CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2023:711

CONCLUSÕES DO ADVOGADO‑GERAL

MACIEJ SZPUNAR

apresentadas em 28 de setembro de 2023 (1)

Processo C‑470/21

La Quadrature du Net,

Fédération des fournisseurs d’accès à Internet associatifs,

Franciliens.net,

French Data Network

contra

Premier ministre,

Ministère de la Culture

[pedido de decisão prejudicial apresentado pelo Conseil d'État (Conselho de Estado em formação jurisdicional, França)]

«Reenvio prejudicial — Tratamento de dados pessoais e proteção da privacidade no setor das comunicações eletrónicas — Diretiva 2002/58/CE — Artigo 15.o, n.o 1 — Faculdade de os Estados‑Membros delimitarem o alcance de certos direitos e obrigações — Obrigação de controlo prévio por um órgão jurisdicional ou uma entidade administrativa independente dotada de um poder vinculativo — Dados relativos à identidade civil correspondentes a um endereço IP»

I. Introdução

1. A pedido da Grande Secção, formulado nos termos do artigo 60.^o, n.^o 3, do Regulamento de Processo do Tribunal de Justiça, este último decidiu, em 7 de março de 2023, remeter o presente processo ao Tribunal Pleno.

2. Por Despacho de 23 de março de 2023, o Tribunal de Justiça (Tribunal Pleno) decidiu reabrir a fase oral do processo e convidou as partes interessadas referidas no artigo 23.^o do Estatuto do Tribunal de Justiça da União Europeia, a Autoridade Europeia para a Proteção de Dados (AEPD) e a Agência da União Europeia para a Cibersegurança (ENISA) a participarem numa nova audiência.

3. Tinha, em 27 de outubro de 2022, apresentado as minhas primeiras conclusões neste processo antes do encerramento da fase oral do processo. Estas novas conclusões são, portanto, uma oportunidade para desenvolver determinados elementos do meu raciocínio no presente processo, que envolve questões fundamentais relativas à conservação e ao acesso a dados pessoais.

II. Quadro jurídico

A. Direito da União

4. Os considerandos 2, 6, 7, 11, 22, 26 e 30 da Diretiva 2002/58/CE (2) enunciam:

«(2) A presente diretiva visa assegurar o respeito dos direitos fundamentais e a observância dos princípios reconhecidos, em especial, pela Carta dos Direitos Fundamentais da União Europeia [a seguir “Carta”]. Visa, em especial, assegurar o pleno respeito pelos direitos consignados nos artigos 7.^o e 8.^o da citada carta.

[…]

(6) A internet está a derrubar as tradicionais estruturas do mercado, proporcionando uma infraestrutura mundial para o fornecimento de uma vasta gama de serviços de comunicações eletrónicas. Os serviços de comunicações eletrónicas publicamente disponíveis através da internet abrem novas possibilidades aos utilizadores, mas suscitam igualmente novos riscos quanto aos seus dados pessoais e à sua privacidade.

(7) No caso das redes de comunicações públicas, é necessário estabelecer disposições legislativas, regulamentares e técnicas específicas para a proteção dos direitos e liberdades fundamentais das pessoas singulares e dos interesses legítimos das pessoas coletivas, em especial no que respeita à capacidade crescente em termos de armazenamento e de processamento informático de dados relativos a assinantes e utilizadores.

[…]

(11) Tal como a Diretiva [95/46/CE (3)], a presente diretiva não trata questões relativas à proteção dos direitos e liberdades fundamentais relacionadas com atividades não reguladas pelo direito comunitário. Portanto, não altera o equilíbrio existente entre o direito dos indivíduos à privacidade e a possibilidade de os Estados‑Membros tomarem medidas como as referidas no n.^o 1 do artigo 15.^o da presente diretiva, necessários para a proteção da segurança pública, da defesa, da segurança do Estado (incluindo o bem‑estar económico dos Estados quando as atividades digam respeito a questões de segurança do Estado) e a aplicação da legislação penal. Assim sendo, a presente diretiva não afeta a capacidade de os Estados‑Membros intercetarem legalmente comunicações eletrónicas ou tomarem outras medidas, se necessário, para quaisquer desses objetivos e em conformidade com a Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais, [assinada em Roma em 4 de novembro de 1950,] segundo a interpretação da mesma na jurisprudência do Tribunal Europeu dos Direitos do Homem. Essas medidas devem ser adequadas, rigorosamente proporcionais ao objetivo a alcançar e necessárias numa sociedade democrática e devem estar sujeitas, além disso, a salvaguardas adequadas, em conformidade com a Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais.

[…]

(22) A proibição de armazenamento das comunicações e dos dados de tráfego a elas relativos por terceiros que não os utilizadores ou sem o seu consentimento não tem por objetivo proibir qualquer armazenamento automático, intermédio e transitório de informações, desde que esse armazenamento se efetue com o propósito exclusivo de realizar a transmissão através da rede de comunicação eletrónica e desde que as informações não sejam armazenadas por um período de tempo superior ao necessário para a transmissão e para fins de gestão de tráfego e que durante o período de armazenamento se encontre garantida a confidencialidade das informações. […]

[…]

(26) Os dados relativos aos assinantes tratados em redes de comunicações eletrónicas para estabelecer ligações e para transmitir informações contêm informações sobre a vida privada das pessoas singulares e incidem no direito ao sigilo da sua correspondência ou incidem nos legítimos interesses das pessoas coletivas. Esses dados apenas podem ser armazenados na medida do necessário para a prestação do serviço, para efeitos de faturação e de pagamentos de interligação, e por um período limitado. Qualquer outro tratamento desses dados […] só é permitido se o assinante tiver dado o seu acordo, com base nas informações exatas e completas que o prestador de serviços de comunicações eletrónicas publicamente disponíveis lhe tiver comunicado relativamente aos tipos de tratamento posterior que pretenda efetuar e sobre o direito do assinante de não dar ou retirar o seu consentimento a esse tratamento. […]

[…]

(30) Os sistemas de fornecimento de redes e serviços de comunicações eletrónicas devem ser concebidos de modo a limitar ao mínimo o volume necessário de dados pessoais. […]»

5. Nos termos do artigo 2.^o desta diretiva, sob a epígrafe «Definições»:

«[…]

São também aplicáveis as seguintes definições:

a) “Utilizador” é qualquer pessoa singular que utilize um serviço de comunicações eletrónicas publicamente disponível para fins privados ou comerciais, não sendo necessariamente assinante desse serviço;

b) “Dados de tráfego” são quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações eletrónicas ou para efeitos da faturação da mesma;

c) “Dados de localização” quaisquer dados tratados numa rede de comunicações eletrónicas ou por um serviço de comunicações eletrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações eletrónicas acessível ao público;

d) “Comunicação” é qualquer informação trocada ou enviada entre um número finito de partes, através de um serviço de comunicações eletrónicas publicamente disponível; não se incluem aqui as informações enviadas no âmbito de um serviço de difusão ao público em geral, através de uma rede de comunicações eletrónicas, exceto na medida em que a informação possa ser relacionada com o assinante ou utilizador identificável que recebe a informação;

[…]»

6. O artigo 3.^o da referida diretiva, sob a epígrafe «Serviços abrangidos», dispõe:

«A presente diretiva é aplicável ao tratamento de dados pessoais no contexto da prestação de serviços de comunicações eletrónicas acessíveis ao público em redes de comunicações públicas na Comunidade, nomeadamente nas redes públicas de comunicações que servem de suporte a dispositivos de recolha de dados e de identificação.»

7. O artigo 5.^o da mesma diretiva, sob a epígrafe «Confidencialidade das comunicações», prevê:

«1. Os Estados‑Membros garantirão, através da sua legislação nacional, a confidencialidade das comunicações e respetivos dados de tráfego realizadas através de redes públicas de comunicações e de serviços de comunicações eletrónicas publicamente disponíveis. Proibirão, nomeadamente, a escuta, a instalação de dispositivos de escuta, o armazenamento ou outras formas de interceção ou vigilância de comunicações e dos respetivos dados de tráfego por pessoas que não os utilizadores, sem o consentimento dos utilizadores em causa, exceto quando legalmente autorizados a fazê‑lo, de acordo com o disposto no n.^o 1 do artigo 15.^o O presente número não impede o armazenamento técnico que é necessário para o envio de uma comunicação, sem prejuízo do princípio da confidencialidade.

[…]

3. Os Estados‑Membros asseguram que o armazenamento de informações ou a possibilidade de acesso a informações já armazenadas no equipamento terminal de um assinante ou utilizador só sejam permitidos se este tiver dado o seu consentimento prévio com base em informações claras e completas, nos termos da Diretiva [95/46], nomeadamente sobre os objetivos do processamento. Tal não impede o armazenamento técnico ou o acesso que tenha como única finalidade efetuar a transmissão de uma comunicação através de uma rede de comunicações eletrónicas, ou que seja estritamente necessário ao fornecedor para fornecer um serviço da sociedade da informação que tenha sido expressamente solicitado pelo assinante ou pelo utilizador.»

8. Nos termos do artigo 6.^o da Diretiva 2002/58, sob a epígrafe «Dados de tráfego»:

«1. Sem prejuízo do disposto nos n.^os 2, 3 e 5 do presente artigo e no n.^o 1 do artigo 15.^o, os dados de tráfego relativos a assinantes e utilizadores tratados e armazenados pelo fornecedor de uma rede pública de comunicações ou de um serviço de comunicações eletrónicas publicamente disponíveis devem ser eliminados ou tornados anónimos quando deixem de ser necessários para efeitos da transmissão da comunicação.

2. Podem ser tratados dados de tráfego necessários para efeitos de faturação dos assinantes e de pagamento de interligações. O referido tratamento é lícito apenas até final do período durante o qual a fatura pode ser legalmente contestada ou o pagamento reclamado.

[…]»

9. O artigo 15.^o desta diretiva, sob a epígrafe «Aplicação de determinadas disposições da Diretiva [95/46]», enuncia, no seu n.^o 1:

«Os Estados‑Membros podem adotar medidas legislativas para restringir o âmbito dos direitos e obrigações previstos nos artigos 5.^o e 6.^o, nos n.^os 1 a 4 do artigo 8.^o e no artigo 9.^o da presente diretiva sempre que essas restrições constituam uma medida necessária, adequada e proporcionada numa sociedade democrática para salvaguardar a segurança nacional (ou seja, a segurança do Estado), a defesa, a segurança pública, e a prevenção, a investigação, a deteção e a repressão de infrações penais ou a utilização não autorizada do sistema de comunicações eletrónicas, tal como referido no n.^o 1 do artigo 13.^o da Diretiva [95/46]. Para o efeito, os Estados‑Membros podem designadamente adotar medidas legislativas prevendo que os dados sejam conservados durante um período limitado, pelas razões enunciadas no presente número. Todas as medidas referidas no presente número deverão ser conformes com os princípios gerais do direito [da União], incluindo os mencionados nos n.^os 1 e 2 do artigo 6.^o [TUE].»

B. Direito francês

1. Código da Propriedade Intelectual

10. O artigo L. 331‑12 do code de la propriété intellectuelle (Código da Propriedade Intelectual), na versão aplicável ao litígio no processo principal (a seguir «CPI»), dispõe:

«A Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet [Alta Autoridade para a Divulgação das Obras e a Proteção dos Direitos na Internet (a seguir “Hadopi”)] é uma autoridade pública independente.»

11. O artigo L. 331‑13 do CPI prevê:

«A [Hadopi] deve assegurar:

[…]

2° A defesa [das obras e de material protegido por um direito de autor ou por um direito conexo nas redes de comunicações eletrónicas] contra a violação desses direitos cometida nas redes de comunicações eletrónicas utilizadas na prestação de serviços de comunicação ao público em linha […]»

12. Nos termos do artigo L. 331‑15 deste código:

«A [Hadopi] é constituída por um órgão colegial e por uma Comissão de Proteção de Direitos. […]

[…]

No exercício das suas funções, os membros do órgão colegial e da Comissão de Proteção de Direitos não recebem instruções de nenhuma autoridade.»

13. O artigo L. 331‑17 do referido código dispõe:

«Compete à Comissão de Proteção de Direitos tomar as medidas previstas no artigo L. 331‑25.»

14. Nos termos do artigo L. 331‑21 do mesmo código:

«Para o exercício, pela Comissão de Proteção de Direitos, das suas funções, a [Hadopi] dispõe de agentes públicos ajuramentados autorizados pelo [seu] presidente em condições fixadas por decreto adotado em conformidade com o parecer do Conseil d’État (Conselho de Estado, em formação jurisdicional, França). […]

Os membros da Comissão de Proteção de Direitos e os agentes mencionados no primeiro parágrafo recebem os pedidos submetidos à referida comissão nas condições previstas no artigo L. 331‑24 e procedem à análise dos factos.

Podem, para a instrução do processo, obter todos os documentos, qualquer que seja o suporte, incluindo os dados conservados e tratados pelos operadores de comunicações eletrónicas nos termos do artigo L. 34‑1 do Code des postes et des communications électroniques (Código das Comunicações Postais e Eletrónicas) e pelos prestadores mencionados nos n.^os 1 e 2 do ponto I do artigo 6.^o da loi n.^o 2004‑575 du 21 juin 2004 pour la confiance dans l’économie numérique (Lei n.^o 2004‑575, de 21 de junho de 2004, para a Confiança na Economia Digital).

Podem também obter cópia dos documentos referidos no parágrafo anterior.

Podem, nomeadamente, obter dos operadores de comunicações eletrónicas a identidade, o endereço postal, o endereço de correio eletrónico e os dados telefónicos do assinante cujo acesso a serviços de comunicação ao público em linha foi utilizado para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou de material protegido sem autorização dos titulares dos direitos […] quando esta última seja necessária.»

15. O artigo L. 331‑24 do CPI dispõe:

«A Comissão de Proteção de Direitos atua mediante requerimento dos agentes ajuramentados e autorizados […] designados por:

– Organismos de defesa profissional regularmente constituídos;

– Organismos de gestão coletiva;

– Centre national du cinéma et de l’image animée (Centro Nacional do Cinema e da Imagem Animada).

A Comissão de Proteção de Direitos também pode atuar com base em informações que lhe sejam transmitidas pelo Procurador da República.

Não se pode pronunciar sobre factos ocorridos há mais de seis meses.»

16. Nos termos do artigo L. 331‑25 deste código, disposição que rege o procedimento designado «Resposta graduada»:

«Quando lhe seja solicitado que se pronuncie sobre a prática de factos suscetíveis de configurar um incumprimento da obrigação definida no artigo L. 336‑3 [do CPI], a Comissão de Proteção de Direitos pode enviar ao assinante […] uma recomendação na qual lhe são indicadas as disposições do artigo L. 336‑3, intimando‑o a cumprir a obrigação aí estabelecida e advertindo‑o das sanções em que incorre por força dos artigos L. 335‑7 e L. 335‑7‑1. Nessa recomendação, o assinante é igualmente informado da oferta legal de conteúdos culturais em linha, sobre a existência de meios de segurança destinados a evitar os incumprimentos da obrigação definida no artigo L. 336‑3, bem como sobre as ameaças à renovação da criação artística e à economia do setor da cultura decorrentes de práticas que não respeitam o direito de autor e os direitos conexos.

Em caso de prática reiterada, no prazo de seis meses a contar do envio da recomendação referida no primeiro parágrafo, dos factos suscetíveis de configurar um incumprimento da obrigação definida no artigo L. 336‑3, a comissão pode enviar por escrito uma nova recomendação com as mesmas informações que a anterior enviada por via eletrónica […], a qual deve ser acompanhada de uma carta com aviso de receção ou qualquer outro meio adequado a fazer prova da data de receção dessa recomendação.

As recomendações enviadas com base no presente artigo devem mencionar a data e hora em que se verificou a prática dos factos suscetíveis de configurar um incumprimento da obrigação definida no artigo L. 336‑3. Em contrapartida, não divulgam o conteúdo das obras ou de material protegido a que respeita esse incumprimento. Indicam os dados de contacto telefónico, postal e eletrónico para que o destinatário possa enviar, caso o pretenda, observações à Comissão de Proteção de Direitos e obter, mediante requerimento expresso nesse sentido, informação pormenorizada sobre o conteúdo das obras ou de material protegido a que respeita o incumprimento que lhe é imputado.»

17. O artigo L. 331‑29 do referido código dispõe:

«É autorizada a criação, pela [Hadopi], de um tratamento automatizado de dados pessoais das pessoas sujeitas a um processo no âmbito da presente subsecção.

Este tratamento tem por finalidade a execução, pela Comissão de Proteção de Direitos, das medidas previstas na presente subsecção, de todos os atos processuais correspondentes e das modalidades de informação dos organismos de defesa profissional e dos organismos de gestão coletiva dos eventuais pedidos de intervenção junto da autoridade judiciária, bem como das notificações previstas no quinto parágrafo do artigo L. 335‑7.

As disposições de aplicação do presente artigo são estabelecidas por decreto […], que precisa, nomeadamente:

– as categorias de dados registados e o seu prazo de conservação;

– os destinatários habilitados a receber a comunicação desses dados, nomeadamente as pessoas cuja atividade consiste em proporcionar um acesso a serviços de comunicação ao público em linha;

– as condições em que as pessoas interessadas podem exercer, junto da [Hadopi], o seu direito de acesso aos dados respetivos […].»

18. O artigo R. 331‑37 do mesmo código prevê:

«Os operadores de comunicações eletrónicas […] e os prestadores […] são obrigados a comunicar, através de interligação com o tratamento automatizado de dados pessoais referido no artigo L. 331‑29 ou por recurso a um suporte de registo que garanta a sua integridade e a sua segurança, os dados pessoais e informações mencionados no n.^o 2 do anexo do [Decreto n.^o 2010‑236, de 5 de março de 2010, relativo ao tratamento automatizado de dados pessoais autorizado pelo artigo L. 331‑29 do [CPI] denominado “Sistema de gestão das medidas de proteção das obras na Internet” (4) (a seguir “Decreto de 5 de março de 2010”] […] no prazo de oito dias após a transmissão pela Comissão de Proteção de Direitos dos dados técnicos necessários para identificar o assinante cujo acesso aos serviços de comunicação ao público em linha tenha sido utilizado para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou de material protegido sem a autorização dos titulares dos direitos […] quando tal for necessário.

[…]»

19. O artigo R. 335‑5 do CPI dispõe:

«I ‑ Constitui negligência grave, punida com a coima prevista para as contraordenações de quinto grau, o facto de, sem justificação legítima e estando preenchidas as condições previstas no ponto II, o titular de um acesso a serviços de comunicação ao público em linha:

1° Não ter instalado qualquer meio de segurança desse acesso;

2° Ter revelado falta de diligência na aplicação desse meio.

II ‑ O disposto no ponto I só é aplicável quando se encontrem cumulativamente preenchidas as seguintes duas condições:

1° Que, em aplicação do artigo L. 331‑25 e nos termos previstos neste artigo, a Comissão de Proteção de Direitos tenha recomendado ao titular do acesso a implementação de um meio de segurança do seu acesso que permita evitar a renovação dessa utilização para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou material protegido por um direito de autor ou por um direito conexo sem a autorização dos titulares desses direitos […] quando tal for necessário;

2° Que no ano seguinte à apresentação da referida recomendação, esse acesso tenha sido novamente utilizado para os fins mencionados no n.^o 1 do presente ponto II.»

20. O artigo L. 336‑3 deste código enuncia:

«O titular do acesso a serviços de comunicação ao público em linha é obrigado a garantir que esse acesso não seja objeto de uma utilização para fins de reprodução, representação, disponibilização ou comunicação ao público de obras ou de material protegido por um direito de autor ou por um direito conexo sem autorização dos titulares […] quando tal for necessário.

O incumprimento, por parte do titular do acesso, da obrigação definida no primeiro parágrafo não dá origem à responsabilidade penal do interessado […].»

2. Decreto de 5 de março de 2010

21. O Decreto de 5 de março de 2010, na sua versão aplicável ao litígio no processo principal, prevê no seu artigo 1°:

«O tratamento de dados pessoais denominado “Sistema de gestão das medidas para a proteção das obras na Internet” tem por finalidade a execução, pela Comissão de Proteção de Direitos da [Hadopi]:

1° Das medidas previstas no livro III da parte legislativa do [CPI] (título III, capítulo I, secção 3, subsecção 3) e no livro III da parte regulamentar do mesmo código (título III, capítulo I, secção 2, subsecção 2);

2° Dos pedidos de consulta submetidos pelo Procurador da República relativos à prática de factos suscetíveis de configurar as infrações previstas nos artigos L. 335‑2, L. 335‑3, L. 335‑4 e R. 335‑5 do mesmo código, bem como da informação proveniente dos organismos de defesa profissional e dos organismos de gestão coletiva desses pedidos de consulta submetidos;

[…]»

22. O artigo 4.^o deste decreto dispõe:

«I‑ Têm acesso direto aos dados pessoais e às informações mencionadas no anexo do presente decreto os agentes públicos ajuramentados autorizados pelo presidente da [Hadopi] nos termos do artigo L. 331‑21 do [CPI] e os membros da Comissão de Proteção de Direitos referida no artigo 1.^o

II‑ Os operadores de comunicações eletrónicas e os prestadores mencionados no n.^o 2 do anexo do presente decreto são destinatários:

– dos dados técnicos necessários à identificação do assinante;

– das recomendações previstas no artigo L. 331‑25 do [CPI] com vista ao respetivo envio por via eletrónica aos seus assinantes;

– dos elementos necessários à execução das sanções adicionais de suspensão do acesso a um serviço de comunicação ao público em linha comunicadas à Comissão de Proteção de Direitos pelo Procurador da República.

III‑ Os organismos de defesa profissional e os organismos de gestão coletiva são destinatários de uma informação relativa ao pedido de consulta submetido pelo Procurador da República.

IV‑ As autoridades judiciárias são destinatárias das atas de verificação da prática de factos suscetíveis de configurar as infrações previstas nos artigos L. 335‑2, L. 335‑3, L. 335‑4, L. 335‑7, R. 331‑37, R. 331‑38 e R. 335‑5 do [CPI].

A execução da sanção de suspensão é comunicada ao registo criminal automatizado.»

23. O anexo do Decreto de 5 de março de 2010 prevê:

«Os dados pessoais e informações registadas no tratamento denominado “Sistema de gestão das medidas para a proteção das obras na Internet” são os seguintes:

1° Dados pessoais e informações provenientes de organismos de defesa profissional regularmente constituídos, de organismos de gestão coletiva, do Centre national du cinéma et de l’image animée (Centro Nacional do Cinema e da Imagem Animada), bem como do Procurador da República:

Quanto aos factos suscetíveis de configurar um incumprimento da obrigação definida no artigo L. 336‑3 do [CPI]:

Data e hora da prática dos factos;

Endereço IP dos assinantes em causa;

Protocolo descentralizado (peer‑to‑peer) utilizado;

Pseudónimo utilizado pelo assinante;

Informações relativas às obras ou material protegido objeto da prática dos factos;

Nome do ficheiro conforme consta do posto do assinante (se necessário);

Fornecedor de acesso à Internet com o qual foi contratado o acesso ou que forneceu o equipamento técnico IP.

[…]

2^o Dados pessoais e informações relativas ao assinante recolhidas junto dos operadores de comunicações eletrónicas […] e dos prestadores […]:

Apelido e nome;

Endereço postal e endereços eletrónicos;

Dados telefónicos;

Endereço do equipamento telefónico do assinante;

Fornecedor de acesso à Internet, que utiliza os meios técnicos do fornecedor de acesso referido no n.^o 1, com o qual o assinante celebrou o seu contrato; número de processo;

Data de início da suspensão do acesso a um serviço de comunicação ao público em linha.

[…]»

3. Código das Comunicações Postais e Eletrónicas

24. O artigo L. 34‑1 do Code des postes et des communications électroniques (Código das Comunicações Postais e Eletrónicas), conforme alterado pelo artigo 17.^o da Lei n.^o 2021‑998 de 30 de julho de 2021 (5), dispõe, no ponto II A:

«[O]s operadores de comunicações eletrónicas devem conservar:

1° Para efeitos do processo penal, da prevenção de ameaças contra a segurança pública e da salvaguarda da segurança nacional, as informações relativas à identidade civil do utilizador, até ao final do prazo de cinco anos a contar do termo do seu contrato;

2° Para as mesmas finalidades que as enunciadas no n.^o 1 do presente ponto II‑A, as outras informações fornecidas pelo utilizador no momento da subscrição de um contrato ou da criação de uma conta, bem como as informações relativas ao pagamento, até ao final do prazo de um ano a contar do termo do seu contrato ou do encerramento da sua conta;

3° Para efeitos da luta contra a criminalidade e criminalidade grave, da prevenção de ameaças graves contra a segurança pública e da salvaguarda da segurança nacional, os dados técnicos que permitam identificar a fonte da ligação ou os dados relativos aos equipamentos terminais utilizados, até ao final do prazo de um ano a contar da ligação ou da utilização dos equipamentos terminais.»

III. Tramitação processual no Tribunal de Justiça

25. Em resposta ao convite dirigido aos interessados visados no artigo 23.^o do Estatuto do Tribunal de Justiça da União Europeia, os recorrentes no processo principal, os Governos Francês, Dinamarquês, Estónio, Irlandês, Neerlandês, Finlandês e Sueco, bem como a Comissão Europeia, responderam às questões escritas colocadas pelo Tribunal de Justiça.

26. Essas mesmas partes, com exceção do Governo Finlandês, os Governos Checo, Espanhol, Cipriota, Letão e Norueguês, bem como a AEPD e a ENISA, participaram na audiência que teve lugar em 15 de maio de 2023.

IV. Análise

27. A minha análise das questões prejudiciais nas minhas primeiras conclusões levou‑me a propor ao Tribunal de Justiça que declarasse que o artigo 15.^o, n.^o 1, da Diretiva 2002/58 deve ser interpretado no sentido de que não se opõe a uma legislação nacional que permite a conservação, pelos prestadores de serviços de comunicações eletrónicas, e o acesso de uma autoridade administrativa, como a Hadopi (6), limitados a dados relativos à identidade civil correspondentes a endereços IP a fim de que essa autoridade possa identificar os titulares desses endereços suspeitos de serem responsáveis por violações do direito de autor e direitos conexos e possa tomar, se necessário, medidas contra esses mesmos titulares, sem que esse acesso esteja subordinado a um controlo prévio por um órgão jurisdicional ou uma entidade administrativa independente, quando esses dados constituam o único meio de investigação que permite identificar a pessoa à qual esse endereço estava atribuído no momento da prática da infração.

28. Nas presentes conclusões, procurarei a aprofundar certos aspetos da minha análise anterior e os pontos debatidos na audiência de 15 de maio de 2023, a fim de expor as razões pelas quais mantenho tanto a minha proposta de resposta às questões prejudiciais como o raciocínio que a ela conduziu (7).

29. Mais concretamente, demonstrarei que o facto de se permitir a conservação e o acesso a dados relativos à identidade civil correspondentes a endereços IP, sem controlo prévio, a fim de identificar os autores de uma infração, quando esses dados constituem o único meio de os identificar, satisfaz as exigências estabelecidas pelo Tribunal de Justiça no que respeita ao exame das medidas tomadas ao abrigo do artigo 15.^o, n.^o 1, da Diretiva 2002/58 (secção B).

30. Ao fazê‑lo, sublinharei que tal solução não constitui uma mudança de orientação da jurisprudência exigente e protetora dos direitos fundamentais desenvolvida pelo Tribunal de Justiça desde os Acórdãos Tele2 Sverige e Watson e o. (8) e La Quadrature du Net e o. (9), mas sim um desenvolvimento necessário dessa jurisprudência, que, em minha opinião, se inscreve no seguimento dos princípios estabelecidos pelo Tribunal de Justiça. Esta distinção não é apenas semântica. Com efeito, a solução que proponho não tem por objetivo pôr em causa a jurisprudência existente, mas permitir, em nome de um certo pragmatismo, a sua adaptação em circunstâncias específicas e muito estritamente circunscritas (secção C).

31. Por uma questão de clareza, e na medida em que os debates aquando da audiência demonstraram a necessidade de esclarecimentos a este respeito, começarei a minha análise recordando o funcionamento do mecanismo de resposta graduada utilizado pela Hadopi (secção A).

A. Mecanismo de resposta graduada utilizado pela Hadopi

32. A Hadopi é uma autoridade administrativa independente responsável pela proteção dos direitos de autor e dos direitos conexos contra as infrações a esses direitos cometidas na Internet. Para o efeito, introduziu um mecanismo denominado «resposta graduada», cuja aplicação é confiada à Comissão de Proteção de Direitos da Hadopi.

33. Esta comissão é consultada por organismos de titulares de direitos, nos quais determinados agentes ajuramentados e autorizados pelo Ministro da Cultura recolhem, nas redes descentralizadas (peer‑to‑peer), os endereços IP dos internautas que disponibilizam obras ao público sem a autorização dos respetivos titulares. Nesses casos são elaboradas atas. Essas atas contêm, nomeadamente, o endereço IP do acesso à Internet utilizado para cometer essas infrações aos direitos de autor, a data e a hora da infração verificada, bem como o título da obra em causa, e são transmitidas à Comissão de Proteção de Direitos da Hadopi. Sublinhe‑se a este respeito, tal como a AEPD salientou, que o tratamento de dados pessoais pelos agentes dos organismos de titulares de direitos está sujeito à autorização da Commission nationale de l'informatique et des libertés (Comissão Nacional da Informática e das Liberdades) (CNIL), a autoridade francesa de controlo em matéria de proteção de dados (10).

34. Ao receber as atas, e após um controlo automatizado destinado a garantir que contêm todos os dados necessários, a Comissão de Proteção de Direitos da Hadopi pode obter dos fornecedores de serviços de comunicações eletrónicas a identidade, o endereço postal, o endereço de correio eletrónico e os dados telefónicos do assinante, utilizados para cometer uma infração ao direito de autor.

35. A Hadopi pode então enviar a essa pessoa uma «recomendação» informando‑a de que o seu acesso à Internet foi utilizado de uma forma contrária ao direito de autor e intimando a pessoa suspeita a cumprir a sua obrigação de vigilância no que toca ao respeito, na Internet, de obras protegidas por um direito de autor ou por um direito conexo. Por outras palavras, a recomendação é dirigida ao titular do acesso à Internet, que pode ser, de facto, uma pessoa diferente daquela que disponibilizou a obra em violação do direito de autor. Pode ser emitida uma nova recomendação no caso de uma segunda constatação de contrafação através do mesmo acesso à Internet. Em caso de novas práticas reiteradas, a Comissão de Proteção de Direitos da Hadopi pode decidir recorrer ao Procurador da República para efeitos de instauração de um processo penal. A este respeito, tal como o Governo Francês precisou nas suas primeiras observações, os agentes da Hadopi responsáveis pelo mecanismo de resposta graduada são ajuramentados e autorizados pelo presidente da Hadopi, estão vinculados ao segredo profissional e são os únicos, na Hadopi, autorizados a ter acesso aos dados pessoais tratados no âmbito daquele mecanismo.

36. A este respeito, devo salientar que os dados recolhidos e transmitidos à Hadopi não são os dados de todos os utilizadores das redes peer‑to‑peer que se limitaram a descarregar os conteúdos (11), mas apenas aqueles que disponibilizaram conteúdos contrafeitos, ou seja, que carregaram esses conteúdos.

37. Por exemplo, em 2021, a Hadopi recebeu dos organismos de titulares de direitos cerca de 4 milhões de atas, emitiu 210 595 primeiras recomendações e 53 564 segundas recomendações e remeteu 1 484 casos para o Procurador da República.

38. Dito isto, demonstrarei em que medida este mecanismo, que pressupõe a conservação e o acesso a dados relativos à identidade civil correspondentes a endereços IP, satisfaz, na minha opinião, as exigências da jurisprudência relativa às medidas nacionais adotadas ao abrigo do artigo 15.^o, n.^o 1, da Diretiva 2002/58.

B. Respeito das exigências decorrentes da jurisprudência do Tribunal de Justiça relativa à interpretação do artigo 15.^o, n.^o 1, da Diretiva 2002/58

39. Tendo já passado em revista, nas minhas primeiras conclusões, a jurisprudência do Tribunal relativa à conservação e ao acesso aos endereços IP atribuídos à fonte de uma ligação (12), concentrar‑me‑ei, nas presentes conclusões, naquilo que considero ser o cerne dessa jurisprudência, a saber, por um lado, a exigência de proporcionalidade, e, por outro, no que respeita ao acesso a esses dados, a eventual necessidade de um controlo prévio, por um órgão jurisdicional ou uma autoridade administrativa independente.

1. Quanto à proporcionalidade da medida em causa

40. Para determinar a compatibilidade com o direito da União de uma medida de conservação ou de acesso a dados relativos à identidade civil correspondentes a um endereço IP, é necessário, como o Tribunal de Justiça tem repetidamente sublinhado, conciliar os diferentes interesses legítimos e direitos em causa, que são, por um lado, os direitos à proteção da vida privada e à proteção dos dados pessoais (13) garantidos pelos artigos 7.^o e 8.^o da Carta, e, por outro, a proteção dos direitos e liberdades de outrem e dos direitos consagrados nos artigos 3.^o, 4.^o, 6.^o e 7.^o da Carta (14). Acrescento que, no presente processo, os direitos à proteção da vida privada e à proteção dos dados pessoais devem igualmente ser conciliados com o direito de propriedade consagrado no artigo 17.^o da Carta, na medida em que o mecanismo de resposta graduada visa, em última análise, proteger o direito de autor e os direitos conexos.

41. O Tribunal de Justiça precisa, a este respeito, que essa conciliação a título do artigo 15.^o, n.^o 1, da Diretiva 2002/58 permite que os Estados‑Membros adotem uma medida derrogatória ao princípio da confidencialidade quando tal medida seja «necessária, adequada e proporcionada numa sociedade democrática» (itálico meu). O considerando 11 da diretiva estabelece que essas medidas devem ser «rigorosamente» proporcionais ao objetivo a alcançar (15).

42. O Tribunal de Justiça refere, aliás, o princípio da proporcionalidade ao longo de toda a sua argumentação sobre a interpretação do artigo 15.^o, n.^o 1, da Diretiva 2002/58, tornando‑o, portanto, a pedra angular da análise de uma medida nacional de conservação ou de acesso a dados pessoais adotada ao abrigo desta disposição.

43. Uma leitura mais aprofundada dessa argumentação revela que o princípio da proporcionalidade contém, no contexto do artigo 15.^o, n.^o 1, da Diretiva 2002/58, diferentes aspetos relacionados, por um lado, com a gravidade da ingerência nos direitos fundamentais que a conservação ou o acesso aos dados de tráfego implica, e, por outro, com a necessidade da medida em causa.

44. No que diz respeito à conservação e ao acesso da Hadopi às identidades civis correspondentes a endereços IP, sou de opinião que tanto a gravidade da ingerência como o caráter indispensável desses dados devem levar o Tribunal de Justiça a modular o seu exame da proporcionalidade de uma medida nacional adotada ao abrigo do artigo 15.^o, n.^o 1, da Diretiva 2002/58.

a) Gravidade relativa da ingerência nos direitos fundamentais

45. Resulta claramente da jurisprudência constante do Tribunal de Justiça que, em conformidade com o princípio da proporcionalidade, a importância do objetivo prosseguido por uma medida tomada ao abrigo do artigo 15.^o, n.^o 1, da Diretiva 2002/58 deve estar relacionada com a gravidade da ingerência daí resultante (16).

46. Mais especificamente, o Tribunal declarou, como salientei nas minhas primeiras conclusões, que uma ingerência grave só pode ser justificada, em matéria de prevenção, investigação, deteção e repressão de infrações penais, por um objetivo de luta contra a criminalidade, devendo também este ser qualificado de «grave» (17).

47. No que se refere aos endereços IP, o Tribunal sublinha que, embora sejam menos sensíveis do que os outros dados de tráfego, a sua conservação e a sua análise constituem, não obstante, ingerências graves nos direitos fundamentais, uma vez que podem ser utilizados para efetuar o rastreio exaustivo do percurso de navegação de um internauta e, logo, estabelecer o perfil pormenorizado deste último e tirar conclusões precisas sobre a sua vida privada (18).

48. No processo principal, a conservação e o acesso a dados de identidade civil correspondentes a endereços IP visam lutar contra as violações dos direitos de autor e dos direitos conexos. Ora, a meu ver, é evidente que esta luta não pode integrar a luta contra a criminalidade grave (19), mesmo que o volume destas violações seja massivo. Existe, portanto, uma discrepância entre a gravidade da ingerência nos direitos fundamentais que a medida em causa implica e o objetivo por ela prosseguido.

49. Nas minhas primeiras conclusões, considerei, em conformidade com a jurisprudência do Tribunal, que o acesso da Hadopi aos dados relativos à identidade civil correspondentes a um endereço IP constitui uma ingerência grave nos direitos fundamentais. Embora tenha igualmente considerado que a conservação e o acesso a esses dados deviam ser permitidos no caso vertente, devo fornecer ainda alguns esclarecimentos adicionais na sequência da audiência.

50. O mecanismo de resposta graduada permite à Hadopi associar o endereço IP, comunicado pelos organismos de titulares de direitos, de pessoas suspeitas de terem utilizado o seu acesso à Internet para cometer uma violação do direito de autor numa rede peer‑to‑peer à identidade civil dessa pessoa, bem como a um extrato do ficheiro carregado em violação dos direitos de autor. Como a Comissão e a AEPD salientaram na audiência, embora esses elementos permitam seguramente obter mais informações do que a simples identidade do presumido infrator, não conduzem a conclusões muito precisas sobre a vida privada dessa pessoa. Com efeito, como referi nas minhas primeiras conclusões (20), trata‑se apenas da divulgação de uma consulta pontual de um conteúdo que, isoladamente, não permite estabelecer um perfil detalhado da pessoa que a efetuou.

51. Isto é tanto mais assim que, desde logo, a grande maioria dos endereços IP comunicados à Hadopi constituem endereços IP ditos «dinâmicos», que são, por natureza, mutáveis e apenas correspondem a uma identidade precisa num único momento, o qual coincide com a disponibilização do conteúdo em causa. Não permitem, portanto, qualquer rastreio exaustivo.

52. Seguidamente, devo salientar que a proteção dos direitos fundamentais na Internet não me parece poder justificar que não seja possível aceder aos dados relativos ao endereço IP, ao conteúdo de uma obra e à identidade da pessoa que a disponibilizou em violação dos direitos de autor, mas apenas que devem ser criadas salvaguardas para a conservação e o acesso a esses dados. Uma analogia com o mundo real parece‑me eloquente a este respeito: uma pessoa suspeita de ter cometido um furto não pode invocar o seu direito à proteção da vida privada para que as pessoas encarregadas da repressão desta infração não possam tomar conhecimento do conteúdo furtado. Em contrapartida, essa pessoa pode, com toda a razão, invocar os seus direitos fundamentais a fim de impedir, no decurso do processo, o acesso a um conjunto de dados mais vasto do que os dados necessários para qualificar a alegada infração.

53. Por último, contrariamente ao que os recorrentes alegaram, o mecanismo de resposta graduada não parece implicar uma vigilância generalizada dos utilizadores das redes peer‑to‑peer. Com efeito, não se trata de verificar toda a sua atividade numa certa rede, a fim de estabelecer se disponibilizaram uma obra em violação dos direitos de autor, mas sim, a partir de um ficheiro identificado como contrafação, determinar o detentor do acesso à Internet a partir do qual o internauta procedeu à disponibilização. Do mesmo modo, tal como a AEPD salientou na audiência, não se trata de vigiar a atividade de todos os utilizadores das redes peer‑to‑peer, mas apenas a das pessoas que carregam ficheiros ilícitos, sendo o carregamento desses ficheiros tanto menos revelador de elementos relacionados com a vida privada da pessoa, que pode ser efetuado apenas para permitir que esses internautas descarreguem seguidamente outros ficheiros.

54. Nestas circunstâncias, as razões que levaram o Tribunal de Justiça a considerar a conservação e o acesso aos endereços IP como uma ingerência grave nos direitos fundamentais não me parecem aplicar‑se a um mecanismo de resposta graduada como o utilizado pela Hadopi. Conclui‑se que a gravidade da ingerência que essa conservação e esse acesso implicam deve ser relativizada aquando da análise do princípio da proporcionalidade.

55. Por outras palavras, sou de opinião de que a jurisprudência do Tribunal de Justiça sobre a gravidade da ingerência nos direitos fundamentais causada pela conservação e o acesso a endereços IP deve ser interpretada não no sentido de que essa ingerência é sempre grave, mas que só o é quando os endereços IP podem conduzir ao rastreio exaustivo do percurso de navegação do internauta e a conclusões muito precisas sobre a sua vida privada.

56. Uma vez que não é esse o caso numa situação como a do processo principal, a ingerência que implica a conservação e o acesso às identidades civis correspondentes a um endereço IP utilizado para a disponibilização de um conteúdo em violação do direito de autor deve poder ser justificada por um objetivo de luta contra a criminalidade mais vasto do que a simples criminalidade grave.

57. Preciso, além disso, que a violação dos direitos fundamentais que implicam a conservação e o acesso aos dados relativos à identidade civil correspondentes a um endereço IP numa situação como a que está em causa no processo principal não é agravada pelo facto de o titular do acesso à Internet utilizado para disponibilizar um conteúdo ilícito não ser necessariamente a pessoa que disponibilizou esses conteúdos, pelo que a recomendação feita pela Hadopi poderia implicar que se revelasse a esse titular o referido conteúdo a que um terceiro tivesse tido acesso. Por um lado, recordo que a infração invocada pela Hadopi consiste no incumprimento da obrigação de zelar por que o acesso não seja utilizado para disponibilizar conteúdos em violação dos direitos de autor. É, portanto, necessário que as informações que permitem a sua qualificação sejam transmitidas ao seu presumido autor. Por outro lado, como já referi, sou de opinião que as informações relativas à obra em causa não permitem tirar conclusões precisas sobre a vida privada da pessoa responsável pela sua disponibilização. A eventual transmissão destas informações ao titular da ligação à Internet não vai, portanto, além do que é necessário para permitir a repressão da violação do direito de autor em causa.

b) Caráter indispensável dos dados em causa para a deteção e a repressão de uma infração

58. Para garantir a proporcionalidade de uma medida de conservação e de acesso a dados de tráfego como os dados de identidade civil correspondentes a um endereço IP, adotada ao abrigo do artigo 15.^o, n.^o 1, da Diretiva 2002/58, é necessário, segundo a jurisprudência do Tribunal de Justiça, que a ingerência que ela pressupõe seja limitada ao estritamente necessário para alcançar o objetivo prosseguido (21). Parece‑me ser precisamente este o caso no que respeita à medida em causa no processo principal.

59. Como salientei nas minhas primeiras conclusões (22), decorre da própria jurisprudência do Tribunal de Justiça que, no caso de uma infração cometida exclusivamente em linha, como uma violação do direito de autor numa rede peer‑to‑peer, o endereço IP pode constituir o único meio de investigação que permite a identificação da pessoa à qual esse endereço estava atribuído no momento da prática dessa infração (23). Por conseguinte, a meu ver, a conservação e o acesso a dados relativos à identidade civil correspondentes a endereços IP para efeitos de deteção e repressão das infrações aos direitos de autor cometidas em linha são, de acordo com a jurisprudência, estritamente necessários para alcançar o objetivo pretendido.

60. É verdade que qualquer exigência de proteção dos dados pessoais pressupõe uma limitação dos poderes de investigação. Isto resulta do próprio princípio da conciliação de interesses contrários e esse resultado não pode, enquanto tal, ser contestado. No entanto, na hipótese em que o endereço IP é o único meio de identificar a pessoa suspeita de ter cometido uma infração em linha a um direito de propriedade intelectual, tal situação difere da maioria dos processos penais, a respeito dos quais o Tribunal de Justiça sublinha que «a eficácia […] depende geralmente não de um único instrumento de investigação, mas de todos os instrumentos de investigação de que dispõem as autoridades nacionais competentes para esses efeitos» (24). Admitir que os dados de identidade civil correspondentes a endereços IP não devem ser objeto de conservação ou de acesso numa situação como a que está em causa no processo principal não conduz, como qualquer medida que assegure a proteção dos dados de tráfego, a uma simples limitação dos poderes de investigação, mas sim a privar as autoridades nacionais do único meio de detetar e de reprimir certas infrações.

61. Dito noutros termos, segundo a interpretação que proponho do artigo 15.^o, n.^o 1, da Diretiva 2002/58, não se trata de permitir, através de um exame da necessidade dessa medida, a conservação e o acesso a dados que apenas facilitam a deteção e a repressão de infrações, quando essas infrações também podem ser detetadas e reprimidas por meios concorrentes, mesmo que sejam menos eficazes. Em contrapartida, trata‑se de permitir a conservação e o acesso a esses dados quando eles são indispensáveis para a identificação da pessoa suspeita de ter cometido uma infração, que não poderia ser reprimida sem esses meios visto que os dados em causa constituem o único instrumento de identificação do internauta, na medida em que a infração é cometida exclusivamente em linha.

62. Na minha opinião, esta interpretação é imperativa, exceto no caso de se admitir que uma série de infrações penais nunca possam ser sujeitas a ação penal (25).

63. A meu ver, resulta de todas as considerações anteriores que a legislação nacional que permite a conservação, pelos prestadores de serviços de comunicações eletrónicas, e o acesso, por uma autoridade administrativa, limitados a dados relativos à identidade civil correspondentes a endereços IP é plenamente proporcionada ao objetivo prosseguido, a saber, a repressão de infrações aos direitos de autor e aos direitos conexos na Internet, na medida em que a ingerência nos direitos fundamentais que implicam é de gravidade limitada e em que esses dados constituem o único meio de investigação que permite identificar a pessoa a quem esse endereço estava atribuído no momento da prática da infração.

64. Por conseguinte, sou de opinião que o artigo 15.^o, n.^o 1, da Diretiva 2002/58 deve ser interpretado no sentido de que não se opõe a essa legislação.

2. Quanto à existência de garantias materiais e processuais adequadas

65. No que se refere especificamente ao acesso a dados relativos à identidade civil correspondentes a endereços IP, resulta da jurisprudência do Tribunal de Justiça que a mera proporcionalidade estrita da medida não é suficiente para a tornar compatível com o artigo 15.^o, n.^o 1, da Diretiva 2002/58.

66. Com efeito, para garantir que o acesso aos dados de tráfego e de localização se limita ao estritamente necessário, o Tribunal de Justiça considerou indispensável que esse acesso esteja sujeito a um controlo prévio efetuado por um órgão jurisdicional ou por uma entidade administrativa independente que disponha de todas as atribuições e apresente todas as garantias necessárias com vista a assegurar uma conciliação dos diferentes interesses legítimos e direitos em causa (26).

67. Por conseguinte, uma leitura estrita da jurisprudência levaria a concluir que o acesso pela Hadopi aos dados relativos à identidade civil correspondentes a endereços IP das pessoas suspeitas de terem cometido uma infração aos direitos de autor na Internet deveria estar sujeito a esse controlo prévio, que não existe no atual mecanismo de resposta graduada.

68. No entanto, como o Governo Irlandês afirmou na audiência e como defendi nas minhas primeiras conclusões, a exigência de um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente não é uma exigência sistemática, mas depende de uma análise mais global da medida em causa, que tenha em conta tanto a gravidade da ingerência que implica como as salvaguardas que prevê.

69. Com efeito, recordo que cada um dos acórdãos em que esta exigência de controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente foi estabelecida dizia respeito a legislações nacionais que permitiam o acesso a todos os dados de tráfego e de localização dos utilizadores relativos a todos os meios de comunicação eletrónicos de utilizadores (27) ou, pelo menos, à telefonia fixa e móvel (28) de utilizadores identificados.

70. Deduzo que a exigência desse controlo prévio é guiada pela gravidade da ingerência em causa nos processos em questão. Como o Tribunal de Justiça sublinhou, os dados em causa eram «efetivamente suscetíve[is] de permitir tirar conclusões precisas, ou mesmo muito precisas, sobre a vida privada das pessoas […] como os hábitos da vida quotidiana, os locais de residência permanentes ou temporários, as deslocações diárias ou outras, as atividades exercidas, as relações sociais dessas pessoas e os meios sociais frequentados por estas» (29). Além disso, os dados em causa visavam pessoas que já tinham sido identificadas e eram suspeitas de ter cometido uma infração com base noutros indícios, permitindo, portanto, os dados em causa reforçar os elementos de prova contra o utilizador em questão através do alargamento do âmbito dos dados que lhe diziam respeito.

71. Ora, no caso da legislação objeto do processo principal, e como já sublinhei, a gravidade da ingerência que implica a associação de um dado relativo à identidade civil a um endereço IP é muito inferior à que resulta do acesso a todos os dados de tráfego e de localização de uma pessoa, na medida em que essa associação não fornece nenhum elemento que permita tirar conclusões precisas sobre a vida privada da pessoa em causa.

72. Além disso, tal como salientei nas minhas primeiras conclusões (30), esses dados apenas dizem respeito a pessoas que, na sequência de uma constatação objetiva de utilização do endereço IP em violação de um direito de autor, estabelecida pelos organismos de titulares de direitos, tenham praticado atos suscetíveis de constituir uma violação da obrigação de vigilância, prevista no artigo L.336‑3 do CPI. Essas pessoas não são previamente identificadas por qualquer outro meio, uma vez que a associação do endereço IP aos dados relativos à identidade civil constitui o único meio de identificar a pessoa em causa. O acesso a esses dados não permite, portanto, como acontecia nos processos anteriormente julgados pelo Tribunal de Justiça, obter informações complementares e precisas sobre a atividade de pessoas já suspeitas com base noutros elementos, mas apenas tornar utilizável o endereço IP, que, de outro modo, não teria qualquer interesse. Nestas condições, os dados a que a Hadopi tem acesso são de facto limitados.

73. Na minha opinião, existe uma diferença fundamental entre aceder a dados pessoais relativos a uma pessoa suspeita de ter cometido uma infração para demonstrar a sua culpa e revelar a identidade do autor de uma infração que já foi constatada.

74. Isso é tanto mais assim que, na minha opinião, a recolha de endereços IP nas redes peer‑to‑peer está sujeita a uma autorização prévia limitada apenas a estes dados, pelo que a Hadopi nunca está na posse de um conjunto ilimitado de dados sobre os internautas suspeitos de terem cometido uma infração aos direitos de autor na Internet (31).

75. Por conseguinte, a lógica subjacente à exigência de um controlo prévio por um órgão jurisdicional ou por uma entidade administrativa independente não se aplica ao mecanismo de resposta graduada como o que está em causa no processo principal, pelo que essa exigência não se me afigura necessária para garantir que a ingerência nos direitos fundamentais que este mecanismo implica se limita ao estritamente necessário.

76. Resulta do exposto que uma legislação nacional que permite a conservação e o acesso, por uma autoridade administrativa independente como a Hadopi, a dados relativos à identidade civil correspondentes a endereços IP, para identificar os titulares desses endereços, que são suspeitos de ter cometido violações de direitos de autor, sem que esse acesso esteja sujeito ao controlo prévio de um órgão jurisdicional ou de uma entidade administrativa independente respeita, in fine, os princípios enunciados pela jurisprudência do Tribunal de Justiça, quando esses dados constituam o único meio de identificar a pessoa a quem o endereço IP estava atribuído no momento em que a infração foi cometida, pelo que o artigo 15.^o, n.^o 1, da Diretiva 2002/58 deve ser interpretado no sentido de que não se opõe a essa legislação.

77. Além destas considerações específicas do processo principal, devo ainda formular algumas observações mais gerais acerca da necessidade de proceder a este desenvolvimento da jurisprudência do Tribunal de Justiça.

C. Desenvolvimento necessário e limitado da jurisprudência

78. Vários argumentos militam a favor de um aperfeiçoamento da jurisprudência do Tribunal de Justiça relativa à conservação e ao acesso a dados como os endereços IP associados a dados relativos à identidade civil.

79. Em primeiro lugar, como já salientei (32), na situação em causa no processo principal a obtenção dos dados relativos à identidade civil correspondentes a um endereço IP é o único meio de investigação que permite identificar a pessoa a quem esse endereço estava atribuído no momento da prática da infração em causa.

80. Conclui‑se, necessariamente, que se o Tribunal de Justiça fosse levado a considerar que o artigo 15.^o, n.^o 1, da Diretiva 2002/58 se opõe, mesmo assim, à conservação e ao acesso a esses dados, as autoridades nacionais estariam de facto privadas desse único meio de identificação e, desse modo, os autores da infração em causa nunca poderiam ser alvo de uma ação penal (33). Isto levou‑me, nas minhas primeiras conclusões, a evocar a possibilidade de uma impunidade sistémica em relação a esta infração (34).

81. O risco de impunidade sistémica não se limita às infrações aos direitos de autor cometidas nas redes peer‑to‑peer, mas estende‑se, como o Governo Checo argumentou na audiência, a todas as infrações cometidas exclusivamente em linha.

82. Com efeito, as infrações cujo autor só pode ser identificado através do seu endereço IP nunca poderiam ser reprimidas e os diplomas que as punem nunca poderiam ser aplicados, se se considerasse que tanto a conservação dos dados como o acesso aos mesmos são contrários ao direito da União.

83. A este respeito, é verdade, como alegaram os recorrentes no processo principal, que outros meios poderiam, em teoria, permitir a identificação dos autores de certas infrações cometidas exclusivamente em linha. Referem, em particular, o identificador utilizado nas redes sociais e os dados associados à conta do utilizador, o seu endereço eletrónico, o seu número de telefone ou um aspeto da sua vida privada que essa pessoa tenha revelado. No entanto, para associar esses dados à identidade de uma pessoa são necessárias investigações aprofundadas, durante as quais a atividade em linha do internauta é examinada. O recurso a esses meios de investigação, ao contrário do que acontece com o endereço IP simples, parece‑me, portanto, suscetível de permitir tirar conclusões muito precisas sobre a vida privada das pessoas, pelo que a conservação e o acesso a esses dados seriam, neste sentido, contrários ao artigo 15.^o, n.^o 1, da Diretiva 2002/58.

84. Nestas condições, o acesso a dados relativos à identidade civil correspondentes ao endereço IP de um internauta não é certamente, em teoria, o único meio de investigação que permite identificar o titular desse endereço no momento em que a infração foi cometida, mas é o único meio que permite punir o infrator com a menor ingerência nos seus direitos fundamentais, e, por conseguinte, evitar a impunidade geral.

85. Em segundo lugar, sublinho de novo que tal solução permitiria, a meu ver, conciliar duas linhas de jurisprudência do Tribunal de Justiça que estão na origem de uma certa tensão que identifiquei nas minhas primeiras conclusões (35) e nas conclusões relativas ao Processo M.I.C.M. (36), a saber, por um lado, a jurisprudência relativa à conservação e ao acesso aos dados, e, por outro, a jurisprudência relativa à divulgação dos endereços IP atribuídos à fonte de uma ligação à Internet no âmbito de ações de proteção dos direitos de propriedade intelectual intentadas por particulares.

86. Em terceiro lugar, embora a jurisprudência do Tribunal de Justiça desde os Acórdãos Tele2 e La Quadrature du Net e o. seja de saudar, na medida em que permitiu estabelecer um quadro de proteção dos direitos fundamentais dos utilizadores de serviços de comunicações eletrónicas, ela é, contudo, marcada por um certo casuísmo. Com efeito, no decurso dos processos submetidos à sua apreciação, o Tribunal de Justiça aperfeiçoou progressivamente a sua jurisprudência, o que lhe permitiu examinar diversas legislações nacionais à luz do artigo 15.^o, n.^o 1, da Diretiva 2002/58. Todavia, é impossível ao Tribunal de Justiça antecipar virtualmente a totalidade das medidas suscetíveis de ser analisadas à luz desta disposição. Este facto é confirmado pelo número de pedidos de decisão prejudicial (37) que o Tribunal de Justiça recebeu desde o Acórdão Tele2, o que demonstra, a meu ver, a dificuldade que os órgãos jurisdicionais nacionais podem ter em aplicar os princípios enunciados na jurisprudência do Tribunal de Justiça a situações diferentes daquelas que deram origem aos acórdãos em causa (38).

87. Afigura‑se‑me, portanto, que é necessário um certo grau de flexibilidade quando são submetidas à apreciação do Tribunal de Justiça medidas que não podiam ser previstas em acórdãos anteriores, tais como legislações relativas a infrações que só podem ser reprimidas na medida em que os dados relativos à identidade civil correspondentes a endereços IP sejam conservados e estejam acessíveis, sobre as quais o Tribunal de Justiça nunca teve de se pronunciar anteriormente.

88. Não se trata, portanto, como defendeu o Governo Dinamarquês, de reconsiderar a jurisprudência do Tribunal de Justiça, mas de admitir que, com base nos princípios que lhe estão subjacentes, se pode encontrar uma solução mais matizada, em circunstâncias muito limitadas.

89. Com efeito, a interpretação que proponho do artigo 15.^o, n.^o 1, da Diretiva 2002/58 apenas permite a conservação e o acesso a dados relativos à identidade civil correspondentes a endereços IP no âmbito da repressão de infrações cujos autores não poderiam ser identificados na inexistência desses dados. Por conseguinte, visa apenas as infrações cometidas exclusivamente na Internet e não põe em causa as soluções previstas pela jurisprudência em matéria de conservação e de acesso a dados mais amplos, que prosseguem outros objetivos.

V. Conclusão

90. Tendo em conta todas as considerações precedentes, proponho que o Tribunal de Justiça responda da seguinte forma às questões prejudiciais submetidas pelo Conseil d'État (Conselho de Estado, em formação jurisdicional, França):

O artigo 15.^o, n.^o 1, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, lido à luz dos artigos 7.^o, 8.^o e 11.^o bem como do artigo 52.^o, n.^o 1, da Carta dos Direitos Fundamentais da União Europeia,

deve ser interpretado no sentido de que:

não se opõe a uma legislação nacional que permite a conservação pelos prestadores de serviços de comunicações eletrónicas e o acesso de uma autoridade administrativa, responsável pela proteção dos direitos de autor e direitos conexos contra violações desses direitos cometidas na Internet, limitados a dados relativos à identidade civil correspondentes a endereços IP, a fim de que essa autoridade possa identificar os titulares desses endereços suspeitos de serem responsáveis pela prática dessas violações e possa tomar, se necessário, medidas contra esses mesmos titulares, sem que esse acesso esteja subordinado a um controlo prévio por um órgão jurisdicional ou uma entidade administrativa independente, quando esses dados constituam o único meio de investigação que permite a identificação das pessoas às quais os referidos endereços estavam atribuídos no momento da prática da infração.

1 Língua original: francês.

2 Diretiva do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «Diretiva 2002/58»).

3 Diretiva do Parlamento Europeu e do Conselho, de 24 de outubro de 1995, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados (JO 1995, L 281, p. 31).

4 JORF de 7 de março de 2010, texto n.^o 19.

5 JORF de 31 de julho de 2021, texto n.^o 1. Esta versão do artigo L. 34‑1 do CPCE, em vigor desde 31 de julho de 2021, foi adotada na sequência da Decisão do Conseil d’État (Conselho de Estado, em formação jurisdicional) de 21 de abril de 2021, n.^o 393099 (JORF de 25 de abril de 2021), que revogou a versão anterior dessa disposição, que incluía uma obrigação de conservação de dados pessoais «para efeitos de investigação, deteção e repressão de infrações penais ou do incumprimento da obrigação definida no artigo L. 336‑3 [do CPI]» com o único objetivo de permitir, se necessário, a disponibilização, nomeadamente, à Hadopi. Pela Decisão n.^o 2021‑976‑977 QPC, de 25 de fevereiro de 2022 (M. Habib A. e o.), o Conseil constitutionnel (Tribunal Constitucional, França) declarou a inconstitucionalidade da versão anterior do artigo L. 34‑1 do CPCE, pelo facto essencial de que, «ao autorizar a conservação geral e indiferenciada dos dados de ligação, as disposições impugnadas violam de forma desproporcionada o direito à vida privada» (n.^o 13). Com efeito, esse órgão jurisdicional considerou que os dados de ligação que devem ser conservados por força dessas disposições são relativos, não só à identificação dos utilizadores dos serviços de comunicações eletrónicas, mas também a outros dados que, «atendendo à respetiva diversidade e aos tratamentos de que podem ser objeto […], fornecem, sobre esses utilizadores e, eventualmente, sobre terceiros, informações diversas e precisas, especialmente lesivas da sua privacidade» (n.^o 11).

6 Em 1 de janeiro de 2022, o Conseil supérieur de l'audiovisuel (Conselho Superior do Audiovisual) (CSA) e a Hadopi passaram a ser a Autorité de régulation de la communication audiovisuelle et numérique [Autoridade Reguladora da Comunicação Audiovisual e Digital) (Arcom). Contudo, tendo em conta o período em que ocorreram os factos do litígio no processo principal, referir‑me‑ei, nas presentes conclusões, à Hadopi.

7 A este respeito, mantenho igualmente a minha proposta de reformulação das questões prejudiciais, assim como o meu entendimento do respetivo objeto. Com efeito, embora, no enunciado das questões prejudiciais, seja apenas mencionado o acesso aos dados relativos à identidade civil correspondentes a endereços IP, a questão do acesso a esses dados é, contudo, indissociável da sua conservação pelos prestadores de serviços de comunicações eletrónicas, pelo que a análise da compatibilidade da conservação com o direito da União é um pressuposto necessário à da compatibilidade do acesso. Sobre este ponto, v. n.^os 45 e segs. das minhas primeiras conclusões. Do mesmo modo, embora as questões prejudiciais se refiram aos «dados relativos à identidade civil correspondentes a um endereço IP», devem ser entendidas no sentido de que se referem igualmente ao acesso aos endereços IP que permitem identificar a origem de uma ligação. Sobre este ponto, v. n.^os 41 e segs. das minhas primeiras conclusões.

8 Acórdão de 21 de dezembro de 2016 (C‑203/15 e C‑698/15, a seguir «Acórdão Tele2», EU:C:2016:970).

9 Acórdão de 6 de outubro de 2020 (C‑511/18, C‑512/18 e C‑520/18, a seguir «Acórdão La Quadrature du Net e o.», EU:C:2020:791).

10 V., a este respeito, Deliberação da CNIL n.^o 2010‑225, de 10 de junho de 2010, que modifica a autorização concedida à Société des auteurs, compositeurs et éditeurs de musique (SACEM) para o tratamento de dados pessoais com o fim de investigação e de registo das infrações de contrafação cometidas através de redes de troca de ficheiros conhecidas como «peer‑to‑peer» (autorização n.^o 1425421).

11 Sobre o funcionamento das redes peer‑to‑peer e os diferentes perfis de internautas nestas redes, v. as minhas Conclusões no processo M.I.C.M. (C‑597/19, EU:C:2020:1063, n.^o 37 e segs.).

12 N.^os 53 e segs. das minhas primeiras conclusões.

13 Os direitos à proteção da vida privada e à proteção dos dados pessoais traduzem‑se, no contexto da Diretiva 2002/58, pelos princípios da confidencialidade das comunicações e da proibição de armazenamento de dados a elas respeitantes que esta diretiva estabelece.

14 Acórdãos de 20 de setembro de 2022, SpaceNet e Telekom Deutschland (C‑793/19 e C‑794/19, a seguir «Acórdão SpaceNet e Telekom Deutschland», EU:C:2022:702, n.^os 63 e 65); de 5 de abril de 2022, Commissioner of An Garda Síochána e o. (C‑140/20, a seguir «Acórdão Commissioner of An Garda Síochána e o.», EU:C:2022:258, n.^os 48 e 50); e La Quadrature du Net e o. (n.^os 120 a 122, 127 e 128).

15 Acórdãos La Quadrature du Net e o. (n.^o 129), Commissioner of An Garda Síochána e o. (n.^o 51), e SpaceNet e Telekom Deutschland (n.^o 66).

16 Acórdãos Commissioner of An Garda Síochána e o. (n.^o 56) e SpaceNet e Telekom Deutschland (n.^o 71).

17 Acórdãos Tele2 (n.^o 115); de 2 de outubro de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788, n.^o 56); e de 2 de março de 2021, Prokuratuur (Condições de acesso aos dados relativos às comunicações eletrónicas) (C‑746/18, a seguir «Acórdão Prokuratuur», EU:C:2021:152, n.^o 33). V., também, n.^o 92 das minhas primeiras conclusões.

18 V. Acórdãos La Quadrature du Net e o. (n.^os 152 e 153), Commissioner of An Garda Síochána e o. (n.^o 73), e SpaceNet e Telekom Deutschland (n.^o 103).V., também, n.^os 63, 64 e 93 das minhas primeiras conclusões.

19 Nas minhas primeiras conclusões, defendi que o conceito de «criminalidade grave» deveria ser objeto de uma interpretação autónoma, a fim de evitar que os Estados‑Membros contornassem os requisitos do artigo 15.^o, n.^o 1, da Diretiva 2002/58. Mantenho esta posição. Devo, porém, sublinhar que, mesmo que o Tribunal de Justiça venha a decidir que a definição de «criminalidade grave» é deixada ao critério dos Estados‑Membros, esta deve, em todo o caso, ser estabelecida dentro dos limites do direito da União e não pode ser alargada ao ponto de esvaziar de sentido aquela disposição.

20 N.^o 101 das minhas primeiras conclusões.

21 Acórdãos La Quadrature du Net e o. (n.^os 120 a 122 e 132); Commissioner of An Garda Síochána e o. (n.^os 48 e 54) e SpaceNet e Telekom Deutschland (n.^os 63 e 69).

22 N.^o 78 das minhas primeiras conclusões.

23 Acórdãos La Quadrature du Net e o. (n.^o 154), Commissioner of An Garda Síochána e o. (n.^o 73), e SpaceNet e Telekom Deutschland (n.^o 100).

24 Acórdão Commissioner of An Garda Síochána e o. (n.^o 69).

25 N.^o 81 das minhas primeiras conclusões. V., também, sobre este ponto, n.^os 79 e segs. das presentes conclusões.

26 Acórdãos Tele2 (n.^o 120); Prokuratuur (n.^os 51 e 52); e Commissioner of An Garda Síochána e o. (n.^os 106 e 107).

27 Acórdãos Tele2, e Commissioner of An Garda Síochána e o.

28 Acórdão Prokuratuur.

29 Acórdão Prokuratuur (n.^o 36).

30 N.^o 102 das minhas primeiras conclusões.

31 N.^o 33 das presentes conclusões.

32 N.^o 59 das presentes conclusões.

33 N.^o 62 das presentes conclusões.

34 N.^os 78 e segs. das minhas primeiras conclusões.

35 N.^os 69 e segs. das minhas primeiras conclusões.

36 C‑597/19, EU:C:2020:1063.

37 Acórdãos de 2 de outubro de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788); La Quadrature du Net e o.; Prokuratuur; Commissioner of An Garda Síochána e o. e SpaceNet e Telekom Deutschland.

38 A este respeito, a multiplicação dos pedidos de decisão prejudicial sobre a interpretação do artigo 15.^o, n.^o 1, da Diretiva 2002/58 pode também indicar uma certa relutância por parte dos órgãos jurisdicionais nacionais em aplicar os princípios desenvolvidos pelo Tribunal de Justiça a situações ligeiramente diferentes, devido às especificidades das ordens jurídicas nacionais. Sobre este ponto, v., nomeadamente, Cameron, I., «Metadata retention and national security: Privacy international and La Quadrature du Net», Common Market Law Review, 2021, vol. 58, n.^o 5, pp. 1433 a 1471, ou Bertrand, B., «L'audace sans le tact: jusqu'où la Cour de justice peut‑elle aller trop loin», Dalloz IP/IT, 2021, n.^o 9, pp. 468 a 472. Por conseguinte, parece‑me ainda mais essencial, a fim de manter um diálogo frutuoso entre o Tribunal de Justiça e os órgãos jurisdicionais dos Estados‑Membros, que o Tribunal de Justiça possa adaptar‑se quando as circunstâncias o exijam. Como salientam os autores da doutrina nesta matéria, o elevado nível de proteção estabelecido pela jurisprudência do Tribunal de Justiça não pode ser realmente eficaz sem adesão dos órgãos jurisdicionais nacionais, responsáveis, em primeira linha, pela sua aplicação. Sobre este ponto, v., nomeadamente, Teyssedre, J., «Strictly regulated retention and access regimes for metadata: Commissioner of An Garda Siochana», Common Market Law Review, vol. 60, n.^o 2, 2023, pp. 569 a 588, e Sirinelli, J., «La protection des données de connexion par la Cour de justice: cartographie d'une jurisprudence européenne inédite», Revue trimestrielle de droit européen, vol. 57, n.^o 2, 2021, pp. 313 a 329.