ACÓRDÃO DO TRIBUNAL DE JUSTIÇA (Grande Secção)
10 de Fevereiro de 2009 (*)
«Recurso de anulação – Directiva 2006/24/CE – Conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas – Escolha da base jurídica»
No processo C‑301/06,
que tem por objecto um recurso de anulação nos termos do artigo 230.° CE, entrado em 6 de Julho de 2006,
Irlanda, representada por D. O’Hagan, na qualidade de agente, assistido por E. Fitzsimons, D. Barniville e A. Collins, SC, com domicílio escolhido no Luxemburgo,
recorrente,
apoiada por:
República Eslovaca, representada por J. Čorba, na qualidade de agente,
interveniente,
contra
Parlamento Europeu, representado inicialmente por H. Duintjer Tebbens, M. Dean e A. Auersperger Matić e, em seguida, por estes dois últimos e K. Bradley, na qualidade de agentes, com domicílio escolhido no Luxemburgo,
Conselho da União Europeia, representado por J.‑C. Piris, J. Schutte e S. Kyriakopoulou, na qualidade de agentes,
recorridos,
apoiados por:
Reino de Espanha, representado por M. A. Sampol Pucurull e J. Rodríguez Cárcamo, na qualidade de agentes, com domicílio escolhido no Luxemburgo,
Reino dos Países Baixos, representado por C. ten Dam e C. Wissels, na qualidade de agentes,
Comissão das Comunidades Europeias, representada por C. Docksey, R. Troosters e C. O’Reilly, na qualidade de agentes, com domicílio escolhido no Luxemburgo,
Autoridade Europeia para a Protecção de Dados, representada por H. Hijmans, na qualidade de agente,
intervenientes,
O TRIBUNAL DE JUSTIÇA (Grande Secção),
composto por: V. Skouris, presidente, P. Jann, C. W. A. Timmermans, A. Rosas e K. Lenaerts, presidentes de secção, A. Tizzano, J. N. Cunha Rodrigues (relator), R. Silva de Lapuerta, K. Schiemann, J. Klučka, A. Arabadjiev, C. Toader e J.‑J. Kasel, juízes,
advogado‑geral: Y. Bot,
secretário: C. Strömholm, administradora,
vistos os autos e após a audiência de 1 de Julho de 2008,
ouvidas as conclusões do advogado‑geral na audiência de 14 de Outubro de 2008,
profere o presente
Acórdão
1 Com o seu recurso, a Irlanda pede ao Tribunal de Justiça que anule a Directiva 2006/24/CE do Parlamento e do Conselho, de 15 de Março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Directiva 2002/58/CE (JO L 105, p. 54), pelo facto de não ter sido adoptada com fundamento numa base jurídica adequada.
Quadro jurídico
Directiva 95/46/CE
2 A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, relativa à protecção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO L 281, p. 31), aprova as normas relativas ao tratamento de dados pessoais, a fim de proteger os direitos das pessoas singulares, sem deixar de assegurar a livre circulação desses dados na Comunidade Europeia.
3 O artigo 3.°, n.° 2, da Directiva 95/46 dispõe:
«A presente directiva não se aplica ao tratamento de dados pessoais:
– efectuado no exercício de actividades não sujeitas à aplicação do direito comunitário, tais como as previstas nos títulos V e VI do Tratado da União Europeia, e, em qualquer caso, ao tratamento de dados que tenha como objecto a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando esse tratamento disser respeito a questões de segurança do Estado), e as actividades do Estado no domínio do direito penal,
– efectuado por uma pessoa singular no exercício de actividades exclusivamente pessoais ou domésticas.»
Directiva 2002/58/CE
4 A Directiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de Julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (Directiva relativa à privacidade e às comunicações electrónicas) (JO L 201, p. 37), foi adoptada tendo em vista completar a Directiva 95/46 com disposições específicas ao sector das telecomunicações.
5 Nos termos do artigo 6.°, n.° 1, da Directiva 2002/58:
«Sem prejuízo do disposto nos n.os 2, 3 e 5 do presente artigo e no n.° 1 do artigo 15.°, os dados de tráfego relativos a assinantes e utilizadores tratados e armazenados pelo fornecedor de uma rede pública de comunicações ou de um serviço de comunicações electrónicas publicamente disponíveis devem ser eliminados ou tornados anónimos quando deixem de ser necessários para efeitos da transmissão da comunicação.»
6 O artigo 15.°, n.° 1, da mesma directiva dispõe:
«Os Estados‑Membros podem adoptar medidas legislativas para restringir o âmbito dos direitos e obrigações previstos nos artigos 5.° e 6.°, nos n.os 1 a 4 do artigo 8.° e no artigo 9.° da presente directiva sempre que essas restrições constituam uma medida necessária, adequada e proporcionada numa sociedade democrática para salvaguardar a segurança nacional (ou seja, a segurança do Estado), a defesa, a segurança pública, e a prevenção, a investigação, a detecção e a repressão de infracções penais ou a utilização não autorizada do sistema de comunicações electrónicas, tal como referido no n.° 1 do artigo 13.° da Directiva 95/46/CE. Para o efeito, os Estados‑Membros podem designadamente adoptar medidas legislativas prevendo que os dados sejam conservados durante um período limitado, pelas razões enunciadas no presente número. Todas as medidas referidas no presente número deverão ser conformes com os princípios gerais do direito comunitário, incluindo os mencionados nos n.os 1 e 2 do artigo 6.° do Tratado da União Europeia.»
Directiva 2006/24
7 Nos termos do quinto ao décimo primeiro considerando da Directiva 2006/24:
«(5) Vários Estados‑Membros aprovaram legislação relativa à conservação de dados pelos fornecedores de serviços tendo em vista a prevenção, investigação, detecção e repressão de infracções penais. As disposições das diferentes legislações nacionais variam consideravelmente.
(6) As disparidades legislativas e técnicas existentes entre as disposições nacionais relativas à conservação dos dados para efeitos de prevenção, investigação, detecção e repressão de infracções penais constituem obstáculos ao mercado interno das comunicações electrónicas; os fornecedores de serviços são obrigados a satisfazer exigências diferentes quanto aos tipos de dados de tráfego e de dados de localização a conservar, bem como às condições e aos períodos de conservação dos dados.
(7) Nas suas conclusões, o Conselho ‘Justiça e Assuntos Internos’ de 19 de Dezembro de 2002 assinalou que, devido a um notável crescimento das possibilidades oferecidas pelas comunicações electrónicas, os dados gerados pela utilização deste tipo de comunicações constituem um instrumento extremamente importante e útil na prevenção, investigação, detecção e de repressão de infracções penais, em especial contra a criminalidade organizada.
(8) Na sua Declaração de 25 de Março de 2004 sobre a luta contra o terrorismo, o Conselho Europeu encarregou o Conselho de proceder à análise de propostas relativas ao estabelecimento de regras sobre a conservação de dados de tráfego das comunicações pelos prestadores de serviços.
(9) Nos termos do artigo 8.° da Convenção Europeia dos Direitos do Homem [a seguir «CEDH»], qualquer pessoa tem direito ao respeito da sua vida privada e da sua correspondência. As autoridades públicas só podem interferir no exercício deste direito nos termos previstos na lei e, quando essa ingerência for necessária, numa sociedade democrática, designadamente, para a segurança nacional ou para a segurança pública, a defesa da ordem e a prevenção das infracções penais, ou a protecção dos direitos e das liberdades de terceiros. Visto que a conservação de dados se tem revelado um instrumento de investigação necessário e eficaz de repressão penal em vários Estados‑Membros, nomeadamente em matérias tão graves como o crime organizado e o terrorismo, é necessário assegurar que as autoridades responsáveis pela aplicação da lei possam dispor dos dados conservados por um período determinado, nas condições previstas na presente directiva. A aprovação de um instrumento de conservação de dados que obedeça aos requisitos do artigo 8.° da CEDH é, pois, uma medida necessária.
(10) Em 13 de Julho de 2005, na sua Declaração condenando os ataques terroristas em Londres, o Conselho reafirmou a necessidade de aprovar o mais rapidamente possível medidas comuns relativas à conservação de dados de telecomunicações.
(11) Tendo em consideração a importância dos dados de tráfego e dos dados de localização para a investigação, detecção e repressão de infracções penais, é necessário, como os trabalhos de investigação e a experiência prática em vários Estados‑Membros o demonstram, garantir a nível europeu a conservação durante um determinado período dos dados gerados ou tratados, no contexto da oferta de comunicações, pelos fornecedores de serviços de comunicações electrónicas publicamente disponíveis ou de uma rede pública de comunicações, nas condições previstas na presente directiva.»
8 O vigésimo primeiro considerando da mesma directiva enuncia:
«Atendendo a que os objectivos da presente directiva, ou seja, a harmonização das obrigações que incumbem aos fornecedores de conservarem determinados dados e assegurarem que estes sejam disponibilizados para efeitos de investigação, detecção e repressão de crimes graves tal como definidos no direito nacional de cada Estado‑Membro, não podem ser suficientemente realizados pelos Estados‑Membros e podem, pois, devido à dimensão e aos efeitos da presente directiva, ser melhor alcançados a nível comunitário, a Comunidade pode tomar medidas em conformidade com o princípio da subsidiariedade consagrado no artigo 5.° do Tratado [CE]. Em conformidade com o princípio da proporcionalidade consagrado no mesmo artigo, a presente directiva não excede o necessário para atingir aqueles objectivos.»
9 O vigésimo quinto considerando da referida directiva tem a seguinte redacção:
«A presente directiva não prejudica o poder dos Estados‑Membros de adoptarem medidas legislativas respeitantes à utilização dos dados e ao direito de acesso aos mesmos por parte das autoridades nacionais por eles designados. As questões que se prendem com o acesso das autoridades nacionais aos dados conservados de acordo com a presente directiva no contexto das actividades enumeradas no n.° 2 do artigo 3.° da Directiva 95/46/CE não são abrangidas pelo direito comunitário. Todavia, podem estar sujeitas ao direito nacional ou a acções desenvolvidas ao abrigo do título VI do Tratado da União Europeia, no pressuposto de que estas leis ou acções respeitam plenamente os direitos fundamentais consagrados nas tradições constitucionais dos Estados‑Membros e garantidos pela CEDH. […]»
10 O artigo 1.°, n.° 1, da Directiva 2006/24 prevê:
«A presente directiva visa harmonizar as disposições dos Estados‑Membros relativas às obrigações dos fornecedores de serviços de comunicações electrónicas publicamente disponíveis ou de uma rede pública de comunicações em matéria de conservação de determinados dados por eles gerados ou tratados, tendo em vista garantir a disponibilidade desses dados para efeitos de investigação, de detecção e de repressão de crimes graves, tal como definidos no direito nacional de cada Estado‑Membro.»
11 O artigo 3.°, n.° 1, da referida directiva dispõe:
«Em derrogação aos artigos 5.°, 6.° e 9.° da Directiva 2002/58/CE, os Estados‑Membros devem tomar medidas para garantir a conservação, em conformidade com as disposições da presente directiva, dos dados especificados no artigo 5.° da presente directiva, na medida em que sejam gerados ou tratados no contexto da oferta dos serviços de comunicações em causa por fornecedores de serviços de comunicações electrónicas publicamente disponíveis ou de uma rede pública de comunicações quando estes fornecedores estejam sob a sua jurisdição.»
12 O artigo 4.° da mesma directiva precisa:
«Os Estados‑Membros devem tomar medidas para assegurar que os dados conservados em conformidade com a presente directiva só sejam transmitidos às autoridades nacionais competentes em casos específicos e de acordo com a legislação nacional. Os procedimentos que devem ser seguidos e as condições que devem ser respeitadas para se ter acesso a dados conservados de acordo com os requisitos da necessidade e da proporcionalidade devem ser definidos por cada Estado‑Membro no respectivo direito nacional, sob reserva das disposições pertinentes do Direito da União Europeia ou do Direito Internacional Público, nomeadamente a CEDH na interpretação que lhe é dada pelo Tribunal Europeu dos Direitos do Homem.»
13 O artigo 5.° da Directiva 2006/24 enuncia:
«1. Os Estados‑Membros devem assegurar a conservação das categorias de dados seguintes em aplicação da presente directiva:
a) Dados necessários para encontrar e identificar a fonte de uma comunicação:
[…]
b) Dados necessários para encontrar e identificar o destino de uma comunicação:
[…]
c) Dados necessários para identificar a data, a hora e a duração de uma comunicação:
[…]
d) Dados necessários para identificar o tipo de comunicação:
[…]
e) Dados necessários para identificar o equipamento de telecomunicações dos utilizadores, ou o que se considera ser o seu equipamento:
[…]
f) Dados necessários para identificar a localização do equipamento de comunicação móvel:
[…]
2. Nos termos da presente directiva, não podem ser conservados quaisquer dados que revelem o conteúdo das comunicações.»
14 O artigo 6.° da referida directiva dispõe:
«Os Estados‑Membros devem assegurar que as categorias de dados referidos no artigo 5.° sejam conservadas por períodos não inferiores a seis meses e não superiores a dois anos, no máximo, a contar da data da comunicação.»
15 O artigo 7.° da mesma directiva prevê:
«Sem prejuízo das disposições adoptadas nos termos da Directiva 95/46/CE e da Directiva 2002/58/CE, cada Estado‑Membro deve assegurar que os fornecedores de serviços de comunicações electrónicas publicamente disponíveis ou de uma rede pública de comunicações respeitem, no mínimo, os seguintes princípios em matéria de segurança de dados no que se refere aos dados conservados em conformidade com a presente directiva:
[…]»
16 Nos termos do artigo 8.° da Directiva 2006/24:
«Os Estados‑Membros devem assegurar que os dados especificados no artigo 5.° sejam conservados em conformidade com a presente directiva de modo que tais dados e outras informações necessárias relacionadas com esses dados possam ser transmitidos imediatamente, mediante pedido, às autoridades competentes.»
17 O artigo 11.° da mesma directiva tem a seguinte redacção:
«No artigo 15.° da Directiva 2002/58/CE é inserido o seguinte número:
‘1‑A. O n.° 1 não é aplicável aos dados cuja conservação seja especificamente exigida pela Directiva 2006/24[…], para os fins mencionados no n.° 1 do artigo 1.° dessa directiva’.»
Antecedentes do litígio
18 Em 28 de Abril de 2004, a República Francesa, a Irlanda, o Reino da Suécia e o Reino Unido da Grã‑Bretanha e da Irlanda do Norte apresentaram ao Conselho da União Europeia um projecto de decisão‑quadro baseada nos artigos 31.°, n.° 1, alínea c), UE e 34.°, n.° 2, alínea b), UE. Esse projecto tinha por objecto a retenção de dados tratados e armazenados relacionados com o fornecimento de serviços de comunicações electrónicas publicamente disponíveis ou de dados transmitidos através das redes públicas de comunicações, com vista à prevenção, investigação, detecção e repressão de crimes e infracções penais, incluindo terrorismo (documento 8958/04 do Conselho).
19 A Comissão das Comunidades Europeias pronunciou‑se a favor da base jurídica utilizada nesse projecto de decisão‑quadro, relativamente a uma das suas vertentes. Recordou, em especial, que o artigo 47.° UE não permite que um acto baseado no Tratado UE afecte o acervo comunitário, no caso em apreço, as Directivas 95/46 e 2002/58. Considerando que a determinação das categorias de dados a conservar e o período da sua conservação era da competência do legislador comunitário, a Comissão reservou‑se o direito de apresentar uma proposta de directiva.
20 Em 21 de Setembro de 2005, a Comissão aprovou uma Proposta de directiva do Parlamento Europeu e do Conselho, relativa à conservação de dados tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis, e que altera a Directiva 2002/58 [COM(2005) 438 final], proposta essa que era baseada no artigo 95.° CE.
21 Na sua sessão de 1 e 2 de Dezembro de 2005, o Conselho optou por adoptar uma directiva fundada no Tratado CE, em vez de uma decisão‑quadro.
22 Em 14 de Dezembro de 2005, o Parlamento Europeu emitiu o seu parecer no âmbito do processo de co‑decisão previsto no artigo 251.° CE.
23 Na sessão de 21 de Fevereiro de 2006, o Conselho adoptou por maioria qualificada a Directiva 2006/24. A Irlanda e a República Eslovaca votaram contra.
Pedidos das partes
24 A Irlanda pede que o Tribunal:
– anule a Directiva 2006/24, por não ter sido adoptada com fundamento numa base jurídica adequada, e
– condene o Conselho e o Parlamento nas despesas.
25 O Parlamento pede que o Tribunal:
– a título principal, negue provimento ao recurso, e
– condene a Irlanda a suportar todas as despesas do presente processo;
– a título subsidiário, no caso de a Directiva 2006/24 ser anulada pelo Tribunal de Justiça, declare que os efeitos desta directiva se mantêm até à entrada em vigor de um novo acto.
26 O Conselho pede que o Tribunal:
– negue provimento ao recurso interposto pela Irlanda e
– condene esse Estado‑Membro nas despesas.
27 Por despachos do Presidente do Tribunal de Justiça de 1 de Fevereiro de 2007, foi admitida a intervenção da República Eslovaca, em apoio dos pedidos da Irlanda, e foram admitidas as intervenções do Reino de Espanha, do Reino dos Países Baixos, da Comissão e da Autoridade Europeia para a Protecção de Dados, em apoio dos pedidos do Parlamento e do Conselho.
Quanto ao recurso
Argumentos das partes
28 A Irlanda alega que a escolha do artigo 95.° CE como base jurídica da Directiva 2006/24 é um erro fundamental. Nem esse artigo nem nenhuma outra disposição do Tratado CE são susceptíveis de constituir uma base jurídica adequada para essa directiva. A título principal, este Estado‑Membro alega que o único objectivo ou, pelo menos, o objectivo principal ou predominante da referida directiva consiste em facilitar a investigação, a detecção e a repressão de infracções penais, incluindo em matéria de terrorismo. Deste modo, a única base jurídica que pode fundamentar validamente as medidas contidas na Directiva 2006/24 é o título VI do Tratado UE, em especial os seus artigos 30.°, 31.°, n.° 1, alínea c), e 34.°, n.° 2, alínea b).
29 Segundo a Irlanda, um exame, designadamente, do sétimo ao décimo primeiro e do vigésimo primeiro considerando da Directiva 2006/24, bem como das suas disposições fundamentais, em especial, o seu artigo 1.°, n.° 1, demonstra que é inadequado e injustificado escolher o artigo 95.° CE para base jurídica dessa directiva. A referida directiva está claramente direccionada para a repressão das infracções penais.
30 Para esse Estado‑Membro, é facto assente que as medidas baseadas no artigo 95.° CE devem ter como «centro de gravidade» a aproximação das legislações nacionais, a fim de melhorar o funcionamento do mercado interno (v., designadamente, acórdão de 30 de Maio de 2006, Parlamento/Conselho e Comissão, C‑317/04 e C‑318/04, Colect., p. I‑4721). As disposições da Directiva 2006/24 têm por objecto a repressão das infracções penais e não se destinam a reparar eventuais disfunções do mercado interno.
31 Se, contrariamente ao pedido principal da Irlanda, o Tribunal de Justiça declarar que a Directiva 2006/24 tem efectivamente também por objectivo a prevenção das distorções ou dos entraves ao mercado interno, este Estado‑Membro sustenta, a título subsidiário, que esse objectivo deve ser considerado de natureza puramente secundária relativamente ao objectivo principal ou predominante, a saber, a repressão da criminalidade.
32 A Irlanda acrescenta que a Directiva 2002/58 podia ser alterada por outra directiva, mas o legislador comunitário não está habilitado a recorrer a uma directiva de alteração adoptada com base no artigo 95.° CE, para introduzir na Directiva 2002/58 determinadas disposições excluídas da competência atribuída à Comunidade por força do primeiro pilar. As obrigações destinadas a garantir que os dados estejam disponíveis com vista à investigação, detecção e repressão de infracções penais fazem parte de uma matéria que só pode ser objecto de um instrumento baseado no título VI do Tratado UE. A adopção de tal instrumento legislativo não afecta as disposições da referida directiva, na acepção do artigo 47.° UE. Se o verbo «afectar», utilizado nesse artigo, fosse correctamente entendido, devia ser interpretado no sentido de que não proíbe que os actos comunitários e os actos da União se possam sobrepor na medida em que se trate de matérias secundárias e sem importância.
33 A República Eslovaca apoia a posição da Irlanda. Considera que o artigo 95.° CE não pode servir de base jurídica à Directiva 2006/24, visto que o objectivo principal desta não é eliminar as barreiras e as distorções no mercado interno. Esta directiva tem como objectivo a harmonização da conservação dos dados para além dos objectivos comerciais, a fim de facilitar a acção dos Estados‑Membros no domínio do direito penal e, por este motivo, não pode ser adoptada no quadro das competências da Comunidade.
34 Segundo este Estado‑Membro, a conservação dos dados pessoais na medida exigida pela Directiva 2006/24 leva a uma intromissão significativa no direito dos particulares ao respeito da vida privada, previsto no artigo 8.° da CEDH. É duvidoso que uma intromissão tão importante possa ser justificada por motivos económicos, no caso em apreço o melhor funcionamento do mercado interno. A adopção de um acto fora da competência da Comunidade, cujo objectivo principal e não dissimulado é a repressão da criminalidade e do terrorismo, representa uma solução mais apropriada, que oferece uma justificação mais adequada para a ingerência no direito ao respeito da vida privada.
35 O Parlamento alega que a Irlanda faz uma leitura selectiva das disposições da Directiva 2006/24. Na sua opinião, o seu quinto e sexto considerandos precisam que o objectivo principal ou predominante dessa directiva é eliminar os obstáculos ao mercado interno das comunicações electrónicas, e o vigésimo quinto considerando confirma que o acesso e a utilização dos dados conservados não são da competência comunitária.
36 O Parlamento sustenta que, na sequência dos atentados terroristas de 11 de Setembro de 2001, em Nova Iorque (Estados Unidos da América), de 11 de Março de 2004, em Madrid (Espanha), e de 7 de Julho de 2005, em Londres (Reino Unido), alguns Estados‑Membros adoptaram regras diferentes em matéria de conservação de dados. Segundo esta instituição, tais diferenças eram susceptíveis de entravar o fornecimento de serviços de comunicações electrónicas. O Parlamento considera que a conservação de dados constitui um elemento de custo significativo para os fornecedores de serviços de comunicações electrónicas acessíveis ao público ou de redes públicas de comunicações (a seguir «fornecedores de serviços») e que a existência de regras diferentes na matéria pode falsear a concorrência no mercado interno. Acrescenta que a Directiva 2006/24 tem por objectivo principal harmonizar as obrigações impostas pelos Estados‑Membros aos fornecedores de serviços em matéria de conservação de dados. Daqui resulta que o artigo 95.° CE é a base jurídica adequada dessa directiva.
37 O Parlamento alega também que a importância conferida à repressão da criminalidade não impede que a referida directiva se baseie no artigo 95.° CE. Embora a luta contra a criminalidade tenha influenciado claramente as escolhas feitas nessa directiva, essa influência não vicia a escolha do artigo 95.° CE como base jurídica.
38 Por outro lado, o artigo 4.° da Directiva 2006/24 prevê, na linha do seu vigésimo quinto considerando, que as condições de acesso e de tratamento de dados conservados devem ser definidas pelos Estados‑Membros, sob reserva das disposições do direito da União e do direito internacional, designadamente da CEDH. Esta abordagem é diferente da seguida para as medidas objecto do acórdão Parlamento/Conselho e Comissão, já referido, processo em que as transportadoras aéreas foram obrigadas a conceder o acesso aos dados dos passageiros às autoridades criminais de um Estado terceiro. Assim, a referida directiva respeita a repartição das competências entre o primeiro e o terceiro pilar.
39 De acordo com o Parlamento, embora seja verdade que a armazenagem dos dados pessoais de um particular pode, em princípio, constituir uma ingerência na acepção do artigo 8.° da CEDH, essa ingerência pode ser justificada, ao abrigo desse artigo, quando esteja em causa a segurança pública e a prevenção de infracções penais. Importa distinguir a questão da justificação dessa ingerência da escolha da base jurídica adequada no âmbito da ordem jurídica da União, visto estas duas questões não estarem relacionadas entre si.
40 O Conselho alega que, nos anos seguintes à adopção da Directiva 2002/58, as autoridades criminais nacionais preocuparam‑se cada vez mais com a exploração das inovações no domínio dos serviços de comunicações electrónicas para a prática de crimes. Na sua opinião, estas novas preocupações levaram os Estados‑Membros a adoptar medidas destinadas a impedir a supressão dos dados relativos a essas comunicações e a garantir a sua disponibilidade às autoridades criminais. Esta Instituição alega que o carácter divergente dessas medidas começava a perturbar o bom funcionamento do mercado interno. O quinto e o sexto considerando da Directiva 2006/24 são explícitos a este respeito.
41 Esta situação obrigou o legislador comunitário a garantir a aplicação de regras uniformes aos fornecedores de serviços, no que diz respeito às condições de exercício das suas actividades.
42 Foram estas as razões que, em 2006, levaram o legislador comunitário a considerar necessário pôr fim à obrigação de suprimir os dados, imposta pelos artigos 5.°, 6.° e 9.° da Directiva 2002/58, e determinar que, no futuro, os dados referidos no artigo 5.° da Directiva 2006/24 fossem obrigatoriamente conservados durante um determinado período. Esta alteração obriga os Estados‑Membros a assegurar a conservação dos referidos dados por um período mínimo de seis meses e máximo de dois anos, a contar da data da comunicação. O objectivo desta alteração foi estabelecer condições precisas e harmonizadas que deverão ser respeitadas pelos fornecedores de serviços no que diz respeito à supressão ou não dos dados pessoais referidos no artigo 5.° da Directiva 2006/24, instituindo assim regras comuns na Comunidade a fim de assegurar a unicidade do mercado interno.
43 O Conselho concluiu que, embora a necessidade de reprimir a criminalidade, incluindo o terrorismo, tenha sido um factor determinante na decisão de alterar o alcance dos direitos e obrigações previstos nos artigos 5.°, 6.° e 9.° da Directiva 2002/58, isso não impede que a Directiva 2006/24 devesse ser adoptada com base no artigo 95.° CE.
44 Nem os artigos 30.° UE, 31.° UE e 34.° UE nem nenhum outro artigo do Tratado UE podem fundamentar um acto que, no essencial, tem como objectivo modificar as condições de exercício das actividades dos fornecedores de serviços ou fazer com que o regime instituído pela Directiva 2002/58 não lhes seja aplicável.
45 Uma regulamentação relativa às categorias de dados a conservar pelos fornecedores de serviços e ao período de conservação desses dados, que altera as obrigações que a estes são impostas pela Directiva 2002/58, não pode ser objecto de um acto baseado no título VI do Tratado UE. Com efeito, a adopção de tal acto afecta as disposições desta directiva, o que constitui uma violação do artigo 47.° UE.
46 Segundo o Conselho, os direitos protegidos pelo artigo 8.° da CEDH não são absolutos e podem ser objecto de restrições, nas condições previstas no n.° 2 desse artigo. Como está previsto na Directiva 2006/24, a conservação dos dados serve um interesse geral legítimo, reconhecido pelo artigo 8.°, n.° 2, da CEDH, e constitui um meio adequado para proteger esse interesse.
47 O Reino de Espanha e o Reino dos Países Baixos sustentam que, como decorre do primeiro, segundo, quinto e sexto considerandos da Directiva 2006/24, esta tem como objectivo principal eliminar os entraves ao mercado interno, originados pelas disparidades legislativas e técnicas existentes entre as disposições nacionais dos Estados‑Membros. Na sua opinião, a referida directiva regulamenta a conservação dos dados, com o fim de eliminar esse tipo de entraves, por um lado, harmonizando a obrigação de conservação dos dados e, por outro, precisando os elementos sobre os quais recai essa obrigação, tais como as categorias de dados a conservar e o período da sua conservação.
48 O facto de, nos termos do seu artigo 1.°, a Directiva 2006/24 proceder a essa harmonização, «tendo em vista garantir a disponibilidade desses dados para efeitos de investigação, de detecção e de repressão de crimes graves, tal como definidos no direito nacional de cada Estado‑Membro», é uma outra questão. Esta directiva não regula o tratamento de dados pelas autoridades públicas ou policiais dos Estados‑Membros. Pelo contrário, a harmonização refere‑se unicamente aos aspectos da conservação dos dados que afectam directamente as actividades comerciais dos fornecedores de serviços.
49 Na medida em que a referida directiva altera a Directiva 2002/58 e está relacionada com a Directiva 95/46, as alterações que contém só podem ser devidamente efectuadas por um acto comunitário e não por um acto previsto no Tratado UE.
50 A Comissão recorda que, antes da adopção da Directiva 2006/24, diversos Estados‑Membros tinham tomado, nos termos do artigo 15.°, n.° 1, da Directiva 2002/58, medidas nacionais relativas à conservação de dados. A Comissão salienta as diferenças significativas que existiam entre essas medidas. Por exemplo, os períodos de conservação variavam entre os três meses, nos Países Baixos, e os quatro anos, na Irlanda. Na sua opinião, as obrigações relativas à conservação de dados têm implicações económicas importantes para os fornecedores de serviços. Uma divergência entre essas obrigações pode causar distorções no mercado interno. Neste contexto, era legítimo adoptar a Directiva 2006/24 com base no artigo 95.° CE.
51 Por outro lado, esta directiva limita, de forma harmonizada a nível comunitário, as obrigações previstas na Directiva 2002/58. Sendo esta directiva baseada no artigo 95.° CE, a base jurídica da Directiva 2006/24 não pode ser diferente.
52 A referência à investigação, à detecção e à repressão de crimes graves feita no artigo 1.°, n.° 1, da Directiva 2006/24 pertence ao direito comunitário porque serve para indicar o objectivo legítimo das restrições impostas por esta directiva aos direitos dos particulares em matéria de protecção de dados. Essa indicação é necessária quer para respeitar as exigências das Directivas 95/46 e 2002/58 quer para dar cumprimento ao artigo 8.° da CEDH.
53 A Autoridade Europeia alega que o objecto da Directiva 2006/24 cai no âmbito do artigo 95.° CE, porque, por um lado, essa directiva tem uma incidência directa nas actividades económicas dos fornecedores de serviços e pode, portanto, contribuir para o estabelecimento e o funcionamento do mercado interno e, por outro, se o legislador comunitário não tivesse intervindo, podia ter ocorrido uma distorção da concorrência no mercado interno. A repressão das infracções penais não é o único objectivo nem mesmo o principal da referida directiva. Pelo contrário, esta visa, em primeiro lugar, contribuir para o estabelecimento e o funcionamento do mercado interno, bem como para eliminar as distorções de concorrência. Esta directiva harmoniza as disposições nacionais relativas à conservação de certos dados por empresas privadas, no âmbito da sua actividade económica normal.
54 Por outro lado, a Directiva 2006/24 altera a Directiva 2002/58, adoptada com base no artigo 95.° CE, e, consequentemente, deve ser adoptada com a mesma base jurídica. Por força do artigo 47.° UE, só o legislador comunitário tem competência para alterar obrigações geradas por uma directiva baseada no Tratado CE.
55 Segundo a Autoridade Europeia, se o Tratado CE não pudesse servir de base à Directiva 2006/24, as disposições do direito comunitário relativas à protecção de dados não protegeriam os cidadãos no caso de o tratamento dos seus dados pessoais facilitar a repressão da criminalidade. Nessa hipótese, o regime geral de protecção de dados do direito comunitário aplicar‑se‑ia ao tratamento dos dados para fins comerciais, mas não ao seu tratamento para fins repressivos. Daqui resultariam distinções difíceis para os fornecedores de serviços e uma diminuição do nível de protecção para as pessoas em causa. Importa evitar essa situação. Esta necessidade de coerência justifica a adopção da Directiva 2006/24 com base no Tratado CE.
Apreciação do Tribunal de Justiça
56 A título liminar, há que observar que a questão das competências da União Europeia se apresenta de forma diferente consoante a competência em questão tenha sido reconhecida à União Europeia em sentido amplo ou ainda lhe não tenha sido reconhecida. Na primeira situação, trata‑se de decidir sobre a repartição das competências no seio da União e, em particular, sobre a questão de saber se se deve proceder por directiva, com fundamento no Tratado CE, ou por decisão‑quadro, com base no Tratado UE. Em contrapartida, na segunda situação, trata‑se de decidir sobre a repartição das competências entre a União e os Estados‑Membros e, em particular, sobre a questão de saber se a União invadiu as suas competências. O presente processo inscreve‑se na primeira destas duas situações.
57 Importa também precisar que o recurso interposto pela Irlanda incide unicamente sobre a escolha da base jurídica, e não sobre uma eventual violação dos direitos fundamentais decorrentes de ingerências no exercício do direito ao respeito da vida privada consagrado na Directiva 2006/24.
58 A Irlanda, apoiada pela República Eslovaca, alega que a Directiva 2006/24 não se pode basear no artigo 95.° CE, uma vez que o seu «centro de gravidade» não diz respeito ao funcionamento do mercado interno. Essa directiva teria como único objectivo ou, pelo menos, como objectivo principal, a investigação, a detecção e a repressão de infracções penais.
59 Esta posição não pode ser acolhida.
60 Segundo jurisprudência assente do Tribunal de Justiça, a escolha da base jurídica de um acto comunitário deve assentar em elementos objectivos, susceptíveis de fiscalização jurisdicional, entre os quais figuram, nomeadamente, a finalidade e o conteúdo do acto (v. acórdão de 23 de Outubro de 2007, Comissão/Conselho, C‑440/05, Colect., p. I‑9097, n.° 61 e jurisprudência aí referida).
61 A Directiva 2006/24 foi adoptada com base no Tratado CE, em especial, no seu artigo 95.° CE.
62 O artigo 95.°, n.° 1, CE dispõe que o Conselho adopta as medidas relativas à aproximação das disposições legislativas, regulamentares e administrativas dos Estados‑Membros, que tenham por objecto o estabelecimento e o funcionamento do mercado interno.
63 O legislador comunitário pode recorrer ao artigo 95.° CE, nomeadamente em caso de disparidades entre as regulamentações nacionais, quando essas disparidades forem susceptíveis de colocar entraves às liberdades fundamentais ou originar distorções de concorrência e ter, assim, uma influência directa no funcionamento do mercado interno (v., neste sentido, acórdão de 12 de Dezembro de 2006, Alemanha/Parlamento e Conselho, C‑380/03, Colect., p. I‑11573, n.° 37 e jurisprudência aí referida).
64 Por outro lado, se o recurso ao artigo 95.° CE como base jurídica é possível a fim de prevenir obstáculos futuros às trocas comerciais resultantes da evolução heterogénea das legislações nacionais, o aparecimento desses obstáculos deve ser verosímil e a medida em causa deve ter por objecto a sua prevenção (acórdão Alemanha/Parlamento e Conselho, já referido, n.° 38 e jurisprudência aí referida).
65 Há que verificar se a situação que levou à adopção da Directiva 2006/24 cumpre os requisitos descritos nos dois números anteriores.
66 Como resulta do quinto e sexto considerandos da referida directiva, o legislador comunitário partiu do pressuposto de que existiam disparidades legislativas e técnicas entre as regulamentações nacionais relativas à conservação dos dados pelos fornecedores de serviços.
67 A este respeito, os elementos submetidos ao Tribunal de Justiça confirmam que, na sequência dos atentados terroristas mencionados no n.° 36 do presente acórdão, diversos Estados‑Membros, apercebendo‑se de que os dados relativos às comunicações electrónicas são um meio eficaz para detectar e reprimir as infracções penais, incluindo o terrorismo, adoptaram medidas de aplicação do artigo 15.°, n.° 1, da Directiva 2002/58, para impor aos fornecedores de serviços obrigações relativas à conservação desses dados.
68 Decorre também dos autos que as obrigações relativas à conservação de dados têm implicações económicas substanciais para os fornecedores de serviços, na medida em que podem implicar investimentos e custos de exploração significativos.
69 Os elementos submetidos ao Tribunal de Justiça demonstram, por outro lado, que as medidas nacionais adoptadas até 2005, em aplicação do artigo 15.°, n.° 1, da Directiva 2002/58, apresentavam divergências importantes, designadamente no que diz respeito à natureza dos dados conservados e ao período da sua conservação.
70 Por último, era facilmente previsível que os Estados‑Membros que ainda não dispunham de uma regulamentação em matéria de conservação de dados introduziriam regras na matéria, susceptíveis de acentuar ainda as divergências entre as diferentes medidas nacionais existentes.
71 Tendo em conta estes elementos, verifica‑se que as divergências entre as diferentes regulamentações nacionais adoptadas em matéria de conservação de dados relativos às comunicações electrónicas eram susceptíveis de ter uma incidência directa no funcionamento do mercado interno e que era previsível que essa incidência se iria agravar.
72 Tal situação justificava que o legislador prosseguisse o objectivo de proteger o bom funcionamento do mercado interno, adoptando regras harmonizadas.
73 Por outro lado, importa observar que, ao prever um nível harmonizado de conservação de dados relativos às comunicações electrónicas, a Directiva 2006/24 alterou as disposições da Directiva 2002/58.
74 Esta última directiva baseia‑se no artigo 95.° CE.
75 Por força do artigo 47.° UE, nenhuma disposição do Tratado CE pode ser afectada por uma disposição do Tratado UE. Esta exigência consta igualmente do primeiro parágrafo do artigo 29.° UE, que introduz o título VI deste último Tratado, sob a epígrafe «Disposições relativas à cooperação policial e judiciária em matéria penal» (acórdão Comissão/Conselho, já referido, n.° 52).
76 Quando prevê que as disposições do Tratado UE não podem afectar os Tratados que instituem as Comunidades Europeias nem os Tratados e os actos subsequentes que os alteraram ou completaram, o artigo 47.° UE, tem por objectivo, em conformidade com os artigos 2.°, quinto travessão, UE e 3.°, primeiro parágrafo, UE, a manutenção e o desenvolvimento do acervo comunitário (acórdão de 20 de Maio de 2008, Comissão/Conselho, C‑91/05, ainda não publicado na Colectânea, n.° 59).
77 Compete ao Tribunal de Justiça certificar‑se de que os actos que uma parte considera abrangidos pelo título VI do Tratado UE e que, pela sua natureza, são susceptíveis de produzir efeitos jurídicos não invadem a esfera de competências que as disposições do Tratado CE atribuem à Comunidade (acórdão de 20 de Maio de 2008, Comissão/Conselho, já referido, n.° 33 e jurisprudência aí referida).
78 Na medida em que a alteração da Directiva 2002/58 operada pela Directiva 2006/24 está abrangida pelas competências comunitárias, esta não se podia basear numa disposição do Tratado UE sem violar o seu artigo 47.°
79 Com vista a determinar se o legislador escolheu a base jurídica adequada para a adopção da Directiva 2006/24, deve‑se examinar ainda, como decorre do n.° 60 do presente acórdão, o conteúdo material das suas disposições.
80 A este respeito, há que observar que as disposições desta directiva estão essencialmente limitadas às actividades dos fornecedores de serviços e não regulam o acesso aos dados nem a sua exploração destes pelas autoridades policiais ou judiciárias dos Estados‑Membros.
81 Mais precisamente, as disposições da Directiva 2006/24 visam a aproximação das legislações nacionais relativas à obrigação de conservação de dados (artigo 3.°), às categorias de dados a conservar (artigo 5.°), ao período de conservação dos dados (artigo 6.°), à protecção e à segurança dos dados (artigo 7.°), bem como aos requisitos para a sua armazenagem (artigo 8.°).
82 Em contrapartida, as medidas previstas na Directiva 2006/24 não implicam, em si mesmas, uma intervenção repressiva das autoridades dos Estados‑Membros. Como resulta, designadamente do artigo 3.° desta directiva, os fornecedores de serviços devem conservar apenas os dados gerados ou tratados no contexto do fornecimento dos serviços de comunicação em causa. Esses dados são unicamente os que estão estreitamente relacionados com o exercício da actividade comercial desses fornecedores.
83 A Directiva 2006/24 regulamenta, assim, operações que são independentes da execução de qualquer eventual acção de cooperação policial ou judiciária em matéria penal. Não harmoniza a questão do acesso aos dados pelas autoridades nacionais competentes em matéria repressiva nem a questão da utilização e troca desses dados entre essas autoridades. Estas questões que, em princípio, fazem parte do domínio coberto pelo título VI do Tratado UE, foram excluídas das disposições desta directiva, como é referido, designadamente, no seu vigésimo quinto considerando e no seu artigo 4.°
84 Resulta daqui que o conteúdo material da Directiva 2006/24 visa, no essencial, as actividades dos fornecedores de serviços no sector em causa do mercado interno, com exclusão das actividades estatais abrangidas pelo título VI do Tratado UE.
85 Atendendo a este conteúdo material, há que concluir que a Directiva 2006/24 diz principalmente respeito ao funcionamento do mercado interno.
86 Contra esta conclusão, a Irlanda alega que, através do acórdão Parlamento/Conselho e Comissão, já referido, o Tribunal de Justiça anulou a Decisão 2004/496/CE do Conselho, de 17 de Maio de 2004, relativa à celebração de um acordo entre a Comunidade Europeia e os Estados Unidos da América sobre o tratamento e a transferência de dados contidos nos registos de identificação dos passageiros (PNR) por parte das transportadoras aéreas para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos (JO L 183, p. 83, e – rectificativo – JO 2005, L 255, p. 168).
87 No n.° 68 do acórdão Parlamento/Conselho e Comissão, já referido, o Tribunal de Justiça considerou que o referido acordo tinha em vista a mesma transferência de dados da Decisão 2004/535/CE da Comissão, de 14 de Maio de 2004, sobre o nível de protecção adequado dos dados pessoais contidos nos Passenger Name Record transferidos para o Bureau of Customs and Border Protection dos Estados Unidos (JO L 235, p. 11).
88 Esta última decisão dizia respeito à transferência de dados dos passageiros, provenientes dos sistemas de reserva das companhias aéreas situadas no território dos Estados‑Membros, para o Serviço das Alfândegas e Protecção das Fronteiras do Departamento de Segurança Interna dos Estados Unidos. O Tribunal de Justiça concluiu que esta decisão visava um tratamento de dados que não era necessário para a realização de uma prestação de serviços pelas transportadoras aéreas, mas que era considerado necessário para salvaguardar a segurança pública e para fins repressivos. Nos n.os 57 a 59 do acórdão Parlamento/Conselho e Comissão, já referido, o Tribunal de Justiça declarou que tal tratamento de dados se enquadra no âmbito de aplicação do artigo 3.°, n.° 2, da Directiva 95/46, segundo o qual essa directiva não se aplica, designadamente, aos tratamentos de dados pessoais que tenham como objectivo a segurança pública e as actividades do Estado em domínios do direito penal. O Tribunal de Justiça concluiu, portanto, que a Decisão 2004/535 não entrava no âmbito de aplicação da Directiva 95/46.
89 Uma vez que o acordo que é objecto da Decisão 2004/496 visava, tal como a Decisão 2004/535, um tratamento de dados que estava excluído do âmbito de aplicação da Directiva 95/46, o Tribunal de Justiça declarou que a Decisão 2004/496 não podia ser validamente adoptada com base no artigo 95.° CE (acórdão Parlamento/Conselho e Comissão, já referido, n.os 68 e 69).
90 Essas considerações não podem ser transpostas para a Directiva 2006/24.
91 Com efeito, diferentemente da Decisão 2004/496, que dizia respeito a uma transferência de dados pessoais inserida num quadro instituído pelos poderes públicos com vista a garantir a segurança pública, a Directiva 2006/24 visa as actividades dos fornecedores de serviços no mercado interno e não inclui uma regulamentação das actividades dos poderes públicos para fins repressivos.
92 Daqui resulta que os argumentos que a Irlanda extrai da anulação da Decisão 2004/496 pelo acórdão Parlamento/Conselho e Comissão, já referido, não podem ser acolhidos.
93 Tendo em conta as considerações expostas, há que considerar que se impunha a adopção da Directiva 2006/24 com base no artigo 95.° CE.
94 Consequentemente, deve ser negado provimento ao recurso.
Quanto às despesas
95 Nos termos do artigo 69.°, n.° 2, do Regulamento de Processo, a parte vencida é condenada nas despesas se a parte vencedora o tiver requerido. Tendo o Parlamento e o Conselho pedido a condenação da Irlanda e tendo esta sido vencida, há que condená‑la nas despesas. Nos termos do n.° 4, primeiro parágrafo, do mesmo artigo, os intervenientes no presente processo suportarão as suas próprias despesas.
Pelos fundamentos expostos, o Tribunal de Justiça (Grande Secção) decide:
1) É negado provimento ao recurso.
2) A Irlanda é condenada nas despesas.
3) O Reino de Espanha, o Reino dos Países Baixos, a República Eslovaca, a Comissão das Comunidades Europeias e a Autoridade Europeia para a Protecção de Dados suportarão as suas próprias despesas.
Assinaturas