conservação dos dados foi considerada adequada à realização do objectivo prosseguido por esta directiva, porque “tendo em conta a crescente importância dos meios de comunicação eletrónica, os dados que devem ser conservados em aplicação desta diretiva permitem às autoridades nacionais competentes em matéria penal dispor de possibilidades suplementares de elucidação das infrações graves e, portanto, nesta perspetiva, constituem um instrumento útil nas investigações penais”.

Por outro lado, quanto à questão da necessidade, o TJUE considerou que o objectivo de interesse geral de luta contra a criminalidade organizada e o terrorismo n~o era suficiente para “justificar que uma medida de conservaç~o como a que foi instituída pela Diretiva 2006/24 seja considerada necessária para efeitos da referida luta”. Para além disso, acrescentou que no âmbito do respeito pela vida privada, a protecç~o deste direito implica “que as derrogações { proteç~o dos dados pessoais e as suas limitações devem ocorrer na estrita medida do necess|rio”, devendo esta directiva “estabelecer regras claras e precisas que regulem o âmbito e a aplicação da medida em causa e imponham exigências mínimas, de modo a que as pessoas cujos dados foram conservados disponham de garantias suficientes que permitam proteger eficazmente os seus dados pessoais contra os riscos de abuso e contra qualquer acesso e utilizaç~o ilícita dos mesmos”; esta questão era ainda mais importante tendo em conta que os dados pessoais seriam sujeitos a um tratamento automático e haveria um risco significativo de acesso ilícito a estes.

O TJUE acabou por concluir, no âmbito da ingerência operada por esta directiva, que não eram estabelecidas regras específicas que regulassem a extensão desta ingerência nos direitos fundamentais indicados nos artigos 7.º e 8.º da CDFUE e garantissem que esta se limitaria àquilo que era estritamente necessário.

121 Esta conclusão tem por base três grupos de razões, relacionados, naturalmente, com a formulação da própria directiva.

Em primeiro lugar, estavam em causa não só meios de comunicação electrónica de utilização muito frequente e considerados importantes na vida quotidiana dos indivíduos, mas também todos os assinantes e utilizadores registados (ou seja, “quase toda a populaç~o europeia”). Relativamente a este último ponto, o TJUE referiu que esta directiva abrangia “em geral, todas as pessoas que utilizam serviços de comunicações eletrónicas, sem que, no entanto, as pessoas cujos dados são conservados se encontrem, ainda que indiretamente, numa situação suscetível de dar lugar a ações penais. Assim, aplica-se mesmo a pessoas em relação às quais não haja indícios que levem a acreditar que o seu comportamento possa ter um nexo, ainda que indireto ou longínquo, com infrações graves”. Para além disso, e em ligação com este factor, criticou também o facto de esta directiva n~o se limitar, designadamente, “a uma conservaç~o nem de dados relativos a um período de tempo e/ou a uma zona geográfica determinada e/ou a um círculo de pessoas determinadas que possam estar implicadas, de uma maneira ou de outra, numa infração grave, nem de dados relativos a pessoas, cuja conservação, por outros motivos, pudesse contribuir para a prevenção, a deteção ou a repress~o de infrações graves”.

Em segundo lugar, o TJUE salientou o facto de não serem estabelecidos critérios objectivos que regulassem o acesso das autoridades nacionais competentes aos dados e a sua utilização (limitando o número de indivíduos com autorização de acesso e autorização), para além de que o artigo 4.º da directiva “n~o dispõe expressamente que este acesso e a utilizaç~o posterior dos dados em causa devem ser estritamente restringidos a fins de prevenção e de deteção de infrações graves delimitadas com precisão ou de ações penais contra as mesmas, limitando-se a dispor que cada Estado-Membro define os procedimentos que devem ser seguidos e as condições que devem ser preenchidas para se ter acesso aos dados conservados no respeito dos requisitos da necessidade e da proporcionalidade”.

Por fim, o TJUE criticou o facto de esta directiva não fazer, a propósito do período de conservação dos dados, uma distinção entre as categorias elencadas no

122 artigo 5.º “em funç~o da sua eventual utilidade relativamente ao objetivo prosseguido ou em funç~o das pessoas em causa”, acrescendo o facto de que não era especificamente afirmado que a determinação concreta deste período (que poderia, como já referimos, variar entre 6 meses e 2 anos) deveria ser feita tendo por base critérios objectivos, limitando-se, assim, ao estritamente necessário.

Assim, o TJUE concluiu que esta directiva não estabelecia regras específicas que regulassem “o alcance da ingerência nos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta”, implicando “uma ingerência nestes direitos fundamentais, de grande amplitude e particular gravidade na ordem jurídica da União, sem que essa ingerência seja enquadrada com precisão por disposições que permitam garantir que se limita efetivamente ao estritamente necess|rio”. Para além disso, e contrariamente ao que é exigido no artigo 8.º da CDFUE, não tinham sido definidas garantias suficientes ao nível da protecção dos dados conservados contra os riscos de abuso e acesso e utilização ilícita destes: não só o artigo 7.º da directiva não indicava regras que espelhassem a grande quantidade de dados em questão, o carácter sensível dos mesmos e o risco de acesso ilícito a estes, como também não tinha sido estabelecida para os Estados-Membros a obrigação de estabelecer este tipo de regras, e ainda não tinha sido igualmente prevista a obrigação de que os dados fossem conservados dentro do território da UE, o que poderia colocar em causa a fiscalização por uma entidade independente (tal como é estabelecido no n.º 3 do artigo 8.º da CDFUE) do respeito pelas exigências de protecção e segurança que estavam em causa.

Neste sentido, e tendo por base os artigos 7.º, 8.º e 52.º da CDFUE, o TJUE concluiu que esta directiva não respeitava os limites impostos pelo princípio da proporcionalidade, tendo sido declarada inválida.

123

3.2.2.3. O Acordo entre os Estados Unidos da América e a União