CONCLUSÕES DO ADVOGADO‑GERAL
MANUEL CAMPOS SÁNCHEZ‑BORDONA
apresentadas em 15 de janeiro de 2020 (1)
Processo C‑623/17
Privacy International
contra
Secretary of State for Foreign and Commonwealth Affairs,
Secretary of State for the Home Department,
Government Communications Headquarters,
Security Service,
Secret Intelligence Service
[pedido de decisão prejudicial apresentado pelo Investigatory Powers Tribunal (Tribunal de Instrução, Reino Unido)]
«Questão prejudicial — Tratamento de dados pessoais e proteção da vida privada no setor das comunicações eletrónicas — Diretiva 2002/58/CE — Âmbito de aplicação — Artigo 1.o, n.o 3 — Artigo 15.o, n.o 3 — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.o, 8.o, 51.o e 52.o, n.o 1 — Artigo 4.o, n.o 2, TUE — Transmissão generalizada e indiferenciada aos serviços de segurança de dados de conexão dos utilizadores de um serviço de comunicações eletrónicas»
1. O Tribunal de Justiça tem mantido nos últimos anos uma linha jurisprudencial constante sobre a conservação e o acesso aos dados pessoais, na qual se destacam:
— O Acórdão de 8 de abril de 2014, Digital Rights Ireland e o. (2), no qual declarou a invalidade da Diretiva 2006/24/CE (3), na medida em que permitia uma ingerência desproporcionada nos direitos consagrados nos artigos 7.o e 8.o da Carta dos Direitos Fundamentais da União Europeia.
— O Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (4), no qual interpretou o artigo 15.o, n.o 1, da Diretiva 2002/58/CE (5).
— O Acórdão de 2 de outubro de 2018, Ministerio Fiscal (6), no qual confirmou a interpretação da referida disposição da Diretiva 2002/58.
2. Estes acórdãos (em particular, o segundo) preocupam as autoridades de alguns Estados‑Membros, uma vez que, em seu entender, têm como consequência retirar‑lhes um instrumento que consideram imprescindível para a salvaguarda da segurança nacional e o combate ao terrorismo. Por este motivo, alguns destes Estados‑Membros defendem a revogação ou a matização da referida jurisprudência.
3. Alguns órgãos jurisdicionais dos Estados‑Membros manifestaram a mesma preocupação em quatro reenvios prejudiciais (7), sobre os quais apresento conclusões neste mesmo dia.
4. Os quatro processos suscitam, antes de mais, o problema da aplicação da Diretiva 2002/58 a atividades relacionadas com a segurança nacional e o combate ao terrorismo. Caso a referida diretiva vigore nesse âmbito, será necessário esclarecer de imediato em que medida os Estados‑Membros podem restringir os direitos de privacidade que protege. Por último, deverá analisar‑se até que ponto as diferentes legislações nacionais (britânica (8), belga (9) e francesa (10)) relativas a esta matéria são conformes com o direito da União, tal como interpretado pelo Tribunal de Justiça.
I. Quadro jurídico
A. Direito da União
5. Remeto para o número correspondente das Conclusões apresentadas nos processos C‑511/18 e C‑512/18.
B. Direito nacional (aplicável à situação controvertida)
1. Telecommunications Act 1984 (11)
6. Nos termos da section 94, o Secretary of State pode dirigir a um operador de uma rede de comunicações eletrónicas públicas todas as instruções gerais ou específicas que se lhe afigurarem necessárias para defender os interesses da segurança nacional ou das relações com o governo de um país ou território situado fora do Reino Unido.
2. Data Retention and Investigatory Powers Act 2014 (12)
7. A section 1 estabelece:
«1) O Secretary of State pode, mediante uma ordem de conservação, exigir que um operador público de telecomunicações conserve dados relevantes relativos a comunicações caso entenda que essa exigência é necessária e proporcionada à prossecução de um ou mais dos objetivos mencionados nas alíneas a) a h) da section 22(2), do Regulation of Investigatory Powers Act 2000 [Lei de 2000 relativa à regulamentação dos poderes de investigação, a seguir «RIPA»].
2) Uma ordem de conservação pode:
a) ter por destinatário um determinado operador ou uma categoria de operadores;
b) exigir a conservação de todos os dados ou de uma categoria de dados;
c) especificar o período ou os períodos durante os quais os dados devem ser conservados;
d) conter outras exigências ou restrições em relação à conservação de dados;
e) prever disposições diferentes para finalidades diferentes;
f) dizer respeito a dados existentes ou não na data em que a ordem de conservação é emitida, ou na data em que entrou em vigor.
3) O Secretary of State pode, por regulamento, adotar mais disposições sobre a conservação de dados relevantes relativos às comunicações.
4) Essas disposições podem, em especial, ter por objeto:
a) os requisitos prévios à adoção da ordem de conservação;
b) o período máximo durante o qual os dados devem ser conservados em aplicação de uma ordem de conservação;
c) o conteúdo, a adoção, a entrada em vigor, a reapreciação, a alteração ou a revogação de uma ordem de conservação;
d) a integridade, a segurança ou a proteção dos dados conservados em aplicação do presente artigo, o acesso aos dados, assim como a sua divulgação ou destruição;
e) o cumprimento das exigências ou restrições pertinentes ou a verificação da conformidade com as mesmas;
f) um código de boas práticas relativas a exigências, restrições ou poderes pertinentes;
g) o reembolso pelo Secretary of State (sob determinadas condições ou não) das despesas incorridas pelos operadores de telecomunicações públicas no cumprimento das exigências ou das restrições pertinentes;
[…]
5) O período máximo estabelecido ao abrigo do n.o 4, alínea b), não pode exceder 12 meses a contar da data especificada relativamente aos dados visados pelos regulamentos referidos no n.o 3.
6) Um operador de telecomunicações públicas que conserve dados relevantes relativos às comunicações em aplicação da presente section não os pode divulgar, a menos que:
a) os divulgue em conformidade com:
i) o capítulo 2 da parte 1 da [RIPA]; ou
ii) uma decisão judicial ou qualquer outra autorização ou mandado judiciais; ou que
b) os regulamentos referidos no n.o 3 o prevejam.
7) O Secretary of State pode, por via regulamentar, adotar disposições relativas a qualquer uma das disposições adotadas (ou suscetíveis de serem adotadas) em aplicação do n.o 4, alíneas d) a g), ou do n.o 6, no que diz respeito aos dados relativos às comunicações conservadas por prestadores de serviços de telecomunicações em aplicação de um código de boas práticas nos termos do artigo 102.o da Lei do combate ao terrorismo e à criminalidade e da segurança de 2001 [Antiterrorism, Crime and Security Act 2001].»
3. RIPA
8. A section 21 estabelece:
«[…]
4) Para efeitos do presente capítulo, entende‑se por “dados relativos a comunicações” qualquer um dos conceitos seguintes:
a) quaisquer dados relativos ao tráfego contidos numa comunicação ou a ela anexados (pelo remetente ou por outra entidade) para efeitos de qualquer serviço postal ou sistema de telecomunicações através do qual seja ou possa ser transmitida;
b) quaisquer informações que não incluam o conteúdo de uma comunicação [exceto informações abrangidas pela alínea a)] e que digam respeito à utilização efetuada por qualquer pessoa:
i) de um serviço postal ou de um serviço de telecomunicações; ou
ii) de uma parte de um sistema de telecomunicações, no âmbito do fornecimento ou da utilização por qualquer pessoa de um serviço de telecomunicações;
c) quaisquer informações não abrangidas pelas alíneas a) ou b), que se encontrem na posse de uma pessoa que forneça um serviço postal ou um serviço de telecomunicações ou que sejam obtidas por essa pessoa, relativas aos destinatários desse serviço.
[…]
6) Nesta secção, o conceito de “dado relativo ao tráfego”, respeitante a qualquer comunicação refere‑se:
a) a qualquer dado identificador ou suscetível de identificar uma pessoa, aparelho ou localização para o qual ou a partir do qual seja ou possa ser transmitida uma comunicação;
b) a qualquer dado identificador ou selecionador ou suscetível de identificar ou selecionar o equipamento através do qual a comunicação seja ou possa ser transmitida;
c) a qualquer dado que inclua sinais para ativar o aparelho utilizado num sistema de comunicação para efeitos de transmissão de comunicações; e
d) a qualquer dado identificador dos dados contidos numa comunicação específica ou a ela anexados ou outros dados contidos numa comunicação específica ou a ela anexados.
[…]»
9. A section 22 estabelece:
«1) Esta section é aplicável sempre que uma pessoa responsável para efeitos deste capítulo considere que é necessário, pelas razões abrangidas no n.o 2 da presente section, obter a totalidade dos dados da comunicação.
2) Pelas razões abrangidas pelo presente número, devem ser obtidos dados relativos a comunicações, se forem necessários:
a) no interesse da segurança nacional;
b) para efeitos de prevenção ou de deteção da criminalidade ou de prevenção de perturbações da ordem pública;
c) no interesse do bem‑estar económico do Reino Unido sempre que estes interesses sejam igualmente relevantes para os interesses da segurança nacional;
d) no interesse da segurança pública;
e) para efeitos da proteção da saúde pública;
f) para efeitos da avaliação da tributação ou cobrança de qualquer imposto, direito, taxa ou outro tributo, contribuição ou encargo devidos à administração pública;
g) para efeitos de prevenção, em caso de urgência, de morte, lesões ou qualquer dano para a saúde física ou mental de uma pessoa singular ou de atenuação de qualquer lesão ou dano para a saúde física ou mental de uma pessoa singular;
h) para qualquer outro fim [não abrangido nas alíneas a) a g)] determinado numa ordem adotada pelo Secretary of State nos termos da section 22 (2), alínea h), da [DRIPA].
4) Sem prejuízo do disposto no n.o 5, quando considerar que um operador de telecomunicações ou um operador postal está, poderá estar ou poderá reunir as condições para estar na posse de dados, a pessoa responsável pode exigir‑lhe que:
a) obtenha os dados, se não estiverem já na sua posse, e
b) divulgue, em qualquer hipótese, todos os dados que estejam na sua posse ou que venha a obter posteriormente.
5) A pessoa responsável não deve dar autorização em conformidade com o n.o 3 ou dar a ordem prevista no n.o 4, se não considerar que a obtenção dos dados em questão resultante de um comportamento autorizado ou exigido por força de uma autorização ou de um requerimento é proporcionada à finalidade pretendida com a obtenção dos dados.»
10. Nos termos da section 65, deve recorrer‑se ao Investigatory Powers Tribunal (Tribunal de Instrução, Reino Unido) se existirem razões para crer que os dados foram obtidos de forma inadequada.
II. Matéria de facto e questões prejudiciais
11. Segundo o órgão jurisdicional de reenvio, o processo principal diz respeito à aquisição e utilização pelas United Kingdom Security and Intelligence Agencies (serviços de segurança e de informações do Reino Unido, a seguir «SSI») de dados de comunicações em massa.
12. Estes dados abrangem as informações sobre «quem, quando, onde, como e com quem» utiliza o telefone e a Internet. Incluem a localização dos telefones móveis e fixos a partir dos quais efetuam ou recebem chamadas e a localização dos computadores utilizados para aceder à Internet. Não incluem o conteúdo de tais comunicações, que só pode ser obtido mediante decisão judicial.
13. A demandante no processo principal (Privacy International, organização não governamental de defesa dos direitos humanos) propôs uma ação no órgão jurisdicional de reenvio, alegando que a aquisição e a utilização dos referidos dados pelos SSI violam o direito ao respeito da vida privada consagrado no artigo 8.o da Convenção Europeia dos Direitos do Homem (a seguir «CEDH») e são contrários ao direito da União.
14. As autoridades demandadas (13) alegam que o exercício da sua competência nesse âmbito é legítimo e essencial, nomeadamente, para a proteção da segurança nacional.
15. Segundo as informações constantes do despacho de reenvio, ao abrigo das instruções dirigidas pelo Secretary of State nos termos da section 94 da Lei de 1984, os SSI recebem os dados de comunicações em massa através dos operadores das redes públicas de comunicações eletrónicas.
16. Tais dados incluem informações sobre o tráfego e a localização, assim como sobre as atividades de natureza social, comercial e financeira, comunicações e viagens dos utilizadores. Os SSI conservam estes dados, assim que os tenham em seu poder, em condições de segurança, utilizando técnicas (por exemplo, triagem e agregação) gerais, isto é, não orientadas a objetivos específicos e conhecidos.
17. O órgão jurisdicional de reenvio conclui que estas técnicas são essenciais para o trabalho dos SSI no combate a ameaças graves à segurança pública, nomeadamente, nos domínios do combate ao terrorismo, à espionagem e à proliferação nuclear. A faculdade de os SSI adquirirem e utilizarem os dados é indispensável para a proteção da segurança nacional do Reino Unido.
18. O órgão jurisdicional de reenvio considera que as medidas controvertidas respeitam o direito interno e o artigo 8.o da CEDH. No entanto, dúvida da sua compatibilidade com o direito da União, tendo em conta o Acórdão Tele2 Sverige e Watson.
19. Neste contexto, o referido órgão jurisdicional submete ao Tribunal de Justiça as seguintes questões prejudiciais:
«1) Tendo em conta o artigo 4.o TUE e o artigo 1.o, n.o 3, da Diretiva 2002/58 […], uma imposição constante de uma instrução de um Secretary of State ao prestador de uma rede de comunicações eletrónicas, de fornecimento de dados de comunicações em massa aos serviços de segurança e de informações (“SSI”) de um Estado‑Membro enquadra‑se no âmbito de aplicação do direito da União e da Diretiva [2002/58]?
2) Em caso de resposta afirmativa à questão 1, os requisitos do Acórdão Watson [(14)], ou quaisquer outros requisitos que vão além dos previstos pela CEDH, são aplicáveis à referida instrução do Secretary of State? E, se assim for, quais as modalidades e o alcance da aplicação desses requisitos, tendo em conta a necessidade essencial dos SSI de recorrerem à aquisição em massa e a técnicas de tratamento automatizadas com vista à proteção da segurança nacional e a medida em que o exercício dessa faculdade, se no demais respeitar a CEDH, pode ser gravemente dificultado pela imposição de tais requisitos?»
20. O órgão jurisdicional de reenvio contextualiza as suas questões nos seguintes termos:
«a) a capacidade [de os serviços de segurança e de informações (SSI)] utilizarem [os dados de comunicações em massa] que lhes são fornecidos é essencial para a proteção da segurança nacional do Reino Unido, nomeadamente nos domínios do combate ao terrorismo, à espionagem e à proliferação nuclear;
b) um elemento fundamental da utilização [desses dados] pelos SSI é a deteção de ameaças à segurança nacional até aí desconhecidas, através de técnicas em massa sem alvo específico, cuja utilização depende da reunião [desses dados] num único local. A sua principal utilidade está relacionada com a identificação rápida dos alvos e o seu seguimento, bem como com o fornecimento de uma base de ação em caso de ameaça iminente;
c) o prestador de uma rede de comunicações eletrónicas não tem, por conseguinte, de guardar os referidos dados (para além dos prazos habitualmente aplicáveis à sua atividade), que são conservados apenas pelo Estado (SSI);
d) o órgão jurisdicional nacional concluiu (sob reserva de algumas questões) que as salvaguardas relativas à utilização [desses dados] pelos SSI são conformes com os requisitos da CEDH; e
e) o órgão jurisdicional nacional concluiu que a imposição dos requisitos descritos no Acórdão [Tele2 Sverige e Watson], quando aplicáveis, comprometeria as medidas de proteção da segurança nacional adotadas pelos SSI e, consequentemente, poria em risco a segurança nacional do Reino Unido.»
III. Tramitação do processo no Tribunal de Justiça
21. A questão prejudicial deu entrada no Tribunal de Justiça em 31 de outubro de 2017.
22. Apresentaram observações escritas os Governos alemão, belga, britânico, checo, cipriota, espanhol, estónio, francês, húngaro, irlandês, letão, neerlandês, norueguês, polaco, português e sueco, bem como a Comissão.
23. Em 9 de setembro de 2019 realizou‑se uma audiência pública conjunta com as audiências dos processos C‑511/18, C‑512/18 e C‑520/18, na qual compareceram as partes nos quatro processos de reenvio prejudicial, os governos acima referidos, e ainda a Comissão e o Responsável Europeu pela Proteção de Dados Pessoais.
IV. Análise
A. Quanto ao âmbito de aplicação da Diretiva 2002/58 e à exclusão da segurança nacional (primeira questão prejudicial)
24. Nas Conclusões apresentadas nesta mesma data nos processos C‑511/18 e C‑512/18, explico os motivos pelos quais considero que a Diretiva 2002/58 «é aplicável, em princípio, quando os prestadores de serviços eletrónicos sejam legalmente obrigados a conservar os dados dos seus assinantes e a permitir que as autoridades públicas acedam aos mesmos. Esta tese não é alterada pelo facto de as obrigações serem impostas aos prestadores por razões de segurança nacional» (15).
25. Nos meus argumentos apresentados, abordo o impacto dos Acórdãos do Tribunal de Justiça de 30 de maio de 2006, Parlamento/Conselho e Comissão (16) e Tele2 Sverige e Watson, recomendando uma interpretação integradora de ambos (17).
26. Nessas mesmas conclusões, após declarar a aplicabilidade da Diretiva 2002/58, analiso a exclusão da segurança nacional que a mesma estabelece e o impacto do artigo 4.o, n.o 2, TUE (18).
27. Sem prejuízo do que irei expor em seguida, remeto para as conclusões referidas e para as Conclusões apresentadas no processo C‑520/18.
1. Aplicação da Diretiva 2002/58 neste processo
28. Nos termos das normas controvertidas neste processo, os prestadores de serviços de comunicações eletrónicas são destinatários de uma obrigação que implica, além da sua conservação, um tratamento dos dados que possuem devido ao serviço que prestam aos utilizadores das redes públicas de comunicações da União (19).
29. Com efeito, os referidos operadores são obrigados a transmitir esses dados aos SSI. A questão suscitada consiste em saber se o artigo 15.o, n.o 1, da Diretiva 2002/58 permite que essa transmissão, tendo em conta o seu objetivo, seja excluída, sem mais, do direito da União.
30. Em meu entender, não permite. A conservação dos referidos dados e a sua posterior transmissão podem ser qualificadas de tratamento de dados pessoais realizado pelos prestadores de serviços de telecomunicações eletrónicas, pelo que estão evidentemente abrangidas pelo âmbito de aplicação da Diretiva 2002/58.
31. As razões de segurança nacional não podem sobrepor‑se a esta conclusão, como sugere o órgão jurisdicional de reenvio, com a consequência de a obrigação controvertida não estar abrangida pelo âmbito de aplicação do direito da União. Conforme referi, considero que se impõe aos prestadores uma obrigação de tratamento de dados, relativamente à prestação de serviços de comunicações eletrónicas disponíveis ao público nas redes públicas de comunicações da União, que é precisamente o âmbito da Diretiva 2002/58, conforme resulta do seu artigo 3.o, n.o 1.
32. Assente esta premissa, a discussão já não recai sobre as atividades dos SSI (que, conforme referido, podem situar‑se fora do âmbito do direito da União se não afetarem os operadores de comunicações eletrónicas), mas sobre a conservação e posterior transmissão dos dados que se encontram na posse dos referidos operadores. Desta perspetiva, o que está em causa são os direitos fundamentais garantidos pela União.
33. O fator determinante para resolver esta discussão é, uma vez mais, o dever de conservação generalizada e indiferenciada dos dados cujo acesso é concedido às autoridades públicas.
2. Quanto à segurança nacional
34. Tendo em conta que, no presente processo, o órgão de reenvio deu especial importância à atividade dos SSI que afetam à segurança nacional, reproduzo alguns números das conclusões apresentadas nesta mesma data nos processos C‑511/18 e C‑512/18, relativos a esta matéria:
«77. A segurança nacional […] é objeto de uma consideração dupla na Diretiva 2002/58. Por um lado, constitui um motivo de exclusão (da aplicação dessa diretiva) para todas as atividades dos Estados‑Membros que, especificamente, a “tenham por objeto”. Por outro, apresenta‑se como uma causa de limitação, que tem que ser desenvolvida por lei, dos direitos e obrigações estabelecidos na Diretiva 2002/58, ou seja, relativamente a atividades de natureza privada ou comercial e fora do domínio das atividades da autoridade pública.
78. A que atividades se refere o artigo 1.o, n.o 3, da Diretiva 2002/58? Em meu entender, o próprio Conseil d’État (Conselho de Estado) dá um bom exemplo ao mencionar os artigos L. 851‑5 e L. 851‑6 do Código da Segurança Interna, referindo as “técnicas de recolha de informação diretamente aplicadas pelo Estado sem reger as atividades dos fornecedores de serviços de comunicações eletrónicas mediante a imposição de obrigações específicas”. […]
79. Creio estar aí a chave para identificar o âmbito de exclusão do artigo 1.o, n.o 3, da Diretiva 2002/58. Não estarão sujeitas ao seu regime as atividades destinadas a preservar a segurança nacional que os poderes públicos realizem por conta própria, sem exigirem a colaboração de particulares e, por conseguinte, sem lhes imporem obrigações na sua gestão empresarial.
80. No entanto, o leque de atividades dos poderes públicos isentas do regime geral do tratamento dos dados pessoais deve ser interpretado de forma restritiva. Em concreto, não é possível alargar o conceito de segurança nacional, cuja responsabilidade cabe exclusivamente a cada Estado‑Membro por força do artigo 4.o, n.o 2, TUE, a outros setores, mais ou menos próximos, da vida pública.
[…]
82. Considero […] que pode servir como orientação o critério da Decisão‑Quadro 2006/960/JAI, […], cujo artigo 2.o, alínea a), estabelece uma distinção entre os serviços de segurança em sentido amplo — os quais incluem “uma autoridade nacional policial, aduaneira ou outra, habilitada pelo direito interno a detetar, prevenir e investigar infrações ou atividades criminosas e a exercer a autoridade e tomar medidas de coação no contexto dessas funções”—, por um lado, e os “serviços ou unidades que se dediquem especificamente a questões de segurança nacional”, por outro. […]
[…]
84. Existe […] uma continuidade entre a Diretiva 95/46 e a Diretiva 2002/58 no que diz respeito às competências dos Estados‑Membros em matéria de segurança nacional. Nenhuma das duas tem por objeto a proteção dos direitos fundamentais nesse domínio específico, uma vez que as atividades dos Estados‑Membros não são “reguladas pelo direito [da União]”.
85. O “equilíbrio” referido no considerando [décimo primeiro da Diretiva 2002/58] resulta da necessidade de respeitar as competências dos Estados‑Membros em matéria de segurança nacional, quando estas sejam exercidas de forma direta e pelos seus próprios meios. Pelo contrário, quando, incluindo pelas mesmas razões de segurança nacional, seja exigida a participação de particulares, aos quais são impostas algumas obrigações, essa circunstância determina a entrada num âmbito (a proteção da privacidade exigível a esses agentes privados) regulado pelo direito da União.
86. Tanto a Diretiva 95/46 como a Diretiva 2002/58 pretendem alcançar esse equilíbrio autorizando a limitação dos direitos dos particulares através de medidas legislativas adotadas pelos Estados ao abrigo dos seus artigos 13.o, n.o 1, e 15.o, n.o 1, respetivamente. No que respeita a este ponto, não existe qualquer diferença entre ambas.
[…]
89. A identificação dessas atividades do poder público terá de ser necessariamente restritiva, sob pena de privar de eficácia a legislação da União em matéria de proteção da privacidade. O Regulamento n.o 2016/679 prevê no seu artigo 23.o — em conformidade com o artigo 15.o, n.o 1, da Diretiva 2002/58 — a limitação, mediante medidas legislativas, dos direitos e obrigações que estabelece, quando isso for necessário para assegurar, entre outros objetivos, a segurança do Estado, a defesa ou a segurança pública. Mais uma vez, se a proteção destes objetivos fosse suficiente para determinar a exclusão do âmbito de aplicação do Regulamento n.o 2016/679, seria desnecessário invocar a segurança do Estado como fator justificativo da restrição, através de medidas legislativas, dos direitos garantidos por esse regulamento.»
3. Consequências da aplicação do Acórdão Tele2 Sverige e Watson ao presente processo
35. O órgão jurisdicional de reenvio centrou‑se na interpretação efetuada pelo Tribunal de Justiça no Acórdão Tele2 Sverige e Watson, expondo as eventuais dificuldades da sua aplicação ao processo principal.
36. No Acórdão Tele2 Sverige e Watson foram efetivamente estabelecidos os requisitos que têm de ser preenchidos por uma legislação nacional que institua a obrigação de conservação de dados de tráfego e de localização, para seu posterior acesso pelas autoridades públicas.
37. Tal como nos processos C‑511/18 e C‑512/18, e por motivos análogos, considero que as normas nacionais que são objeto do presente reenvio não estão em conformidade com os requisitos estabelecidos no Acórdão Tele2 Sverige e Watson, uma vez que implicam uma conservação generalizada e indiferenciada de dados pessoais que permite uma descrição pormenorizada da vida das pessoas em causa, durante um amplo período de tempo.
38. Nas conclusões apresentadas nesses dois processos questiono se seria possível matizar ou completar a doutrina exposta no referido acórdão, atendendo às suas consequências para o combate ao terrorismo ou para a proteção do Estado face a outras ameaças análogas à segurança nacional.
39. Em seguida, reproduzo alguns dos números dessas conclusões, nos quais, basicamente, defendo que, sendo possível matizar a referida doutrina, esta deve, no essencial, ser confirmada:
«135. Embora seja difícil, não é impossível determinar com precisão e com base em critérios objetivos tanto as categorias de dados cuja conservação é considerada imprescindível como o grupo das pessoas em causa. É certo que o mais prático e eficaz seria a conservação generalizada e indiscriminada de todos os dados que os prestadores dos serviços de comunicação eletrónica possam recolher, mas […] a questão não pode ser dirimida em termos de eficácia prática, mas sim de eficácia jurídica e no âmbito de um Estado de direito.
136. Este trabalho de determinação é tipicamente legislativo, dentro dos limites que a jurisprudência do Tribunal de Justiça estabeleceu. […]
137. Partindo da premissa de que os operadores recolheram os dados de acordo com as disposições da Diretiva 2002/58 e que a sua conservação foi efetuada nos termos do seu artigo 15.o, n.o 1, […] o acesso das autoridades competentes a essa informação deve ser realizado nas condições que o Tribunal de Justiça exigiu e que analiso nas conclusões apresentadas no processo C‑520/18, para as quais remeto.
138. Por conseguinte, também no caso presente a legislação nacional deve estabelecer os requisitos materiais e processuais que regulam o acesso das autoridades competentes aos dados conservados. […] No âmbito destes reenvios prejudiciais, tais requisitos autorizariam o acesso aos dados das pessoas suspeitas de planearem, cometerem, terem cometido ou poderem estar envolvidas num ato terrorista. […]
139. No entanto, o essencial é que, exceto em casos de urgência devidamente justificados, o acesso aos dados em causa esteja sujeito à fiscalização de um órgão jurisdicional ou de uma autoridade administrativa independente cuja decisão responda a um pedido fundamentado das autoridades competentes. […] Deste modo, quando não for possível chegar ao juízo abstrato da lei é garantido o juízo in concreto dessa autoridade independente, igualmente obrigada a garantir a segurança do Estado e a defesa dos direitos fundamentais dos cidadãos.»
B. Quanto à segunda questão prejudicial
40. O órgão jurisdicional de reenvio apresenta a sua segunda questão para o caso de a resposta à primeira questão ser afirmativa. Se assim for, pretende saber se devem ser exigidos «quaisquer outros requisitos que vão além dos previstos pela CEDH» ou os que resultam do Acórdão Tele2 Sverige e Watson.
41. Neste sentido, afirma que a imposição dos requisitos do Acórdão Tele2 Sverige e Watson «comprometeria as medidas de proteção da segurança nacional adotadas pelos SSI».
42. Tendo em conta que proponho que a resposta à primeira questão seja negativa, não é necessário abordar a segunda questão. Como salienta o próprio tribunal de reenvio, esta depende da declaração de compatibilidade com o direito da União «[da aquisição em massa e das] técnicas de tratamento automatizadas» dos dados pessoais de todos os utilizadores do Reino Unido, que os operadores dos serviços de comunicações eletrónicas teriam de transmitir aos SSI.
43. No caso de o Tribunal de Justiça considerar necessário responder à segunda questão, entendo que deve corroborar os referidos requisitos do Acórdão Tele2 Sverige e Watson, relativos:
— à proibição do acesso generalizado aos dados;
— à necessidade de autorização prévia de um juiz ou de uma autoridade independente para legitimar esse acesso;
— à obrigação de informar as pessoas em causa, exceto se isso comprometer a eficácia da medida;
— à conservação dos dados na União.
44. Insisto em que basta confirmar esses requisitos, obrigatoriamente aplicáveis, pelas razões expostas nas Conclusões apresentadas nos processos C‑511/18 e C‑512/18 e C‑520/18, não sendo necessário instituir «outros» requisitos adicionais, no sentido a que se refere o tribunal de reenvio.
V. Conclusão
45. Tendo em consideração o exposto, proponho que o Tribunal de Justiça responda ao Investigatory Powers Tribunal (Tribunal de Instrução, Reino Unido) nos seguintes termos:
«O artigo 4.o TUE e o artigo 1.o, n.o 3, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), devem ser interpretados no sentido de que se opõem a uma legislação nacional que impõe a um prestador de redes de comunicação eletrónica a obrigação de fornecer aos serviços de segurança e de informações de um Estado‑Membro os “dados objeto de comunicações em massa” que implicam a sua prévia recolha generalizada e indiferenciada.»
A título subsidiário:
«O acesso, por parte dos serviços de segurança e de informações de um Estado‑Membro, aos dados transmitidos pelos prestadores de redes de comunicação eletrónica deve cumprir os requisitos estabelecidos no Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson (C‑203/15 e C‑698/15, EU:C:2016:970).»