FACULDADE DE DIREITO
PRIVACIDADE E SEGURANÇA NO SETOR DAS
COMUNICAÇÕES ELETRÓNICAS
Maria Luísa Nóbrega Teixeira
Dissertação para obtenção do grau de Mestre em Direito Sob a orientação da Dra. Maria Margarida Correia de Barros Couto
Mestrado em Direito Administrativo Lisboa, 2016
Ao Francisco, ao João Miguel,
à minha Família e Amigos pelo vosso tão valioso e fiel suporte
À Dra. Margarida Couto o meu obrigada,
bem como à Dra. Inês Antas de Barros, por toda a ajuda
Para ti M.
ÍNDICE
Abreviaturas... 7
Introdução ... 8
PARTE I
ENQUADRAMENTO JURÍDICO EUROPEU SOBRE
PRIVACIDADE E SEGURANÇA DOS DADOS PESSOAIS
1. Diretiva 95/46/CE ... 102. Diretiva 2002/58/CE ... 11
3. Diretiva 2006/24/CE ... 14
3.1. Declaração de Invalidade da Diretiva 2006/24/CE pelo TJUE ... 17
4. Regulamento geral sobre a Proteção de Dados ... 23
PARTE II
NO DIREITO NACIONAL
1. Lei da Retenção de Dados - Lei 32/2008, de 17 de julho ... 28 2. Problematização ... 30 2.1. À luz da Diretiva Retenção Dados ... 30 2.2. Com a entrada em vigor do Regulamento Geral sobre a Proteção de Dados 36 2.3 A Constituição da República Portuguesa ... 39
Conclusões ... 41 Bibliografia ... 45
ABREVIATURAS
AEPD Autoridade Europeia para a Proteção de Dados CDFUE Carta dos Direitos Fundamentais da União Europeia
CEDH Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais
CNPD Comissão Nacional de Proteção de Dados
CRP Constituição da República Portuguesa de 2 de abril de 1976
DRD Diretiva Retenção de Dados (Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de março de 2006)
DRP Diretiva Proteção de Dados (Diretiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de outubro de 1995)
DUE Direito da União Europeia
LRD Lei da Retenção de Dados (Lei 32/2008, de 17 de julho)
RGPD Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de Abril de 2016) TEDH Tribunal Europeu dos Direitos Humanos
TJUE Tribunal de Justiça da União Europeia TUE Tratado da União Europeia
INTRODUÇÃO
A privacidade no sector específico das comunicações eletrónicas assume um papel extremamente relevante no contexto atual dado que todos somos produtores exaustivos de dados pessoais e estes são transversais à sociedade e a todas as atividades que realizamos. Esta constatação leva à necessidade de aplicação de várias políticas internacionais, europeias e nacionais com o objetivo essencial de proteger a privacidade do sujeito produtor destas mesmas informações.
O tema da privacidade complica-se/estreita-se quando se fala da segurança. No sector das comunicações eletrónicas tudo o que fazemos circula em redes e estas são altamente vulneráveis e passíveis de sofrer de violações de segurança e integridade. É a própria lei a reconhecê-lo quando impõe a sujeição das redes a determinados requisitos de segurança e pune a violação destes requisitos de acordo com uma certa metodologia e lógica. Esta proteção às redes advém, entre outros aspetos, do facto de os dados que nelas circulam poderem ser muito valiosos no que respeita à garantia de segurança dos Estados em temas como o combate à criminalidade grave e o terrorismo.
A tensão faz-se entre a privacidade e a segurança dos Estados e da sociedade. Nesta tensão, entre dois direitos de ampla dignidade, começou por vencer a privacidade em sentido estrito até que a Europa parece ter resolvido, ainda que sem o assumir expressamente, a favor da segurança dos Estados/combate à criminalidade grave e ao terrorismo. Este é o valor que, tudo visto e considerado, passa a prevalecer com o surgimento da Diretiva 2006/24/CE de 15 de março que, impondo a necessidade de proteger a segurança, obriga os operadores dos Estados-Membros a conservar todos os dados gerados pelos utilizadores de comunicações eletrónicas por um período que pode durar entre 6 a 24 meses. Sucede que, uns anos mais tarde, a Diretiva 2006/24/CE é declarada inválida com fundamento na violação de Direitos Humanos (no caso, o direito
à privacidade e à proteção dos dados pessoais), assim se revelando o caráter permanente e difícil desta tensão que se vive entre segurança e privacidade.
Recentemente foi publicado o Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados) cuja tónica volta a ser, sem margem para dúvidas, a proteção da privacidade e dos dados pessoais. Este Regulamento vem, não apenas revogar a Diretiva 95/46/CE do Parlamento Europeu e do Conselho de 24 de outubro de 19951, mas também, essencialmente, recordar a necessidade de proteção daqueles bens
fundamentais através de um rígido controlo face aos novos desafios que se apresentam nesta matéria. Porém, a convivência deste Regulamento com a Diretiva 24/2006/CE não é possível – ou pelo menos, não é fácil – já que os acentos tónicos de um e de outra são diversos e encontram-se em tensão.
Propomo-nos, neste trabalho, a fazer uma análise dos problemas relativos à tensão entre a privacidade e segurança enquanto questões relacionadas com direitos e liberdades fundamentais. Começaremos por considerar o valor da segurança por oposição ao da privacidade. De seguida, procuraremos compreender de que forma é que os legisladores, europeu e nacional, têm tratado do equilíbrio, ou não, entre estas duas questões fundamentais e analisaremos em que medida os tribunais nacionais podem hoje julgar com fundamento em considerações plasmadas na Lei 32/2008 de 17 de julho cuja aprovação assenta exclusivamente no ato de transposição daquela Diretiva declarada inválida pelo Tribunal de Justiça da União Europeia. De que forma isso é compatível com os princípios vigentes no nosso ordenamento jurídico sobretudo num contexto europeu em que a privacidade volta a estar na linha da frente não apenas pela declaração de invalidade da Diretiva 24/2006/CE mas também pela aprovação do Regulamento Geral sobre a Proteção de Dados? Por fim, consideraremos quais são os reflexos desta tensão para os Estados-Membros bem como para os operadores de comunicações eletrónicas e para o próprio utilizador e em que momento desta tensão nos encontramos.
PARTE I
ENQUADRAMENTO JURÍDICO EUROPEU SOBRE PROTEÇÃO E
PRIVACIDADE DOS DADOS PESSOAIS E A SEGURANÇA
1. Diretiva 95/46/CE
A Diretiva 95/46/CE relativa à proteção de dados das pessoas singulares, no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, constitui uma diretiva transversal a todos os sectores e contempla, essencialmente, a promoção de “um nível de segurança adequado em relação aos riscos que o tratamento apresenta e à natureza dos dados a proteger”2 de forma a alcançar a prossecução do seu objeto, ou
seja, “assegurar a proteção das liberdades e dos direitos fundamentais das pessoas singulares, nomeadamente do seu direito à vida privada”3. A sua transposição para o
direito nacional português fez-se através da Lei n.º 67/98, de 26 de outubro.
Esta Diretiva define dados pessoais como “qualquer informação relativa a uma pessoa singular identificada ou identificável («pessoa em causa»); é considerado identificável todo aquele que possa ser identificado, direta ou indiretamente, nomeadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social”4. Parece entender-se que são identificáveis, não apenas aqueles que o próprio
titular possa, pelos seus próprios meios identificar, mas que possa ainda identificar com recurso a meios que disponha um terceiro. É o caso dos dados tratados através da
2 Considerando 46 da Diretiva 95/46/CE 3 Artigo 1.º, n.º1 da Diretiva 95/46/CE 4 Artigo 2.º, alínea a) da Diretiva DPD
comunicação por Internet ou os dados do endereço do IP5 do utilizador.
No acórdão Lindqvist6 o Tribunal de Justiça da União Europeia (TJUE)
pronuncia-se acerca do seu entendimento sobre a noção de «dados pessoais» entendendo que “este conceito abrange, seguramente, o nome de uma pessoa a par do seu contacto telefónico ou de informações relativas às suas condições de trabalho ou aos seus passatempos”7.
Os limites para o tratamento e conservação de dados pessoais são, em princípio, delimitados em função do tipo de dados pessoais em causa, havendo dados que são considerados sensíveis porque são altamente sensíveis e porque são altamente reveladores da privacidade dos sujeitos a quem pertencem (filiação sindical, genética, de saúde, vida privada, raça, relativos a suspeitas de práticas ilícitas, infrações penais, contraordenações, etc.). A Constituição da República Portuguesa (CRP), a DPD e a Lei da Proteção de Dados, consagram uma proibição geral de tratamento de dados pessoais que revestem uma especial sensibilidade, sendo considerados dados sensíveis.
2. Diretiva 2002/58/CE
A diretiva 2002/58/CE do Parlamento Europeu e do Conselho de 12 de julho de 20028, é relativa ao tratamento de dados pessoais e à proteção da privacidade no sector
das comunicações eletrónicas. A sua transposição teve lugar através da Lei 41/2004 de 18 agosto, alterada pela Lei 46/2012 de 29 agosto.
5 Cada computador na Internet tem um único endereço IP (Internet Protocol) que indica a rede
através da qual o computador acede à Internet bem como o computador específico. Assim quando uma pessoa acede a uma página Web o seu computador fornece vários campos de informação ao computador do servidor. Para dois computadores na Internet comunicarem cada um tem de conhecer o IP do outro. O Grupo do Artigo 29.º considera que o IP é um dado relativo a uma pessoa identificável e, portanto, um dado pessoal (disponível em: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_pt.pdf)
6 Acórdão do STJ de 6 de novembro de 2003 (acórdão Lindqvist), processo C-101/01 disponível
em:http://curia.europa.eu/juris/showPdf.jsf;jsessionid=9ea7d0f130d5498e73c07d4646cc9130d1 8c4ba44e4f.e34KaxiLc3eQc40LaxqMbN4OchiRe0?text=&docid=48382&pageIndex=0&docla ng=PT&mode=lst&dir=&occ=first&part=1&cid=776538
7 Cfr. Caso Lindqvist, parágrafo 24
Este sector específico encontra o seu núcleo essencial nas chamadas redes de comunicações eletrónicas que são sistemas de transmissão e demais recursos que permitam o envio de sinais, independentemente do tipo de informação transmitida9.
Enquanto tipos de dados é possível distinguir os dados de tráfego10, dados de
localização11, dados de conteúdo e os dados de base/conexão.
Da relação entre as definições de dados pessoais e de redes de comunicações eletrónicas rapidamente verificamos que é possível aceder a toda e qualquer informação disponibilizada no contexto da prestação de um serviço de comunicações uma vez que esta informação é depositada na rede nela ficando registada até que seja apagada. A acrescer a este facto temos o constante “desenvolvimento dos mercados e das tecnologias de comunicações eletrónicas”12 e as “novas tecnologias que suscitam
requisitos específicos de proteção de dados pessoais e da privacidade do utilizador”13.
Porém, a diretiva não se abstém de relevar que a prossecução dos objetivos nela vertidos deverá ser conforme à Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais (CEDH) “segundo a interpretação da mesma na jurisprudência do Tribunal Europeu dos Direitos do Homem” (TEDH). Esta Diretiva não afasta a possibilidade de os Estados-Membros virem a intercetar legalmente algumas comunicações para a prossecução de objetivos conformes com a CEDH no entanto essas eventuais interceções deverão ser adequadas, rigorosamente proporcionais ao objetivo a alcançar e necessárias numa sociedade democrática14.
Os critérios de adequação, proporcionalidade e necessidade são essenciais para definição dos dados que, no âmbito desta diretiva, podem ou não ser armazenados ou intercetados sem que com isso se esteja a violar severamente direitos e liberdades fundamentais, como seja o direito à privacidade das pessoas singulares. A regra neste Diploma, no que concerne à conservação dos dados, é que estes devem ser eliminados ou tornados anónimos imediatamente após a comunicação. Atuam como exceção os
9 Artigo 3.º, alínea x) da Lei 5/2004, de 10 de fevereiro 10 Artigo 2.º, alínea b) da Diretiva e-Privacy
11 Artigo 2.º, alínea c) da Diretiva e-Privacy 12 Considerando 4 da Diretiva e-Privacy 13 Considerando 5 da Diretiva e-Privacy 14 Considerando 11 da Diretiva e-Privacy
casos em que exista consentimento15 do seu titular ou aqueles casos cujo fim seja defesa
do Estado, investigação criminal e/ou para efeitos de faturação e de pagamentos de interligação por um período limitado de tempo16.
Nos artigos 4.º e 5.º o legislador europeu tratou especificamente da previsão da segurança e da confidencialidade, respetivamente.
Não obstante a segurança de dados e a segurança de redes serem temas diferentes não é despicienda a referência à segurança das redes, feita pela diretiva 2002/58/CE uma vez que, os dados produzidos através de dispositivos de comunicações eletrónicas circulam nas redes, de onde decorre que da salvaguarda destas decorrerá, consequentemente, a proteção dos dados pessoais. Com vista à segurança do tratamento de dados, no n.º1 do artigo 4.º desta Diretiva, o legislador europeu vincula o prestador de serviços de comunicações eletrónicas a adotar as “medidas técnicas e organizativas adequadas para garantir a segurança dos seus serviços com vista à segurança das redes se necessário conjuntamente com o fornecedor da rede pública de comunicações no que respeita à segurança da rede. Tendo em conta o estado da técnica e os custos da sua aplicação, essas medidas asseguram um nível de segurança adequado aos riscos existentes”.
Esta referência a “um nível de segurança adequado aos riscos existentes” demonstra que o legislador não ignorou a existência dos especiais riscos que recaem sobre a conservação dos dados. No entanto, uma vez que a dimensão destes riscos seja devidamente calculada, poderão ser tomadas medidas complexas e da máxima segurança capazes de garantir que os dados pessoais estão conservados em ambiente hermético e, quando seja requerida a autorização, possam ser transmitidos às autoridades competentes17 em prol da finalidade exclusiva de investigação, deteção e
repressão de crimes graves18 e portanto para salvaguardar a segurança nacional e de
cada indivíduo.
15 Artigo 2.º, alínea f) da Diretiva e-Privacy
16 A este propósito vejam-se os considerandos 26, 27 e 28 da Diretiva e-Privacy 17 Artigo 9.º da Lei 32/2008 de 17 de julho
3. Diretiva 2006/24/CE
Esta Diretiva, de 15 de março de 2006, é relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, altera a Diretiva 2002/58/CE - geralmente conhecida como Diretiva Retenção de Dados (DRD) - e é transposta para o ordenamento jurídico português pela Lei n.º 32/2008, de 17 de Julho.
A retenção de dados é um tema onde a tensão entre a privacidade e a segurança, enquanto forma de combate à criminalidade, se torna bastante evidente. Na base da não resolução desta tensão está de certa forma o facto de a Diretiva 2006/24/CE de 15 de março ter levado a que fossem contraídas as liberdades pessoais e também impostos muitos ónus e encargos aos operadores de comunicações eletrónicas. Aqui chegados é de admitir que os Estados-Membros – ou pelo menos, certos Estados-Membros – tenham aceitado e implementado aquela compressão. Por ouras palavras, pode afirmar-se que, só resolveram a referida tensão a favor da afirmar-segurança porque estavam vinculados à transposição da Diretiva 2006/24/CE.
A retenção de dados tem como finalidade permitir que as autoridades nacionais competentes a eles possam ter acesso e satisfaz claramente um objetivo de interesse geral, nomeadamente a defesa contra a criminalidade grave e o terrorismo internacional. Num momento em que a ameaça à segurança dos Estados tem sido bastante séria os dados pessoais retidos e armazenados pelas redes de comunicações eletrónicas, se conservados, fornecem ou podem fornecer provas e evidências valiosas suscetíveis de auxiliar a investigação criminal em relação a crimes que, se a obrigação de retenção de dados não existisse não poderiam ser resolvidos.
No entanto impõe-se a questão de saber até que ponto é que as políticas públicas podem restringir ilimitadamente direitos, liberdades e garantias e em que medida a retenção de dados representa uma contração ao próprio direito à privacidade e à proteção de dados.
O uso generalizado e, muitas vezes, ilícito da internet associado a fenómenos como o do Big Data e da Internet das Coisas geram uma série de preocupações da maior importância. O avançado advento tecnológico e computacional a par com a era da
informação leva ao despertar da consciência individual que, por sua vez, influência a consciência coletiva de que podemos estar presentes a uma ameaça real aos direitos fundamentais que temos vindo a efetivar ou, em contrapartida, à segurança dos Estados. A Diretiva Retenção de Dados, surgida num contexto de multiplicação de legislações nacionais em matéria de combate ao terrorismo19, apresentou-se, em 2006,
com o propósito declarado de “harmonizar as disposições dos Estados-Membros em matéria de conservação de dados para efeitos de investigação, deteção e repressão de crimes graves, em particular de criminalidade organizada e terrorismo”20.
Neste sentido a DRD impõe a obrigação de os operadores dos Estados-Membros conservarem os dados de tráfego e de localização por um intervalo de tempo balizado entre 6 meses a 2 anos (excluindo, naturalmente, o conteúdo dessas comunicações), bem como de dados conexos necessários para identificar o assinante ou o utilizador de serviços de comunicações eletrónicas e disponibilizá-los, a pedido, às autoridades policiais para os efeitos supra referidos.
Na densificação das categorias de dados a conservar, a Diretiva prevê, em síntese, a obrigatoriedade de os Estados-Membros adotarem medidas que obriguem os fornecedores de serviços de comunicações eletrónicas a conservar os dados necessários para (i) encontrar e identificar a fonte de uma comunicação; (ii) encontrar e identificar o destino de uma comunicação; (iii) identificar a data, hora e duração de uma comunicação; (iv) identificar o tipo de comunicação e (v) identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento, tanto no que respeita a comunicações telefónicas nas redes fixa e móvel, como na Internet21.
A extensão do elenco de informação a conservar pode, num todo, fornecer informação muito precisa sobre os titulares dos dados retidos e não oferece qualquer distinção sobre a proporção de tempo de conservação em função do tipo de dados conservados e o mesmo se passa com os utilizadores que vêm os seus dados conservados sem que recaia sobre eles qualquer tipo de suspeita ou antecedente.
Outro tema essencial remete para as autoridades policiais dos Estados-Membros e
19 No rescaldo dos ataques terroristas em Madrid (2004) e em Londres (2005) 20 Artigo 1.º, n.º 1 da DRD
as autoridades de proteção de dados em geral que não estão em posição de saber se os dados precisos utilizados em investigações e processos foram armazenados pelos operadores, exclusivamente, a fim de cumprir a obrigação de retenção de dados. Não há nenhuma obrigação de armazenar separadamente os dados necessários para (a) fins comerciais, (b) efeitos do combate à «criminalidade grave», tal como referido na DRD, e (c) para fins de ordem pública diferentes do combate ao crime grave. As autoridades de supervisão não têm poderes de execução para determinar que dados são mantidos para que fins, embora, de acordo com um relatório do Grupo de Trabalho do artigo 29.º22,23, a separação pareça ser a norma na maioria dos Estados-Membros, como
Portugal cujo caso adiante analisaremos com maior detalhe24.
O Relatório de Avaliação sobre a Diretiva relativa à conservação de dados
(2006/24/CE) da Comissão ao Conselho e ao Parlamento Europeu sobre a DRD,
apresentado em Abril de 2011, concluiu que a União Europeia deve continuar a apoiar e a regular o armazenamento, acesso e utilização de dados de comunicações eletrónicas. No entanto, o relatório ressalva que as regras da União Europeia nessa matéria precisavam de ser melhoradas com o intuito de evitar que os diferentes operadores de redes de comunicações eletrónicas enfrentem obstáculos acrescidos e injustos no mercado interno e para garantir que os níveis elevados de respeito à privacidade e à proteção dos dados pessoais sejam aplicados consistentemente.
A falta de homogeneidade na transposição da DRD, por parte dos Estados-Membros, levanta sérias dificuldades aos operadores cujo âmbito territorial de atuação abranja mais do que um Estado-Membro porque passa a estar sujeito a diferentes regimes jurídicos em matéria de retenção de dados. Esta circunstância leva a que se
22 Article 29 Working Party Report 01/2010 ‘Report 01/2010 on the second joint enforcement
action: compliance at national level of telecom providers and ISPs with the obligations required from national traffic data retention legislation on the legal basis of article 6 and 9 of the Privacy Directive 2002/58/EC and the Data Retention Directive 2006/24/E amending the
e-Privacy Directive’, pg. 20, disponível em:
http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp172_en.pdf
23 O Grupo de Proteção, denominado “Grupo do Artigo 29.º”, está previsto nos artigos 29.º e
30.º da Diretiva 95/46/CE e assiste a Comissão Europeia na aplicação desta mesma Diretiva. Este Grupo tem caráter consultivo e é independente. O Artigo 30.º elenca as suas funções que, essencialmente, partem da análise de “quaisquer questões relativas à aplicação das disposições nacionais tomadas nos termos da presente diretiva, com vista a contribuir para a sua aplicação uniforme”.
24 Cfr. Statistics on Requests for data under de the Data Retention Directive, DG Home
torne pouco fácil para Estados-Membros, para o cidadão europeu e, no limite, para as autoridades competentes perceber por que período, de que forma e em que extensão os seus dados serão conservados nos demais Estados-Membros.
O artigo 7.º da CDFUE estabelece, respetivamente, que “todas as pessoas têm direito ao respeito pela sua vida privada e pelas suas comunicações”. O artigo 8.º da CDFUE releva que cada pessoa vê também assegurado o “direito à proteção dos dados de caráter pessoal que lhes digam respeito” relevando o n.º 2, desta última norma, que esses dados “devem ser objeto de um tratamento leal, para fins específicos e com o consentimento da pessoa interessada ou com outro fundamento legítimo previsto na lei. Todas as pessoas têm o direito de aceder aos dados coligidos que lhes digam respeito e de obter a respetiva ratificação”.
Legislar sobre temas que envolvem matérias tão sensíveis como são as comunicações eletrónicas, a proteção dos dados pessoais e a segurança dos Estados é uma tarefa que exige um juízo prévio dos bens a salvaguardar tamanha a delicadeza dos direitos e liberdades fundamentais em causa. Estas incongruências que temos vindo a salientar na Diretiva Retenção de Dados podem ser um instantâneo revelador de que não houve, por parte do legislador europeu, uma ponderação consistente e exata sobre o modelo prático de funcionamento da DRD e sobre as suas consequências.
3.1. Declaração de Invalidade da Diretiva 2006/24/CE pelo TJUE
O período de transposição da Diretiva Retenção de Dados, dado o seu vasto âmbito de aplicação, objetivo e subjetivo, pautou-se pelas constantes pronúncias de descontentamento acerca da sua desconformidade com o DUE ou com as Constituições nacionais. Não demorou até que estas pronúncias se fizessem acompanhar de concretas declarações de inconstitucionalidade de normas resultantes da transposição daquela diretiva como sucedeu na Bulgária (2008), Roménia (2009), Alemanha (2010), Chipre
(2011) e República Checa (2011)25,26.
São os reenvios prejudiciais, no âmbito dos processos apensos 293/12 e C-594/1227, que chamam o Tribunal de Justiça da União Europeia a pronunciar-se sobre a
validade da Diretiva à luz do Direito da União28.
As questões prejudiciais colocadas ao TJUE centraram-se na dúvida acerca da compatibilidade da Diretiva com os artigos 7.º, 8.º e 11.º da CDFUE e ainda sobre o artigo 52.º, também da CDFUE, sobre o respeito ao princípio da proporcionalidade e à necessidade de critérios objetivos e necessários à prossecução do fim em causa que é indispensável que seja de interesse geral.
Nesta decisão o Tribunal começou por proferir que os dados conservados ao abrigo desta Diretiva permitem, globalmente, mapear informações precisas sobre a vida privada dos titulares dos dados retidos, tal como os hábitos quotidianos, os locais
25Relatório de Avaliação sobre a Diretiva relativa à conservação de dados (2006/24/CE) da
Comissão ao Conselho e ao Parlamento Europeu sobre a DRD, apresentado em Abril de 2011: “O Tribunal Constitucional da Alemanha considerou que a conservação de dados gerava um sentimento de vigilância que poderia prejudicar o livre exercício dos direitos fundamentais. Reconheceu expressamente que a conservação de dados para fins estritamente limitados e com um nível suficientemente elevado de segurança dos dados não violaria, necessariamente, a Constituição da Alemanha. Contudo, salientou que a conservação desses dados constituía uma grave restrição ao direito à vida privada e que, consequentemente, só seria admissível em circunstâncias muito limitadas, e que um período de conservação de dados de seis meses seria o limite máximo («an der Obergrenze») do que poderia ser considerado proporcionalmente adequado (ponto 215). Os dados só podem ser pedidos nos casos em que exista já a suspeita da prática de uma infracção penal grave ou elementos que provem a existência de riscos para a segurança pública, devendo a sua extracção ser proibida relativamente a determinadas comunicações privilegiadas (nomeadamente as relacionadas com necessidades emocionais ou sociais) que têm por base a confidencialidade. Os dados deveriam §também ser cifrados, com uma supervisão transparente da sua utilização.”
Tribunal Constitucional da República Checa anulou a legislação de transposição com fundamento no facto de, tratando-se de uma medida que diz respeito a direitos fundamentais, a sua formulação não ser suficientemente clara e precisa. O Tribunal criticou a insuficiente limitação dos objectivos atendendo à escala e ao âmbito das exigências de conservação de dados. Alegou também a falta de uma definição rigorosa na legislação de transposição das autoridades competentes para aceder e utilizar os dados conservados, assim como os procedimentos adoptados para garantir a integridade e a confidencialidade dos dados.”, pg. 23
26 Sobre esta temática ver também: FRANZISKA BOEHM E MARK COLE, Data Retention after the
Judgment of the Court of Justice of the European Union, The Greens | European Free Alliance, 2014, pgs. 14 e ss
27 Sobre o conteúdo dos pedidos de decisão prejudicial veja-se os parágrafos 19 e 20 do
Julgamento da DRD.
28 Cf. Acórdão do TJUE de 8 de abril de 2014, disponível em:
http://curia.europa.eu/juris/document/document.jsf?text=&docid=150642&pageIndex=0&docla ng=PT&mode=lst&dir=&occ=first&part=1&cid=107259
permanentes ou temporários de residência, os seus movimentos diários, atividades desenvolvidas, relações sociais, bem como locais frequentados29.
Sobre as questões prejudiciais, que questionavam a conformidade com os direitos à reserva da intimidade da vida privada e ao direito à proteção de dados, o decisor europeu dá importantes esclarecimentos sobre a relação entre o alcance dos artigos 7.º e 8.º da CDFUE. O Tribunal reconhece a especial importância atribuída à conservação de dados para o combate à criminalidade grave, em particular ao crime organizado e ao terrorismo, para a garantia da segurança pública30.
O artigo 7.º da Diretiva vincula os Estados-Membros à adoção de “medidas técnicas e organizacionais adequadas contra a destruição acidental ou ilícita, a perda ou alteração acidental dos dados” o que leva o Tribunal a reconhecer que não há, por parte da Diretiva, violação do princípio consagrado no artigo 8.º CDFUE.
Pese embora exista uma “ingerência particularmente grave” os direitos consagrados no artigo 7.º da CDFUE, a Diretiva é expressa no que respeita à impossibilidade de conservação do conteúdo das comunicações. Esta ingerência tem, no entendimento do Tribunal, um objetivo de interesse geral31, dado que o seu objetivo
material tem como fim último a segurança pública. Afasta-se, então, a suscetibilidade de violar o “conteúdo essencial do direito fundamental à proteção de dados pessoais”.
No entanto, o Tribunal entende que a vantagem que resulta dos mecanismos previstos na Diretiva no âmbito da investigação criminal deste tipo de crimes não justifica a imposição de retenção de dados a um âmbito tão alargado de indivíduos e sem qualquer restrição subjetiva, geográfica ou temporal32.
A conservação de dados de comunicações eletrónicas tem mostrado ser um forte
29 Cfr. Paragrafo 26 do acórdão do TJUE de 8 de abril de 2014
30 Neste sentido e em desfavor do especial relevo dado à privacidade ROGER BROWNSWORD,
Consent in Data Protection Law: Fair Processing and Confidentiality, in“Reinventing Data
Protetion”, SERGE GUTWIRTH, YVES POULLET, PAUL DE HERT, CÉCILE DE TERWANGNE,
SJAAK NOUWT, Springer, pg.84
31 Cfr. FRANZISKA BOEHM E MARK COLE, Data Retention... op. cit., pags. 27 e ss.
32 Cfr. Acórdão 6-12-2015, no processo C-362/14, Caso Maximillian Schrems v. Data
Protection Commissioner disponível
em http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&do clang=PT&mode=lst&dir=&occ=first&part=1&cid=131912
aliado da “investigação, deteção e repressão de crimes graves” que forma o propósito original da DRD33. É evidente e inevitável que, para que esta intenção seja levada a
cabo com solidez, tenha que existir alguma ingerência ao conteúdo de direitos fundamentais, essencialmente aos direitos ao respeito pela vida privada e à proteção de dados pessoais34. Contudo, essa ingerência não pode ser de tal modo ampla e
indiscriminada, que se torne contrária ao princípio da proporcionalidade consagrado no Tratado da União Europeia (artigo 5.º do TUE)35.
Uma vez identificadas as disposições pertinentes, definido o seu âmbito de aplicação e analisado o nível de interferência com os direitos em demanda, cumpre ao Tribunal realizar um pormenorizado teste de proporcionalidade com vista às medidas da DRD36.
O Tribunal entende que a Diretiva respeita o princípio da adequação considerando, então, a conservação de dados um instrumento adequado ao objetivo prosseguido37.
Embora o TJUE tenha entendido que foram respeitados os conteúdos essenciais dos artigos 7.º e 8.º da CDFUE, considera que o facto de se obrigar os operadores à retenção de todos os dados de tráfego relativos a todos os meios de comunicações eletrónicas, que são hoje usados como elemento básico do quotidiano das pessoas, "implica uma interferência com os direitos fundamentais de praticamente toda a população europeia"38.
Como não há exceções incluídas na DRD, por exemplo, para pessoas que estão sujeitas a segredo profissional e, portanto, especialmente protegido por lei, a Diretiva
33 Evidence for necessity of data retention in the EU, Directorate-General (DG) Migration and
Home Affairs, European Comission, março 2013, pags. 9 e ss, disponível em: http://ec.europa.eu/dgs/home-affairs/pdf/policies/police_cooperation/evidence_en.pdf
34 Cfr. PAUL DE HERT AND S. GUTWIRTH, Data Protection in the Case Law of Strasburg and
Luxemburg, in“Reinventing Data Protetion”, SERGE GUTWIRTH, YVES POULLET, PAUL DE
HERT, CÉCILE DE TERWANGNE, SJAAK NOUWT, Springer, pg. 4
35 Sobre este princípio Cfr. FAUSTO DE QUADROS, Direito da União Europeia, Almedina, 2013,
pg.261.
36 Artigo 5.º, n.º 4 do TUE
37 Parágrafos 46-50 do acórdão do TJUE de 8 de abril de 2014 38 Parágrafo 56 do acórdão do TJUE de 8 de abril de 2014
Retenção de Dados não pode cumprir os requisitos da CDFUE39. O Tribunal exige
também uma maior correspondência entre o acesso aos dados e as condições materiais e processuais.
No caso S. and Marper v. United Kingdom40 o Tribunal Europeu dos Direitos
Humanos (TEDH) fornece importantes referências sobre a retenção de dados. Entende o TEDH que a retenção de dados deve ser proporcional ao objetivo da recolha e observa que “a proteção conferida pelo artigo 8.º da CEDH seria inaceitavelmente enfraquecida se o uso de técnicas científicas modernas no sistema de justiça criminal fossem autorizadas a qualquer custo e sem ponderar cuidadosamente os potenciais benefícios do uso extensivo de tais técnicas contra importantes interesses da vida privada."41. O
Tribunal é crítico no que concerne à particular prejudicialidade da natureza indiscriminada dos dados retidos42.
Outro argumento, centrou-se em torno do princípio da limitação da finalidade dado que a DRD não contém quaisquer limitações, nem prevê critérios objetivos, para determinar os limites de acesso das autoridades nacionais aos dados conservados ou à sua utilização subsequente43.
A este propósito, a Autoridade Europeia para a Proteção de Dados (AEPD) já havia afirmado, nas palavras de Peter Hustinx, que a Diretiva “não conseguiu harmonizar as legislações nacionais” e que a utilização dos dados44 conservados não se
limitava exclusivamente ao combate contra a criminalidade grave. A AEPD compeliu, sob estes fundamentos, a UE a adotar um enquadramento legislativo geral, que imponha aos operadores a obrigação de conservarem os dados e regule a forma como os Estados-Membros utilizam os dados para efeitos da aplicação da lei, de modo a criar segurança jurídica.
39 Parágrafo 58 do acórdão do TJUE de 8 de abril de 2014
40 Disponível em:
https://www.coe.int/t/dghl/standardsetting/dataprotection/Judgments/S.%20AND%20MARPER %20v.%20THE%20UNITED%20KINGDOM%20EN.pdf
41 Decisão do TEDH em S. e Marper, parágrafo 112 42 Decisão do TEDH em S. e Marper, parágrafo 124 43 Parágrafo 62 do acórdão do TJUE de 8 de abril de 2014
44 PETER HUSTINX, na Conferência “Taking on the Data Retention Directive”, 3 de Dezembro
de 2010, disponível em:
https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publica tions/Speeches/2010/10-12-03_Data_retention_speech_PH_EN.pdf
O Tribunal de Justiça da União Europeia considera que o período de obrigação de retenção de 6 a 24 meses não fornece qualquer forma de diferenciação, por exemplo, através da criação de diferentes categorias de dados e do seu valor para atingir o objetivo, e a consequência que isso tem para a duração da retenção de dados. Esta falta de regras claras e precisas levou o TJUE a concluir que a DRD estabeleceu uma ampla e particularmente grave interferência com os direitos fundamentais decorrentes dos artigos 7.º e 8.º CDFUE que se mostra injustificada à luz do critério de necessidade. O Tribunal entende ainda que, contrariamente ao disposto no artigo 8.º, n.º3 da CDFUE, a DRD não garante um grau particularmente elevado de proteção e de segurança revelando falta de mecanismo de controlo e fiscalização45. Com a fiscalização
pretende-se assegurar a conformidade com as regras que regem a integridade e confidencialidade dos dados armazenados e, de acordo com o TJUE, esta só pode ser realizada com base no direito da UE.
Para garantir a plena eficácia de controlo, a supervisão tem de ter lugar no território da UE o que sugere que os servidores que contêm os dados armazenados tenham que estar localizados no território da União e que existam, pelo menos, disposições capazes de regrar a localização dos dados. Consequentemente, o armazenamento de dados fora da UE que seria possível ao abrigo das normas da DRD não preenche os requisitos do artigo 8.º CDFUE46.
São argumentos como a ausência de critérios objetivos para a definição dos prazos aplicáveis à conservação dos dados, de adaptação desse período às categorias de dados existentes ou da inexistência de mecanismos que previnam eventuais situações de abuso da informação assim recolhida, e, portanto, de recolha indiscriminada de dados, que levam o Tribunal a concluir que a Diretiva é inválida por violar os direitos à reserva da intimidade da vida privada e à proteção de dados pessoais e ao princípio da proporcionalidade – ao abrigo das normas dos artigos 7.º, 8.º e 52.º, n.º 1 da CDFUE.
Da falta de limites e regras rígidas sobre a aplicação de medidas de recolha e conservação de dados ou, pelo contrário, da existência de critérios pouco cautelosos
45 Parágrafos 67 e 68 do acórdão do TJUE de 8 de abril de 2014 46 Parágrafos 65 e ss acórdão do TJUE de 8 de abril de 2014
para os levar a cabo, podem resultar frontais agressões ao conteúdo dos direitos fundamentais previstos na CDFUE, CEDH e mesmo no direito nacional dos Estados-Membros obrigados à transposição da Diretiva Retenção de Dados.
4. Regulamento geral sobre a Proteção de Dados
O Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados -RGPD) do Parlamento Europeu e do Conselho de 27 de Abril de 201647 é relativo à
proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados revogando assim a Diretiva 95/46/CE do Parlamento Europeu e do Conselho.
O Regulamento Geral sobre a Proteção de Dados, publicado dia 4 de maio de 2016, é aplicável a todos os setores e a todas as entidades públicas e privadas que procedam ao tratamento de dados pessoais. Sumariamente o RGPD traz consigo novas obrigações e algumas modificações que vão levar os temas da proteção de dados e da privacidade a serem tratados de forma diferente. Do texto do Regulamento é fácil inferir que a privacidade e a proteção de dados passarão necessariamente a estar na “ordem do dia” para as empresas e organizações que se movam nesta área.
A existência de regras comuns na União Europeia dissipa em grande parte o risco de existência de diferentes níveis de proteção da privacidade e dos dados pessoais nos Estados-Membros. Um instrumento de aplicação direta, como é o Regulamento, reduz precisamente o risco de surgimento de problemas motivados por modelos fragmentados ao nível das legislações nacionais.
O disposto neste Diploma é aplicável também às empresas que não estejam estabelecidas na União Europeia; assim, bastará que a sua atividade de tratamento de dados foque a oferta de bens e serviços aos titulares de dados pessoais na União Europeia.
47 Disponível em:
O Regulamento dá uma nova roupagem, clarificada, do conceito de dados pessoais48 o que resulta na atribuição, ou pelo menos na consolidação legal, de uma
panóplia de direitos aos titulares dos dados. Nestes novos direitos incluem-se: i) Adoção de consentimento explícito do titular dos dados (opt-in)49
ii) Direito ao apagamento dos dados (“direto a ser esquecido”)50
iii) Direito à portabilidade dos dados51
iv) Direito de oposição à definição de perfis (profiling)52
Foram também introduzidos novos princípios e conceitos que passarão a assegurar o respeito pela privacidade como privacidade desde a conceção (privacy by design) e a privacidade por defeito (privacy by default)53 e ainda a pseudonimização54 dos dados.
Outra novidade trazida pelo Regulamento é a responsabilização das empresas que tratam dados pessoais ou a obrigação de prestação de contas. Nesta matéria destacam-se a obrigação de manutenção de registos por responsáveis pelo tratamento de dados (controllers) e subcontratantes (processors)55; cooperação com as autoridades de
supervisão; avaliações de impacto sobre a proteção de dados (privacy impact
assessment)56; e a consulta prévia com as autoridades de proteção de dados no prazo de
72h após a detecção de um incidente de privacidade (data breach notification)57.
O responsável pelo tratamento dos dados pessoais deve criar mecanismos de
compliance (conformes com o Regulamento) que sejam eficazes. Em caso de
incumprimento as penalizações são, agora, incomparavelmente mais severas, podendo atingir 20.000.000€ ou 4% do volume de negócios anual a nível mundial58.
A nomeação de um encarregado de proteção de dados (data protection/privacy 48 Considerando 1 do RGPD 49 Considerando 11 do RGPD 50 Considerandos 65 e 66 do RGPD 51 Artigo 13.º, n.º2, alínea b) do RGPD 52 Considerandos 30 e 70 e seguintes 53 Artigo 25.º do RGPD 54 Considerando 5 do RGPD 55 Considerando 12 do RGPD 56 Considerando 84 do RGPD 57 Considerando 61 e artigo 30.º do RGPD 58 Artigo 83.º, n.º5 do RGPD
officer)59, apesar de não ser uma absoluta inovação60, será obrigatória nos casos
descritos no artigo 37.º, n.º 3 do RGPD e o incumprimento desta obrigação poderá levar à aplicação de coimas que poderão chegar até a 10.000.000€ ou a 2% do volume de negócios anual a nível mundial61.
5. A tensão entre a privacidade e a segurança
Uma vez descritos estes Diplomas é relevante proceder a uma articulação entre eles para que exista um verdadeiro enquadramento e, principalmente, para seja clara a tensão e, por vezes, o desequilíbrio com que têm sido tratados os temas da privacidade e segurança no seio da União Europeia.
A Diretiva 95/46/CE, que era transversal a todos os setores, constituía uma Diretiva totalmente virada para o respeito pela vida privada e pela segurança dos dados pessoais. Esta Diretiva tem sido a chave mestra da União Europeia em matéria de privacidade durante os seus mais de 20 anos de vigência e teve por objetivo a defesa do direito fundamental à privacidade e à proteção de dados pessoais.
O setor das comunicações eletrónicas, diferente de todos os outros setores, tem um regime de proteção da privacidade especial em relação ao regime geral, ou seja, a Diretiva 2002/58/CE (conhecida como Diretiva e-Privacy) regula especificamente o tema do tratamento de dados pessoais e da proteção da privacidade neste particular setor.
A tensão que ocupa o tema central desta dissertação surge em 2006, com a Diretiva 2006/24/CE (Diretiva Retenção de Dados – DRD), adotada depois dos ataques terroristas em Espanha e no Reino Unido. Esta diretiva surge, ainda que de forma não assumida, em sentido contrário ao da Diretiva 2002/58/CE. Enquanto a diretiva e-Privacy tinha imposto regras muito restritas de proteção da privacidade e, como regra, proibia o armazenamento dos dados dos utilizadores de comunicações eletrónicas; a Diretiva Retenção de Dados vem fazer precisamente o contrário impondo a necessidade
59 Artigos 37.º e seguintes do RGPD
60 Já se previa a titulo facultativo nos artigos 18.º, n.º 2; e 20.º, n.º2, da Diretiva 95/46/CE 61 Artigo 83.º, n.º4, alínea a) do RGPD
de retenção de dados – de uma panóplia imensa de dados – por um período entre 6 a 24 meses.
Esta diretiva causou grande clamor na Europa, principalmente junto do lobby defensor da privacidade. Foram interpostas ações junto do Tribunal de Justiça da União Europeia que consideravam que esta Diretiva era contrária ao Direito da União Europeia e aos Direitos Fundamentais por ele consagrados. Posto isto, o TJUE veio declarar a invalidade da Diretiva com fundamento na violação dos direitos fundamentais à privacidade e da proteção dos dados pessoais.
Aqui chegados, podemos afirmar que a Diretiva Retenção de Dados surge quase que em contramão à diretiva e-Privacy no sentido de que a primeira vem alargar o espectro de proteção da segurança dos Estados quando, até então, a primazia era dada à privacidade, à confidencialidade e proteção dos dados pessoais. Recorde-se, na verdade que a regra, na Diretiva e-Privacy, é a de que os dados devem ser eliminados ou, pelo menos, tornados anónimos logo após a comunicação, regra essa que comporta limitadas exceções.
Desta mudança de paradigma não decorre que os legisladores nacionais tenham que revogar as legislações nacionais, apesar de estas serem tributárias da Diretiva Retenção de Dados e de as suas normas serem análogas às da DRD. Esta circunstância suscita algumas questões em matéria de respeito pelos direitos fundamentais62,63 estabelecidos pelas Constituições dos Estados-Membros, pela Carta
62A este propósito Cfr. STEFANO RODOTÀ, Data Protection as a Fundamental Right in “Reinventing Data Protection”, SERGE GUTWIRTH, YVES POULLET, PAUL DE HERT, CÉCILE DE
TERWANGNE, SJAAK NOUWT, Springer, pg. 78: “Nowadays one can safely maintain that the
mental privacy, the most intimate sphere is being threatened, violating person's most secluded dimension. After 9/11, "privacy in the age of terror" would appear to be doomed. Not only is privacy no longer regarded as a fundamental right; in fact, it is too often considered a hindrance to security and overridden by emergency legislation.
Reality is becoming increasingly estranged from the fundamental rights framework. Firstly, after 9/11 many reference criteria changed and guarantees were reduced everywhere in the world, as shown, in particular, by the Patriotic Act in the USA and the European decisions on transfer of airline passenger data to the US as well as on the retention of electronic communications data. Secondly, this trend towards downsizing in the general scenario - such as those related to business. Thirdly, the new technological opportunities make continuously available new tools for classification, selection, social sorting and control of individuals, which are resulting in a veritable technological drift that national and international authorities are not always capable to adequately counter”.
63 Este posicionamento de que falamos não se reflete apenas na esfera da União Europeia mas
também se reflete nos acordos internacionais estabelecidos entre a União e outros países como seja o Passenger Name Records (PNR): Em Janeiro de 2003 as companhias aéreas europeias
dos Direitos Fundamentais da União Europeia (CDFUE) e pelo próprio Tratado da União Europeia (TUE) na medida em que, mesmo tratando-se de normas desconformes com o DUE e com o Direito Constitucional de vários Estados-Membros, essas normas permanecem sem que exista a obrigatoriedade da sua revogação.
A recente aprovação do Regulamento Geral sobre a Proteção de Dados vem dar ainda mais força aos valores da privacidade e proteção de dados na União. Este Diploma vem acrescentar rigidez nas medidas, uma atualização à luz dos novos modelos tecnológicos e novidade à Diretiva que revoga – a Diretiva 95/46/CE o Parlamento europeu e do Conselho – aspetos que, associados à desnecessidade de transposição por parte dos Estados-Membros, podem garantir uma harmonização das legislações nacionais.
com destino aos EUA passaram a estar vinculadas pelos Estados Unidos a dar às autoridades alfandegárias o acesso electrónico aos dados contidos nas suas reservas automáticas e sistemas de controlo de partidas, referentes aos registos dos nomes dos passageiros. Note-se que o PNR engloba um, absolutamente desproporcionado e evasivo da privacidade, conjunto de 34 campos de dados compreendidos desde o nome e endereço a números de telefone e dados bancários sem que, para isto, a UE detenha quaisquer garantias da proteção de dados dos seus cidadãos. No acórdão do TJUE de 30 de Maio de 2006, nos processo apensos de C-317/04 e C-318/04
(disponível em:
http://curia.europa.eu/juris/showPdf.jsf?text=&docid=57549&pageIndex=0&doclang=PT&mod e=lst&dir=&occ=first&part=1&cid=789103) o TJUE decidiu Decisão 2004/496/CE do Conselho e a Decisão 2004/535/CE da Comissão são anuladas. Sobre esta matéria veja-se ainda: Parecer 2/2004 sobre o nível de proteção adequado dos dados pessoais contidos no PNR de passageiros aéreos e destinados a ser transferidos para o Bureau of Customs and Border
Protection (CBP) dos Estados Unidos, disponível em:
PARTE II
NO DIREITO NACIONAL
1. Lei da Retenção de Dados - Lei 32/2008, de 17 de julho
A Lei n.º 32/2008, de 17 de Julho, transpôs para o ordenamento jurídico nacional a chamada DRD. Este Diploma legal nacional veio obrigar os operadores de comunicações eletrónicas que operam em Portugal a proceder à retenção de dados “gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações”64.
Os artigos 1.º e 3.º, n.º1 da Lei da Retenção de Dados (LRD) determinam que o objetivo, último e “exclusivo” desta, será a “investigação, deteção e repressão de crimes graves”. A alínea g) do artigo 2.º, elenca um conjunto de crimes que se subsumem ao conceito de “crime grave”. Entre nós não resulta claro que estejamos perante um elenco taxativo o que é uma evidência de insegurança jurídica. Dada a elevada sensibilidade dos dados conservados, assume uma importância central conhecer-se, taxativa e exaustivamente, as razões que levam à transmissão dos dados às autoridades.
Em Portugal, como resulta da alínea f) do artigo 2.º da LRD, são “autoridades competentes”, para a investigação, deteção e repressão, no que concerne à Lei em análise, as autoridades judiciárias e de polícia criminal que estão taxativamente elencadas naquele preceito. A transmissão dos dados65 deve ser autorizada por despacho
judicial, se houver razões para crer que a diligência é indispensável para a descoberta da
64 Artigo 1.º da Lei da Retenção de Dados 65 Artigo 9.º da LRD
verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter66. A
decisão judicial de transmitir os dados deve respeitar os princípios da adequação, necessidade e proporcionalidade67 e apenas os dados relativos aos sujeitos descritos nas
alíneas a), b) e c) do n.º 3 do artigo 9.º podem ser transmitidos.
As regras para que os dados possam ser transmitidos acima descrita não invalida que os dados de todo e qualquer utilizador de comunicações eletrónicas estejam a ser conservados. O artigo 4.º LRD enuncia as “categorias de dados a conservar” e, a este propósito, cumpre referir que da junção de todos estes dados resulta uma fácil aferição do perfil do utilizador e das suas atividades quando passem pela utilização de serviços de comunicações eletrónicas. Esta situação, nestes moldes, parece evidenciar alguma desconformidade com os direitos fundamentais não apenas protegidos pelo DUE, como já verificámos, mas também na própria Constituição da República Portuguesa como adiante veremos.
Esta referência não é despicienda porque o próprio conceito de proteção de dados surge na Alemanha – com o nome datenschutz – num momento em que esta se encontrava bastante traumatizada com episódios da Segunda Guerra mundial em que as informações pessoais, isto é, o conhecimento dos dados pessoais dos cidadãos foram cruciais para sacrificar os direitos fundamentais dessas pessoas.
Portugal está entre os Estados-Membros que estabeleceram um prazo único de conservação para todas as categorias de dados: 1 ano68.
A Lei 32/2008 respeita os quatro princípios impostos pela Diretiva Retenção de Dados, ou seja, (i) serem dados da mesma qualidade e estarem sujeitos à mesma proteção e segurança que os dados na rede [pública de comunicações], (ii) objeto de
66 Artigo 9.º, n.º1 da LRD 67 Artigo 9.º, n.º4 da LRD
68 Artigo 6.º da LRD. Malta, por exemplo, procedeu a uma distinção, em nosso entendimento,
bastante acertada sendo que a conservação dos dados será de 1 ano para as comunicações telefónicas (redes fixa e móvel) e de 6 meses para os dados de acesso à Internet, correio electrónico através da Internet e comunicações telefónicas através da Internet.
medidas técnicas e organizativas adequadas que os protejam da destruição acidental ou ilícita, da perda ou alteração acidental ou do armazenamento, tratamento, acesso ou divulgação não autorizado ou ilícito, (iii) objeto de medidas técnicas e organizativas adequadas para garantir que apenas pessoas especialmente autorizadas tenham acesso aos dados, (iv) e destruídos no final do período de conservação, exceto os dados que tenham sido facultados e conservados69. Entre nós, a autoridade pública de controlo
competente para o controlo de segurança e proteção de dados pessoais é a Comissão Nacional Proteção de Dados (CNPD).
Além do respeito pelos princípios impostos pela Diretiva 24/2006/CE entendemos que o legislador nacional foi cauteloso e considerou as necessárias e indispensáveis medidas de segurança inerentes a uma conservação de dados deste conteúdo prevendo, por exemplo, a necessidade de conservação destes ficheiros separadamente dos demais70. A Lei 32/2008 não se limitou à mera transposição da Diretiva 2006/24/CE,
introduzindo uma densa moldura de regulamentação do processo de retenção de dados e exemplo disso são as medidas previstas nas alíneas b), d) e e) do artigo 7.º.
Esta perspetiva positiva pode levar a crer que as questões que levam o TJUE a declarar a invalidade da diretiva poderiam já estar completamente consideradas e resolvidas pelo legislador nacional induzindo ao entendimento que a que a decisão de invalidade não se espelhasse na Lei da Retenção de Dados.
2. Problematização
2.1. À luz da Diretiva Retenção Dados
Com a declaração de invalidade da Diretiva 2006/24/CE pelo TJUE, levantam-se várias questões quanto ao âmbito de eficácia do acórdão em causa, além disso, é necessário saber com que extensão e em que parâmetros esta decisão vincula os
69 Artigo 7.º da DRD e artigo 7.º da LRD
70 As condições técnicas e de segurança são acauteladas pela Portaria 469/2009, de 6 de
maio, disponível em:
tribunais ou autoridades portuguesas.71
A decisão resultou das questões prejudiciais (artigo 267.º do TFUE) colocadas pelo Supremo Tribunal Irlandês e pelo Tribunal Constitucional Austríaco. Esta circunstância implica que a Diretiva Retenção de Dados não se encontre afastada da ordem jurídica, uma vez que, para que tal sucedesse, seria exigido que a decisão do Tribunal tivesse resultado de um recurso de anulação já que, apenas nessa circunstância, produziria efeitos erga omnes (artigo 263.º do TFUE)72,. Conclui-se, então, que o juízo
do TJUE não se traduziu numa declaração com força obrigatória geral e, por isto, a DRD permanece vigente.
Consequentemente, a relação entre a decisão do Tribunal de Justiça e a vigência da Lei n.º32/2008, de 17 de julho, é claramente dissociável dado que a validade dos atos nacionais só pode ser apreciada pelos tribunais nacionais ainda que a sua existência se consubstancie no ato de transposição de uma Diretiva entretanto declarada inválida. Ainda pelo facto da decisão ter sido proferida em sede de reenvio prejudicial, coloca-se a questão de esta só produzir efeitos entre as partes envolvidas nos processos nos quais foram colocadas as competentes questões prejudiciais, pelo que, qualquer vinculação de órgãos portugueses (legislativos, jurisdicionais ou administrativos) a esta decisão, será posta de parte.
Colocadas estas questões iniciais, cumpre salientar que esta última, relativa à não vinculação dos Estados-Membros não envolvidos como parte no processo, assume um carácter altamente teórico, desde logo, porque a partir 8 de abril de 2014 (e com efeitos que retroagem à data de entrada em vigor da Diretiva, 3 de maio de 2006) passa a ser evidente o entendimento do TJUE em relação a quaisquer medidas tomadas no sentido de obrigar os operadores de serviços de comunicações eletrónicas a conservar dados de tráfego e de localização para efeitos da sua possível transmissão a autoridades
71 Cfr. MARIA JOSÉ RANGEL DE MESQUITA, A União Europeia após o Tratado de Lisboa,
Almedina, 2010, pgs. 153 e ss.
72 Neste sentido Cfr. FAUSTO DE QUADROS, Direito da União Europeia, Almedina, 2013, pg.
592 quando escreve: “ (...) ao abrigo do artigo 267.º o TJ pronuncia-se só a titulo prejudicial sobre a validade dos atos e das normas aí referidos, em resposta ao juiz nacional, pelo que os efeitos do acórdão prejudicial não podem ser confundidos com os do acórdão proferido pelo TJ sobre a validade de uma norma ou de um ato num processo de recurso de anulação, regulado pelo artigo 263.º TFUE”, mesmo que “o bloco de legalidade utilizado que serve de padrão para a apreciação da validade pelo TJ a titulo prejudicial é o mesmo que ele utiliza para decidir, a titulo principal, sobre a validade da norma ou do ato, no quadro de recurso de anulação (...)”.
criminais (nos termos em que o faz a Diretiva 2006/24/CE), isto é, o TJUE é do entendimento que aquelas medidas são contrárias aos princípios basilares do Direito da União.
Sendo as disposições da Lei n.º 32/2008, de 17 de julho maioritariamente análogas às que podemos ler na Diretiva Retenção de Dados pode concluir-se que esta Lei não respeita integralmente o DUE. No entanto, no campo legislativo, não se manifestou qualquer necessidade de modificação das normas nacionais nem foi impulsionada nenhuma iniciativa legislativa neste sentido. Além disto, os tribunais portugueses deverão partir do princípio de que a Diretiva 2004/26/CE constitui um ato inválido, isto sem prejuízo de, e ainda de acordo com aquela jurisprudência, qualquer tribunal poder a vir colocar de novo questões ao Tribunal de Justiça relativas à validade da Diretiva.
No nosso entender, tendo a Diretiva 2006/24/CE sido considerada contrária ao Direito da União, seria no mínimo desejável que tivesse lugar uma significativa modificação da Lei da Retenção de Dados, de modo que exista uma adequação da mesma ao princípio da proporcionalidade e aos direitos à reserva da intimidade da vida privada, à proteção de dados pessoais, que fundamentam a decisão do TJUE. Desde logo, porque o princípio do Primado do Direito da União Europeia deveria conduzir à não aplicação de normas que lhe sejam desconformes.
É certo que a conservação de dados pessoais, focada na segurança dos Estados e no combate à criminalidade, pode ser entendida como uma valiosa forma de antecipação do risco, isto é, como uma medida preventiva. Com este fim em vista não seria muito coerente, justifica a corrente que partilha deste entendimento, que houvesse uma retenção de dados discriminada de tal forma limitativa, que conduzisse ao seu esvaziamento do seu efeito útil. Esta postulado assenta na ideia de que, se houver alguma discriminação ou limitação dos dados pessoais a reter, por um lado, e distinção entre os cidadãos sujeitos à retenção desses dados pessoais, por outro, a interceção de comunicações, por exemplo, seria um meio mais que adequado e suficiente. Trata-se, no fundo, de partir do princípio de que a retenção de “todos os dados, em relação a todos os cidadãos” pode vir a ser “a única forma de descobrir quem praticou um determinado
crime”73.
A questão que aqui se coloca é o carácter excessivo de uma Lei que impõe um constrangimento cego da privacidade no âmbito das comunicações eletrónicas de todos os cidadãos. Isto porque, em Portugal, continuamos a fazer uma escolha legislativa pela segurança em detrimento da privacidade e isso, claramente, não está em linha com aquelas que são as ideias comunitárias e, mormente, com o ideário constitucional nacional.
Cumpre questionar como é que temos uma Constituição que reconhece inequivocamente o direito à privacidade colocando-o num patamar mais elevado e, por outro lado, admitimos que uma lei, que decorre de uma diretiva inválida e que inverte este posicionamento quanto aos direitos fundamentais na figura de direitos, liberdades e garantias, continue a ser aplicável.
Como é que se justifica e legitima a aplicação da Lei 32/2008, bem como a realidade de termos uma Lei que está, pelo menos num certo sentido, em contraciclo com aqueles que são os nossos princípios constitucionais? O tema dos dados pessoais informatizados encontra-se estreitamente ligado aos direitos constitucionalmente consagrados como o da privacidade e segurança dos dados pessoais (temas sobre os quais nos ocupamos neste estudo). Esta última afirmação sugere duas questões fundamentais: que categorias de dados poderão ser recolhidos e conservados e qual é a dimensão da ingerência que se pode admitir, sem que com isso constitua uma agressão aos “bens constitucionais”74.
A defesa do Estado bem como o combate à criminalidade são bens constitucionalmente protegidos cuja proteção pode dar lugar ao instituto de restrição aos direitos, liberdades e garantias (artigo 18.º da CRP) permitindo o acesso de terceiros e interconexão de dados. Atente-se, portanto, que o legislador constitucional pretendeu
73 Neste sentido o entendimento do Gabinete CIBERCRIME do Ministério Público in NOTA
PRÁTICA no 7 / 2015 30 de Dezembro de 2015, Retenção de dados de tráfego e Lei no 32/2008, de 17 de julho, disponível em: http://cibercrime.ministeriopublico.pt
74 Cfr. GOMES CANOTILHO E VITAL MOREIRA, Constituição da República Portuguesa Anotada,
consagrar o caráter excecional de qualquer ingerência.
Qualquer comunicação envolve troca de mensagens, de sinais. Então, até o mais elementar ato de comunicação envolve, necessariamente, sujeitos com um direito constitucionalmente positivado à privacidade, confidencialidade e à proteção dos dados pessoais. Neste sentido não defendemos que a retenção de dados, em si mesma, seja inconstitucional, defendemos sim que a recolha e conservação de dados indiscriminadamente deverá permanecer na exceção e não na regra.
(i) Os Tribunais nacionais
Pode colocar-se a questão de saber se o Estado Português reúne o requisitos necessários para uma possível condenação, em sede de ação de incumprimento (artigos 258.º e 260.º do TFUE), motivada pelo facto de manter na ordem jurídica um Diploma desconforme com o Direito da União, com fundamento no facto de proceder à transposição de uma Diretiva declarada inválida pelo Tribunal de Justiça. Ainda nesta matéria, é da máxima importância a questão de saber se os atos praticados ao abrigo da Lei n.º 32/2008 podem, agora, ser sindicados no âmbito de processos em curso ou já transitados. A resposta a estas questões parece-nos negativa à luz do direito nacional dado que, a invalidade de uma diretiva, não tem efeito automático e, portanto, o facto de não se ter revogado a Lei nacional não constitui qualquer incumprimento.
A decisão do Tribunal de Justiça em nada afeta assim a Lei 32/2008 e a sua validade. No entanto, como já tivemos oportunidade de referir, o princípio do primado do direito europeu sobre o direito nacional faz com que possamos defender a solução inversa, isto é, a posição de que as autoridades públicas incorrem no dever de desaplicação das normas que se mostrem contrárias ao DUE.
Os tribunais portugueses não deverão afastar a aplicação da Lei 32/2008. No entanto, o Tribunal Constitucional português, uma vez solicitado para o efeito poderá dar a sua pronuncia positiva quanto à inconstitucionalidade da Lei da Retenção de Dados. Como não o fez até agora – nem foi convidado a fazê-lo – o entendimento
