CONCLUSÕES DO ADVOGADO‑GERAL
HENRIK SAUGMANDSGAARD ØE
apresentadas em 3 de maio de 2018 (1)
Processo C‑207/16
Ministerio Fiscal
[pedido de decisão prejudicial apresentado por Audiencia Provincial de Tarragona (Tribunal de Província, de Tarragona, Espanha)]
«Reenvio prejudicial — Comunicações eletrónicas — Tratamento dos dados pessoais — Direito à vida privada e à proteção desses dados pessoais — Diretiva 2002/58/CE — Artigo 1.o e artigo 15.o, n.o 1 — Carta dos Direitos Fundamentais da União Europeia — Artigos 7.o e 8.o bem como artigo 52.o, n.o 1 — Dados recolhidos no quadro de fornecimento de serviços de comunicações eletrónicas — Pedido de acesso de uma autoridade policial para fins de inquérito penal — Princípio da proporcionalidade — Conceito de “infração grave” suscetível de justificar uma ingerência nos direitos fundamentais — Critérios de gravidade — Pena aplicável — Limite mínimo»
I. Introdução
1. O presente reenvio prejudicial incide, em substância, sobre a interpretação do conceito de «infrações graves» (2) na aceção da jurisprudência do Tribunal de Justiça resultante do Acórdão Digital Rights Ireland e o. (3) (a seguir «Acórdão Digital Rights») e, depois, do Acórdão Tele2 Sverige e Watson e o. (4) (a seguir «Acórdão Tele2»), em que este conceito foi utilizado como critério de apreciação da legitimidade e da proporcionalidade de uma ingerência nos direitos consagrados nos artigos 7.o e 8.o da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), a saber, respetivamente, o direito ao respeito pela vida privada e familiar e o direito à proteção dos dados pessoais.
2. O presente reenvio prejudicial inscreve‑se no âmbito de um recurso interposto contra uma decisão jurisdicional que recusou a autoridades policiais a possibilidade de lhes serem comunicados determinados dados relativos ao estado civil na posse dos operadores de telefonia móvel, com vista a identificar indivíduos para fins de inquérito penal. A decisão impugnada fundamentava‑se, designadamente, na consideração de que os factos na origem desse inquérito não eram constitutivos de uma infração grave, contrariamente ao que exigia a regulamentação espanhola aplicável.
3. O órgão jurisdicional de reenvio questiona o Tribunal de Justiça, em substância, sobre a forma de fixar o limiar de gravidade das infrações a partir do qual pode ser justificado, à luz da jurisprudência referida, lesar os direitos fundamentais protegidos pelos artigos 7.o e 8.o da Carta, quando do acesso, pelas autoridades nacionais competentes, a dados pessoais conservados por fornecedores de serviços de comunicações eletrónicas.
4. Após ter determinado que o Tribunal de Justiça é competente para se pronunciar sobre o pedido de decisão prejudicial e que este último é admissível, pretendo demonstrar que o acesso a dados pessoais em circunstâncias como as do presente processo implica uma ingerência nos direitos fundamentais acima referidos que não corresponde às hipóteses em que só a luta contra crimes graves é suscetível de justificar a violação dos referidos direitos, em conformidade com a jurisprudência referida.
5. Dado que considero que, atendendo ao objeto específico do litígio no processo principal, não será necessário que o Tribunal de Justiça responda às questões prejudiciais na sua redação inicial, será apenas a título subsidiário que apresentarei indicações sobre os critérios que permitem, eventualmente, definir o conceito de «infrações graves» na aceção desta jurisprudência, em especial tendo em conta o critério da pena aplicável.
II. Quadro jurídico
A. Direito da União
6. A Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (5), conforme alterada pela Diretiva 2009/136/CE (6) (a seguir «Diretiva 2002/58»), enuncia, no seu preâmbulo:
«(2) A presente diretiva visa assegurar o respeito dos direitos fundamentais e a observância dos princípios reconhecidos, em especial, pela [Carta]. Visa, em especial, assegurar o pleno respeito pelos direitos consignados nos artigos 7.o e 8.o [desta].
[…]
(11) Tal como a Diretiva 95/46/CE [(7)], a presente diretiva não trata questões relativas à proteção dos direitos e liberdades fundamentais relacionadas com atividades não reguladas pelo direito comunitário. Portanto, não altera o equilíbrio existente entre o direito dos indivíduos à privacidade e a possibilidade de os Estados‑Membros tomarem medidas como as referidas no n.o 1 do artigo 15.o da presente diretiva, necessários para a proteção da segurança pública, da defesa, da segurança do Estado (incluindo o bem‑estar económico dos Estados quando as atividades digam respeito a questões de segurança do Estado) e a aplicação da legislação penal. Assim sendo, a presente diretiva não afeta a capacidade de os Estados‑Membros intercetarem legalmente comunicações eletrónicas ou tomarem outras medidas, se necessário, para quaisquer desses objetivos e em conformidade com a Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais [a seguir «CEDH»], segundo a interpretação da mesma na jurisprudência do Tribunal Europeu dos Direitos do Homem [a seguir «TEDH»]. Essas medidas devem ser adequadas, rigorosamente proporcionais ao objetivo a alcançar e necessárias numa sociedade democrática. Devem estar sujeitas, além disso, a salvaguardas adequadas, em conformidade com a [CEDH] [(8)].»
7. Nos termos do artigo 1.o da Diretiva 2002/58, intitulado «Âmbito e objetivos»:
«1. A presente diretiva harmoniza as disposições dos Estados‑Membros necessárias para garantir um nível equivalente de proteção dos direitos e liberdades fundamentais, designadamente o direito à privacidade, no que respeita ao tratamento de dados pessoais no setor das comunicações eletrónicas […].
[…]
3. A presente diretiva não é aplicável a atividades fora do âmbito do Tratado que institui a Comunidade Europeia, tais como as abrangidas pelos títulos V e VI do Tratado da União Europeia, e em caso algum é aplicável às atividades relacionadas com a segurança pública, a defesa, a segurança do Estado (incluindo o bem‑estar económico do Estado quando as atividades se relacionem com matérias de segurança do Estado) e as atividades do Estado em matéria de direito penal.»
8. O seu artigo 2.o, sob a epígrafe «Definições», tem a seguinte redação:
«Salvo disposição em contrário, são aplicáveis as definições constantes da Diretiva 95/46/CE e da Diretiva 2002/21/CE do Parlamento Europeu e do Conselho, de 7 de março de 2002, relativa a um quadro regulamentar comum para as redes e serviços de comunicações eletrónicas (diretiva «quadro») [(9)].
São também aplicáveis as seguintes definições:
a) “Utilizador” é qualquer pessoa singular que utilize um serviço de comunicações eletrónicas publicamente disponível para fins privados ou comerciais, não sendo necessariamente assinante desse serviço;
b) “Dados de tráfego” são quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações eletrónicas ou para efeitos da faturação da mesma;
c) “Dados de localização” são quaisquer dados tratados numa rede de comunicações eletrónicas que indiquem a posição geográfica do equipamento terminal de um utilizador de um serviço de comunicações eletrónicas publicamente disponível;
d) “Comunicação” é qualquer informação trocada ou enviada entre um número finito de partes, através de um serviço de comunicações eletrónicas publicamente disponível; Não se incluem aqui as informações enviadas no âmbito de um serviço de difusão ao público em geral, através de uma rede de comunicações eletrónicas, exceto na medida em que a informação possa ser relacionada com o assinante ou utilizador identificável que recebe a informação
[…]»
9. O artigo 15.o da Diretiva 2002/58, intitulado «Aplicação de determinadas disposições da Diretiva [95/46]», prevê, no seu n.o 1, que «[o]s Estados‑Membros podem adotar medidas legislativas para restringir o âmbito dos direitos e obrigações previstos nos artigos 5.o e 6.o, nos n.os 1 a 4 do artigo 8.o e no artigo 9.o da presente diretiva sempre que essas restrições constituam uma medida necessária, adequada e proporcionada numa sociedade democrática para salvaguardar a segurança nacional (ou seja, a segurança do Estado), a defesa, a segurança pública, e a prevenção, a investigação, a deteção e a repressão de infrações penais ou a utilização não autorizada do sistema de comunicações eletrónicas, tal como referido no n.o 1 do artigo 13.o da Diretiva [95/46]. Para o efeito, os Estados‑Membros podem designadamente adotar medidas legislativas prevendo que os dados sejam conservados durante um período limitado, pelas razões enunciadas no presente número. Todas as medidas referidas no presente número deverão ser conformes com os princípios gerais do direito comunitário, incluindo os mencionados nos n.os 1 e 2 do artigo 6.o do Tratado da União Europeia».
B. Direito espanhol
1. Lei n.o 25/2007
10. A Ley 25/2007 de conservación de datos relativos a las comunicaciones eletrónicas y a la redes públicas de comunicaciones (Lei 25/2007 relativa à conservação de dados relativos a comunicações eletrónicas e a redes públicas de comunicações), de 18 de outubro de 2007 (10) (a seguir «Lei 25/2007»), transpôs para o direito espanhol a Diretiva 2006/24 (11), que foi declarada inválida pelo Tribunal de Justiça no Acórdão Digital Rights.
11. Nos termos do artigo 1.o da Lei 25/2007, na versão aplicável aos factos do litígio no processo principal:
«1. A presente lei tem por objeto regular a obrigação dos operadores de conservarem os dados gerados ou tratados no contexto da prestação de serviços de comunicações eletrónicas ou de redes públicas de comunicações, bem como a obrigação de comunicar esses dados às autoridades, sempre que lhes seja solicitado através da necessária autorização judicial, para efeitos de deteção, de inquérito e de julgamento de crimes graves previstos no Código Penal ou nas leis penais especiais.
2. A presente lei é aplicável aos dados de tráfego e aos dados de localização relativos quer a pessoas singulares quer a pessoas coletivas, bem como aos dados conexos necessários para identificar o assinante ou o utilizador registado.
[…]»
12. O artigo 3.o da referida lei enumera os dados que os operadores são obrigados a conservar. Trata‑se, designadamente, por força do n.o 1, alínea a), ponto 1, ii), do referido artigo, dos dados necessários para encontrar e identificar a fonte de uma comunicação, tais como, no que se refere à telefonia móvel, o nome e o endereço do assinante ou do utilizador registado.
2. Código Penal
13. Nos termos do artigo 13.o, n.o 1, do Código Penal espanhol na sua versão aplicável aos factos do litígio no processo principal, «[s]ão infrações graves as que a lei pune com uma pena grave».
14. O artigo 33.o do referido código tem a seguinte redação:
«1. Em função da sua natureza e da sua duração, as penas são classificadas como graves, menos graves e leves.
2. São penas graves:
a) A pena de prisão perpétua, passível de revisão.
b) A pena de prisão por um período superior a cinco anos.
[…]»
3. Código de Processo Penal
15. O Código de Processo Penal espanhol foi alterado pela Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (Lei Orgânica 13/2015, que altera o Código de Processo Penal com vista ao reforço das garantias processuais e à regulamentação das medidas de investigação tecnológica), de 5 de outubro de 2015 (12) (a seguir «Lei Orgânica 13/2015»).
16. Esta lei, que entrou em vigor em 6 de dezembro de 2015, integra, no Código de Processo Penal, o domínio do acesso aos dados relativos às comunicações telefónicas e telemáticas que foram conservados pelos fornecedores de serviços de comunicações eletrónicas.
17. Nos termos do artigo 579.o, n.o 1, do Código de Processo Penal, na versão resultante da referida lei, «[o] juiz pode autorizar a interceção da correspondência privada, postal e telegráfica, incluindo fax, burofax e de vales postais internacionais, que o suspeito envie ou receba, bem como a sua abertura e análise, se existirem indícios de que, através destes meios, será descoberto ou comprovado um facto ou uma circunstância pertinente para o processo, quando o inquérito tenha por objeto uma das seguintes infrações:
1) Crimes dolosos puníveis com uma pena máxima de prisão não inferior a três anos.
2) Crimes cometidos no âmbito de um grupo ou organização criminosa.
3) Crimes terroristas».
18. O artigo 588 ter j deste mesmo código, com a epígrafe «Dados disponíveis nos arquivos automatizados dos prestadores de serviços», estabelece:
«1. Os dados eletrónicos conservados pelos prestadores de serviços ou pelas pessoas que fornecem a comunicação em aplicação da legislação sobre a conservação de dados relativos às comunicações eletrónicas, ou por sua própria iniciativa por motivos comerciais ou outros, e que estejam ligadas a processos de comunicação, só poderão ser comunicados, a fim de poderem ser tomados em consideração no âmbito do processo, mediante autorização judicial.
2. Sempre que o conhecimento desses dados se revelar indispensável para o inquérito, deverá pedir‑se ao juiz competente autorização para aceder às informações que se encontram nos arquivos automatizados dos prestadores de serviços, em especial para uma investigação cruzada ou inteligente de dados, devendo ser especificada a natureza dos dados de que é necessário tomar conhecimento e as razões que justificam a sua apresentação.»
III. Litígio no processo principal, questões prejudiciais e tramitação processual no Tribunal de Justiça
19. M. Hernández Sierra apresentou na Polícia queixa por roubo da sua carteira e do seu telemóvel, que foi cometido em 16 de fevereiro de 2015, no decurso do qual foi gravemente ferido.
20. Por requerimento de 27 de fevereiro de 2015, a Polícia Judiciária interpôs no Juzgado de Instrucción n.o 3 de Tarragona (Juízo de instrução n.o 3 de Tarragona, Espanha, a seguir «juiz de instrução»), um pedido a fim de que fosse ordenado aos diferentes operadores de telefonia de comunicarem, por um lado, os números de telefone que foram ativados, entre 16 de fevereiro e 27 de fevereiro de 2015, com o código IMEI (13) do telemóvel roubado e, por outro, os dados pessoais dos titulares ou utilizadores de todos os números de telefone correspondentes aos cartões SIM ativados com o referido código IMEI (14).
21. Por despacho de 5 de maio de 2015, o juiz de instrução indeferiu esse pedido, com o fundamento de que a medida exigida era pouco útil para identificar os autores da infração e que, de qualquer modo, a Lei n.o 25/2007 limitava a comunicação dos dados conservados pelos operadores de telefonia aos crimes graves ‑ isto é, segundo o Código Penal espanhol (15), os que são punidos com uma pena de prisão superior a cinco anos, ao passo que os factos em causa não constituiriam uma infração grave.
22. O Ministerio Fiscal (Ministério Público espanhol), única parte no processo, interpôs recurso deste despacho para a Audiencia Provincial de Tarragona (Tribunal de Província, de Tarragona, Espanha), alegando que a comunicação dos dados em causa deveria ter sido autorizada em razão da natureza dos factos e de uma decisão do Tribunal Supremo (Supremo Tribunal, Espanha) sobre um caso semelhante (16).
23. Por despacho de 9 de fevereiro de 2016, o referido tribunal de recurso ordenou, a título de medida provisória dirigida aos operadores de telecomunicações, a prorrogação do prazo de conservação dos dados aos quais o litígio diz respeito.
24. A decisão de reenvio prejudicial emanada desse órgão jurisdicional explica que, após a adoção da decisão impugnada, o legislador espanhol introduziu, por força da Lei Orgânica 13/2015 (17), dois critérios alternativos para determinar o grau de gravidade de uma infração. O primeiro é um critério material, respeitante a comportamentos que correspondem a qualificações penais cuja natureza criminal seja específica e grave, e que são particularmente ofensivos dos interesses jurídicos individuais e coletivos (18). O segundo é um critério normativo formal, baseado exclusivamente na pena prevista para a infração em causa. Ora, o limite de três anos de prisão que este último prevê poderia englobar a grande maioria das qualificações penais. Além disso, o órgão jurisdicional de reenvio observa que o interesse do Estado em proteger os cidadãos e reprimir os comportamentos criminosos não pode legitimar uma ofensa desproporcionada para os direitos fundamentais das pessoas.
25. Neste contexto, por decisão de 6 de abril de 2016, que deu entrada no Tribunal de Justiça em 14 de abril de 2016, a Audiencia Provincial de Tarragona (Tribunal de Província, de Tarragona, Espanha) decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões prejudiciais:
«1) Pode a suficiente gravidade dos crimes, enquanto critério que justifica a ingerência nos direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta, ser determinada tendo em consideração unicamente a pena suscetível de ser aplicada ao crime investigado ou, além disso, é necessário identificar na conduta infratora especiais níveis de lesão de bens jurídicos individuais e/ou coletivos?
2) No caso de ser conforme aos princípios constitucionais da União, aplicados pelo TJUE no seu Acórdão de 8 de abril de 2014 [processos apensos C‑293/12, Digital Rights Ireland e C‑594/12, Seitlinger e o.] como critérios de fiscalização estrita da diretiva, a determinação da gravidade do crime atendendo apenas à pena suscetível de ser aplicada, qual deve ser o limiar mínimo desta? Seria compatível com uma norma geral que estabeleça como limite os três anos de prisão?»
26. O processo no Tribunal de Justiça foi suspenso, por decisão do Presidente de 23 de maio de 2016, enquanto se aguardava a prolação do Acórdão do Tribunal de Justiça nos processos apensos Tele2 Sverige e Watson e o., C‑203/15 e C‑698/15.
27. Questionado pelo Tribunal de Justiça, após a prolação do acórdão de 21 de dezembro de 2016 (19), o órgão jurisdicional de reenvio indicou que pretendia manter o seu pedido de decisão prejudicial. Alegou que as questões prejudiciais que tinha submetido continuavam a ser pertinentes, na medida em que o referido acórdão dava, é certo, exemplos de infrações graves (20), mas não definiu com suficiente clareza o conteúdo material do conceito de gravidade da infração que pode servir de critério de apreciação da justificação de uma medida de ingerência. Ora, este conceito implicaria o risco de as condições de conservação dos dados e do acesso a estes serem fixadas, a nível nacional, de uma forma muito ampla, que não respeite os direitos fundamentais consagrados pelo Acórdão Tele2. Assim, quando da adoção da Lei Orgânica 13/2015, o legislador espanhol, apesar dos critérios enunciados no Acórdão Digital Rights (21), reduziu consideravelmente em relação às regras anteriores constantes da Lei 25/2007, o limiar de gravidade das infrações em relação às quais é permitida a conservação e a comunicação de dados pessoais.
28. Na sequência dessa resposta, o processo foi reatado no Tribunal de Justiça em 16 de fevereiro de 2017. Foram apresentadas observações escritas pelos Governos espanhol, checo, estónio, irlandês, francês, letão, húngaro, austríaco e do Reino Unido, bem como pela Comissão Europeia.
29. Tendo em vista a audiência, o Tribunal de Justiça dirigiu várias perguntas, para lhes ser dada resposta por escrito, ao Governo espanhol, a que este respondeu em 9 de janeiro de 2018, e dirigiu várias perguntas, para lhes ser dada resposta oral, a todos os interessados referidos no artigo 23.o do Estatuto do Tribunal de Justiça da União Europeia.
30. Na audiência, realizada em 29 de janeiro de 2018, o Ministério Público espanhol, os Governos espanhol, checo, dinamarquês, estónio, irlandês, francês, letão, polaco e do Reino Unido bem como a Comissão apresentaram as suas observações orais.
IV. Análise
A. Observações preliminares
31. Antes de proceder a um exame aprofundado das questões suscitadas pelo presente pedido de decisão prejudicial, considero necessário tecer algumas considerações sobre o objeto específico deste.
32. Em primeiro lugar, vistas as indicações que figuram na decisão de reenvio e nas informações complementares fornecidas pelo Governo espanhol, saliento que o litígio no processo principal apresenta particularidades importantes que o distinguem, em especial, do contexto dos processos que deram origem aos Acórdãos Digital Rights e Tele2 (22).
33. Com efeito, verifica‑se que o pedido das autoridades policiais aqui em causa visa unicamente obter dados que permitam identificar os titulares ou os utilizadores de números que estão ligados aos cartões SIM que foram inseridos no telemóvel roubado (23). Além disso, é pacífico que o pedido diz respeito a um período claramente definido e limitado no tempo, ou seja, doze dias (24).
34. Em tais circunstâncias, o número de pessoas suscetível de serem visadas pela medida controvertida não é ilimitado, mas restrito. Além disso, estas pessoas são, não um qualquer detentor de um cartão SIM, mas indivíduos com um perfil específico, uma vez que se trata daqueles que tenham feito uso do telefone roubado, após deste, ou que o tenham ainda em sua posse, e que podem, portanto, ser legitimamente considerados suspeitos quer de serem eles próprios os autores do crime quer de estarem relacionados com estes últimos.
35. Além disso, os dados referidos não correspondem a qualquer tipo de «dados pessoais» (25) detidos pelos fornecedores de serviços de comunicações eletrónicas, mas apenas aos referentes à identidade civil dos indivíduos supramencionados, ou seja, o seu nome próprio, o apelido e, eventualmente, o endereço (26), dados que podem igualmente ser denominados como «de contacto». As restantes informações sobre esses indivíduos que possam encontrar‑se nos arquivos dos referidos fornecedores (27) estão, em minha opinião, excluídas do processo principal.
36. Por outro lado, o objetivo aqui prosseguido é, em meu entender, o de recolher informações que não dizem respeito nem a uma localização, nem a comunicações enquanto tais (28), mas apenas a pessoas singulares que são procuradas por terem podido utilizar um serviço de comunicações eletrónicas através do telefone roubado, mesmo que essas pessoas não tenham feito uma chamada telefónica concreta. Com efeito, resulta das explicações fornecidas ao Tribunal de Justiça pelo Ministério Público espanhol que os dados pessoais solicitados, que são extraídos da associação entre um cartão SIM determinado e o respetivo número IMEI do aparelho roubado, podem ser tecnicamente obtidas através de uma simples ligação deste com um terminal de telefonia móvel, mesmo que nenhuma chamada tenha sido efetuada pelo titular do cartão através do telefone em causa, ou seja, independentemente de qualquer comunicação efetiva (29). Caberá ao órgão jurisdicional de reenvio verificar esta asserção de caráter factual, que me parece, no entanto, suficientemente plausível para poder ser considerada verídica.
37. detendo em conta todos estes elementos, importa, desde já, referir que o litígio no processo principal diz respeito a dados pessoais cuja transmissão é solicitada, não de forma generalizada e indiferenciada, mas de forma orientada quanto às pessoas e limitada quanto à duração. Além disso, os dados solicitados não parecem, à primeira vista, ser de natureza particularmente sensível, embora os direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta sejam suscetíveis de serem afetados pelo acesso a este tipo de dados (30).
38. Em segundo lugar, observo que resulta dos fundamentos da decisão de reenvio que as questões submetidas no presente processo desse caracterizam por incidir não sobre as condições da conservação de dados pessoais no setor das comunicações eletrónicas, mas sim sobre as modalidades de acesso das autoridades nacionais a esses dados conservados pelos fornecedores de serviços que operam neste setor (31).
39. O órgão jurisdicional de reenvio indica, designadamente, que, por força do artigo 588 ter j do Código de Processo Penal, é necessária uma autorização judicial para que os dados eletrónicos conservados pelos prestadores de serviços sejam transmitidos às autoridades competentes, a fim de poderem ser tidos em conta no âmbito de um processo. O n.o 1 do referido artigo precisa que a conservação desses dados pode ter sido efetuada por prestadores quer em aplicação da legislação pertinente quer por iniciativa própria, por motivos comerciais ou outros.
40. No caso em apreço, afigura‑se que os dados pessoais aos quais as autoridades policiais pedem que lhes seja dado o acesso, para fins de inquérito, podem ter sido arquivados pelos operadores de telefonia móvel em execução de uma obrigação imposta pela lei espanhola (32). O órgão jurisdicional de reenvio não dá indicações a este propósito, recordando‑se que o seu pedido de decisão prejudicial é focalizado no eventual acesso a dados já tenham sido conservados e sabendo que a conformidade do armazenamento dos dados com as exigências do direito da União não é posta em causa no litígio no processo principal (33). Por conseguinte, em minha opinião, deve partir‑se da premissa segundo a qual os dados em causa no processo principal foram conservados em conformidade com a legislação nacional, no respeito dos requisitos estabelecidos no artigo 15.o, n.o 1, da Diretiva 2002/58, o que cabe unicamente ao órgão jurisdicional de reenvio verificar (34).
41. Voltarei, na exposição que segue, a examinar as implicações legais das constatações até aqui esboçadas a título preliminar (35).
B. Quanto às exceções processuais suscitadas pelo Governo espanhol
42. O Governo espanhol suscitou duas categorias de exceções processuais, uma relativa à competência do Tribunal de Justiça e a outra relativa à admissibilidade do pedido de decisão prejudicial, sobre as quais o Tribunal de Justiça deverá pronunciar‑se antes de decidir quanto ao mérito, se for caso disso.
1. Quanto à competência do Tribunal de Justiça tendo em conta o âmbito de aplicação do direito da União
43. Antes de mais, recordo que resulta de jurisprudência constante que os direitos fundamentais garantidos pela ordem jurídica da União, designadamente os direitos consagrados nos artigos 7.o e 8.o Da Carta apenas são aplicáveis se a situação em causa for regulada pelo direito da União (36). Além disso, o artigo 51.o, n.o 1, da Carta prevê que as suas disposições têm por destinatários os Estados‑Membros apenas «quando apliquem o direito da União», na aceção da jurisprudência do Tribunal de Justiça relativa a este conceito (37). Por conseguinte, quando uma situação jurídica não está abrangida pelo âmbito de aplicação do direito da União, o Tribunal de Justiça não tem competência para dela conhecer e as disposições da Carta eventualmente invocadas não podem, só por si, fundamentar essa competência (38).
44. No caso vertente, as questões submetidas pelo órgão jurisdicional de reenvio visam unicamente os artigos 7.o e 8.o da Carta bem como «os princípios fundamentais do direito da União aplicados pelo Tribunal de Justiça no seu acórdão [Digital Rights]». No entanto, esse órgão jurisdicional considera que as diretivas aplicáveis em matéria de proteção de dados pessoais, como a Diretiva 95/46 e a Diretiva 2002/58, o elo de ligação exigido entre o processo principal e o direito da União, por força do artigo 51.o, n.o 1, da Carta.
45. A este respeito, observo, em primeiro lugar, que o Governo espanhol sustenta, a título principal, que o Tribunal de Justiça não é competente para se pronunciar sobre o presente reenvio prejudicial, com o fundamento de que este último não diz respeito à aplicação do direito da União. Alega, designadamente, que o litígio no processo principal está excluído do âmbito de aplicação do direito da União, uma vez que diz respeito a um acesso das autoridades policiais a dados sujeitos a uma decisão judicial no âmbito de um inquérito, o que constitui uma atividade do Estado em matéria de direito penal (39) e, por conseguinte, está incluído nas exceções previstas no artigo 1.o, n.o 3, da Diretiva 2002/58, bem como no artigo 3.o, n.o 2, primeiro travessão, da Diretiva 95/46 (40). Na audiência, o Governo do Reino Unido indicou que partilhava o ponto de vista do Governo espanhol.
46. No entanto, considero que a Diretiva 2002/58 é aplicável em relação a medidas nacionais como as em causa no processo principal. Com efeito, o Tribunal de Justiça já decidiu, no Acórdão Tele2, que as legislações nacionais relativas à conservação de dados para efeitos de luta contra a criminalidade são abrangidas pelo âmbito de aplicação desta diretiva, não só na medida em que definem as obrigações que, a esse título, impendem sobre os fornecedores de serviços de comunicações eletrónicas, mas também na parte em que regulam o acesso das autoridades nacionais aos dados conservados nesse âmbito (41). À semelhança da Comissão, entendo que as considerações enunciadas neste acórdão são transponíveis para as normas nacionais aplicáveis no caso em apreço, designadamente, as resultantes da Lei n.o 25/2007, lida em conjugação com o Código de Processo Penal espanhol, alterado pela Lei orgânica 13/2015 (42) e, portanto, transponíveis para o objeto do litígio no processo principal.
47. Acrescento que não se deve confundir, por um lado, os dados pessoais tratados diretamente no âmbito das atividades ‑ o exercício da autoridade pública (43) ‑ do Estado no domínio do direito penal (44) e, por outro, as questões tratadas no âmbito das atividades de natureza comercial ‑ de um fornecedor de serviços de comunicações eletrónicas que são seguidamente utilizadas pelas autoridades estatais competentes (45). Por outro lado, noto que o Tribunal de Justiça foi recentemente chamado a pronunciar‑se sobre um pedido de decisão prejudicial relativo, em especial, à interpretação do artigo 1.o, n.o 3, da Diretiva 2002/58 no contexto da utilização, pelos serviços de segurança e de informação e de um Estado‑Membro, de dados que lhe deviam ser comunicados massivamente por esses prestadores (46), problemática que, em meu entender, não há que resolver no presente processo (47).
48. Em segundo lugar, observo que outras questões foram suscitadas, sobre o âmbito de aplicação da Diretiva 2002/58, das quais depende a competência do Tribunal de Justiça no presente processo, atendendo ao tipo de dados em causa no processo principal.
49. Como já referi (48), resulta dos elementos juntos aos autos que o pedido de acesso controvertido visa obter informações sobre a identidade dos titulares ou utilizadores dos números de telefone correspondentes aos cartões SIM que foram ativados através do telemóvel roubado, a fim de encontrar as pessoas que tenham estado na posse do aparelho, e não informações sobre as chamadas eventualmente feitas a partir deste.
50. Por outras palavras, mesmo que pudesse ter sido potencialmente afetado um leque mais vasto de dados pessoais por força da regulamentação espanhola (49), o presente litígio no processo principal diz respeito a dados relativos apenas à identidade dos «utilizadores», na aceção do artigo 2.o, segundo parágrafo, alínea a), da Diretiva 2002/58, e não a uma qualquer «localização» (50), na aceção do referido artigo 2.o, segundo parágrafo, alínea c), nem a «comunicações» enquanto tais, na aceção do mesmo artigo 2.o, segundo parágrafo, alínea d) (51).
51. Segundo o Ministério Público espanhol, os Governos espanhol, dinamarquês, irlandês, letão e do Reino Unido, bem como a Comissão, as informações como as que estão aqui em causa, na medida em que são tidas em consideração isoladamente, isto é, independentemente das comunicações que, se for o caso, tenham sido efetuadas, não deveriam, em princípio, ser abrangidas pelo conceito de «dados de tráfego», na aceção do referido artigo 2.o, segundo parágrafo, alínea b), que define esses dados como sendo «quaisquer dados tratados para efeitos do envio de uma comunicação através de uma rede de comunicações eletrónicas ou para efeitos da faturação da mesma» (52).
52. Na verdade, ao que parece, os dados de identificação aqui pedidos pelas autoridades policiais não incidem sobre o «tráfego» de comunicações propriamente dito, na medida em que se afigura que estes dados poderão ser obtidos apesar de ser possível que nenhuma chamada tenha sido feita a partir do aparelho roubado, e, portanto, mesmo que nenhuma comunicação interpessoal tenha sido encaminhada por um operador de telefonia móvel durante o período visado (53).
53. No entanto, considero que um litígio como o do processo principal é abrangido pelo âmbito de aplicação da Diretiva 2002/58, uma vez que o tratamento das informações associadas aos cartões SIM e aos respetivos titulares, objeto do caso vertente, é necessário, de um ponto de vista comercial, à prestação de serviços de comunicações eletrónicas (54), pelo menos para efeitos de faturação do serviço que é prestado (55) independentemente das chamadas efetuadas ou não no quadro desta prestação.
54. Com efeito, tendo em conta o artigo 1.o, n.o 1, e o artigo 3.o da Diretiva 2002/58 (56), concordo com a opinião expressa, em particular, pela Comissão, segundo a qual esta diretiva é destinada a regular, de forma global, o tratamento de dados pessoais efetuado no âmbito do fornecimento de serviços de comunicações eletrónicas, pelo que o seu âmbito de aplicação inclui os dados relativos à identidade dos utilizadores desses serviços, como os aqui em causa, e não apenas os relativos a uma comunicação precisa. Tendo igualmente em conta objetivos de proteção previstos pela referida diretiva, que consistem principalmente na proteção de direitos fundamentais garantidos pela Carta (57), considero, por conseguinte, que o conceito de «comunicação», na aceção deste instrumento, deve ser entendido na sua aceção mais lata e que o princípio da confidencialidade das comunicações previsto por esse instrumento (58) está em causa no presente caso.
55. Sou igualmente de opinião que esta interpretação é corroborada por um acórdão anterior do Tribunal de Justiça, no qual este reconheceu que o âmbito de aplicação da Diretiva 2002/58 abrangia um litígio sobre a transmissão dos nomes e endereços de utilizadores de um serviço de comunicações eletrónicas (59). Acrescento que o artigo 12.o da referida diretiva, relativo às listas de assinantes, tem, em minha opinião, por objetivo certamente dados desta natureza (60) e que o seu considerando 15 reflete também uma conceção flexível do conceito de «comunicação», aí incluindo qualquer informação relativa a «endereços[,] fornecida pelo remetente de uma comunicação» (61).
56. Além disso, esta abordagem é coerente com a jurisprudência do TEDH nesta matéria (62), relembrando que o preâmbulo da Diretiva 2002/58 sublinha que esta tem por objeto garantir a confidencialidade das comunicações e o direito dos utilizadores à privacidade em conformidade com a CEDH, tal como interpretada pelo referido órgão jurisdicional (63), mesmo que esse último instrumento não esteja formalmente integrado na ordem jurídica da União (64).
57. Por conseguinte, considero que um litígio como o do processo principal é abrangido pelo âmbito de aplicação material da Diretiva 2002/58 e que a exceção de incompetência suscitada pelo Governo espanhol deve ser julgada improcedente.
58. Para ser exaustivo, preciso, todavia, que, na hipótese de a Diretiva 2002/58 não ser declarada aplicável em tal situação, a Diretiva 95/46, invocada pelo órgão jurisdicional de reenvio e pelo Governo espanhol, não pode fundamentar a competência do Tribunal de Justiça para se pronunciar no presente processo.
59. Com efeito, como a Comissão indica, é certo que a Diretiva 95/46 constitui um instrumento de alcance geral em matéria de tratamento dos dados pessoais (65), mas as questões colocadas pelo órgão jurisdicional de reenvio seriam, em meu entender, desprovidas de pertinência se fossem examinadas unicamente sob este ângulo, visto terem por objeto determinar o limite a partir do qual infrações podem ser qualificadas como «graves» na aceção da jurisprudência decorrente dos Acórdãos Digital Rights e Tele2, que não incidiam sobre a interpretação da referida diretiva (66).
2. Quanto à admissibilidade do pedido de decisão prejudicial
60. O Governo espanhol afirma, a título subsidiário, na hipótese de o Tribunal de Justiça considerar que é competente para responder às questões submetidas, que o pedido de decisão prejudicial deve ser declarado inadmissível, e isto por duas razões.
61. Em primeiro lugar, esse Governo alega que o órgão jurisdicional de reenvio não identifica de forma clara o quadro normativo da União sobre o qual o Tribunal de Justiça se deve pronunciar.
62. A este respeito, recordou a jurisprudência constante segundo a qual, no âmbito da cooperação instituída pelo artigo 267.o TFUE, o Tribunal de Justiça só se pode recusar a pronunciar‑se sobre questões prejudiciais, as quais gozam de uma presunção de pertinência, se for manifesto que a interpretação ou a apreciação da validade de uma regra da União solicitada não tem qualquer relação com a realidade ou com o objeto do litígio no processo principal, quando o problema for de natureza hipotética ou ainda quando o Tribunal de Justiça não disponha dos elementos de facto e de direito necessários para responder de forma útil às questões que lhe são submetidas (67).
63. No entanto, considero que, no caso em apreço, a acusação do Governo espanhol não é fundada. Com efeito, atentas as indicações dadas pelo órgão jurisdicional de reenvio, considero que este procedeu a uma identificação suficiente das disposições do direito da União que são, a seu ver, pertinentes. Recordo, por um lado, que as questões submetidas visam, em especial, os artigos 7.o e 8.o da Carta e, por outro, que esse órgão jurisdicional refere que as Diretivas 95/46 e 2002/58 constituem o elo de ligação que é necessário entre a regulamentação nacional aplicável ao processo principal e o direito da União (68) e, por último, que a Diretiva 2002/58 visa, como enuncia o seu considerando 2, assegurar, em particular, o pleno respeito pelos direitos consagrados nos artigos 7.o e 8.o da Carta (69).
64. Acrescento que é indiferente que um dos elementos da regulamentação espanhola evocados na decisão de reenvio, a saber, a Lei 25/2007, tenha tido por objetivo transpor a Diretiva 2006/24, que foi revogada, por ter sido declarada inválida pelo Acórdão Digital Rights (70). Como o órgão jurisdicional de reenvio acertadamente indica, seria inexato considerar que as questões prejudiciais aqui submetidas ao Tribunal de Justiça seriam desprovidas de pertinência em razão dessa invalidação. A este respeito, basta observar que a matéria visada por estas questões, a saber, a proteção dos dados pessoais, está abrangida pelo domínio de competência da União e que o litígio no processo principal é abrangido pelo âmbito de aplicação de um ato do direito da União, a saber, a Diretiva 2002/58 (71), que a Diretiva 2006/24, declarada inválida, se destinava a alterar.
65. Pode, aliás, observar‑se que as partes que apresentaram observações ao Tribunal de Justiça na sua maioria partem do princípio de que o presente pedido de decisão prejudicial deve ser examinado com base no artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o e 8.o da Carta, bem como com base nos ensinamentos decorrentes dos Acórdãos Digital Rights e Tele2. Essa é igualmente a minha opinião, cabendo precisar que a expressão «infrações penais», e não «infrações graves», figura na Diretiva 2002/58, apenas no referido artigo 15.o, n.o 1 (72).
66. Em segundo lugar, o Governo espanhol sustenta que o artigo 7.o da Carta, que constitui o elemento central do presente pedido de decisão prejudicial, não é pertinente uma vez que a medida de inquérito solicitada no processo principal não visa a interceção de comunicações e não pode, portanto, afetar a confidencialidade das comunicações, pelo que as questões submetidas são hipotéticas.
67. Pela minha parte, considero que o artigo 7.o da Carta é efetivamente pertinente no presente processo e que o pedido de decisão prejudicial é, consequentemente, desprovido de caráter hipotético. Embora seja verdade que, no caso em apreço, não existe risco de violação do direito ao segredo das comunicações, tendo em conta o objeto da medida em causa no processo principal (73), não é menos verdade que uma medida deste tipo é suscetível de ofender o direito ao respeito da vida privada que é garantido pela referida disposição, ainda que essa violação seja, em minha opinião, de pequena dimensão (74).
68. Com efeito, como o Tribunal de Justiça já decidiu de forma constante, a comunicação de dados de caráter pessoal a um terceiro, como uma autoridade pública, constitui uma ingerência no direito fundamental consagrado no artigo 7.o da Carta, seja qual for a utilização posterior das informações comunicadas. O mesmo se diga quanto à conservação dos dados pessoais, designadamente pelos fornecedores de serviços de comunicações eletrónicas e ao acesso aos referidos dados com vista à sua utilização pelas autoridades públicas (75).
69. Por conseguinte, entendo que, a exceção de admissibilidade suscitada pelo Governo espanhol deve ser julgada improcedente e que deve, portanto, conhecer‑se, quanto ao mérito, o pedido de decisão prejudicial.
C. Sobre os elementos exigidos para dever caracterizar a gravidade suficiente de uma infração que justifique uma ingerência nos direitos fundamentais referidos (primeira questão)
70. Com a sua primeira questão, o órgão jurisdicional de reenvio questiona o Tribunal de Justiça, em substância, sobre os elementos a tomar em conta para se demonstrar que determinadas infrações são de gravidade suficiente para justificar que sejam ofendidos os direitos fundamentais garantidos pelos artigos 7.o e 8.o da Carta, no âmbito da conservação de dados de caráter pessoal e do acesso aos mesmos, em conformidade com a jurisprudência decorrente do Acórdão Digital Rights, seguido do Acórdão Tele2.
71. A este respeito, recordo que o conceito de «infrações graves» foi utilizado pelo Tribunal de Justiça no Acórdão Digital Rights (76), por vezes em combinação com o conceito de «criminalidade grave» (77), enquanto critério de verificação da finalidade e da proporcionalidade da ingerência nos direitos fundamentais acima referidos que era causada por disposições do direito da União relativas aos dados pessoais, a saber, as da Diretiva 2006/24. Preciso que este conceito, que não figura na Diretiva 2002/58 (78), era utilizado na Diretiva 2006/24 (79), cuja invalidade foi objeto do referido acórdão. O Tribunal de Justiça fez posteriormente uso destes dois conceitos no Acórdão Tele2 (80), como mesmo critério de apreciação, mas relativo, desta vez à conformidade com o direito da União (81) de disposições adotadas pelos Estados‑Membros.
72. Mais precisamente, a primeira questão prejudicial convida o Tribunal de Justiça a declarar se, para apreciar a existência de uma «infração grave» suscetível de justificar uma ingerência nos direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta exercida em relação a dados pessoais, é necessário tomar em consideração unicamente a pena imposta para a infração controvertida ou, além disso, o caráter particularmente ofensivo do comportamento delituoso face aos interesses jurídicos individuais ou coletivos em causa.
73. Todavia, à semelhança da Comissão, considero que, antes de se pronunciar sobre esta questão, importa examinar se a ingerência em causa num litígio como o do processo principal apresenta um grau de gravidade suficientemente elevado para que seja exigido, por força do direito da União, que essa ingerência seja justificada pela luta contra infrações de caráter grave a fim de poder ser admitida. Com efeito, parece‑me que, se tal não for esse o caso, o Tribunal de Justiça deve proceder a uma interpretação das disposições pertinentes do direito da União, não se limitando à que é solicitada pelo órgão jurisdicional de reenvio, mas depois de ter reformulado a primeira questão submetida (82) na medida do necessário, atentas as circunstâncias do litígio no processo principal (83).
1. Quanto à tomada em consideração da falta de gravidade da ingerência controvertida
74. Antes de mais, há que estabelecer que as operações como as que estão em causa no processo principal são efetivamente suscetíveis de ofender os direitos fundamentais garantidos pelos artigos 7.o e 8.o da Carta, e, por conseguinte, de constituir uma ingerência nestes direitos, na aceção da jurisprudência decorrente dos Acórdãos Digital Rights e Tele2.
75. É certo que, como os Governos espanhol e dinamarquês invocaram nas suas alegações (84) e como já indiquei (85), os dados a que as autoridades responsáveis pelo inquérito penal em causa pretendem ter acesso parecem revestir um caráter menos sensível do que outras categorias de dados pessoais (86), sabendo que o pedido em causa ao que parece, se refere unicamente ao nome, ao apelido e à morada dos indivíduos visados pelo inquérito enquanto utilizadores de números de telefone ativados a partir do telemóvel roubado que constitui o objeto do inquérito.
76. No entanto, entendo que, para determinar se os dados pessoais devem ser abrangidos pela proteção prevista pelo direito da União e, em especial, pela Diretiva 2002/58 (87), é indiferente saber se as informações abrangidas pelo pedido de conservação ou de comunicação se revestem ou não de uma especial sensibilidade. Com efeito, como foi observado no âmbito dos primeiros trabalhos legislativos na matéria, «segundo a finalidade da sua utilização, quaisquer dados relativos a uma pessoa, mesmo aparentemente inofensiva podem ter um caráter sensível (como um simples endereço postal, por exemplo)» (88). Além disso, o Tribunal de Justiça já decidiu que, para caracterizar a existência de uma ingerência no direito fundamental consagrado no artigo 7.o da Carta, «pouco importa que as informações relativas à vida privada em questão sejam ou não sensíveis, ou que os interessados tenham ou não sofrido inconvenientes em razão dessa ingerência» (89).
77. Por outro lado, recordo que a comunicação dos dados de caráter pessoal a um terceiro, mesmo a uma autoridade pública como um serviço de polícia judiciária, constitui uma ingerência no direito fundamental garantido pelo artigo 7.o da Carta (90), designadamente se essas informações são transmitidas para fins de inquérito penal, situação, aliás, expressamente referida no artigo 15.o, n.o 1, da Diretiva 2002/58 (91). Acrescento que uma operação deste tipo pode também atentar contra o direito fundamental à proteção dos dados pessoais, garantido no artigo 8.o da Carta, uma vez que pressupõe um tratamento de dados pessoais (92).
78. Por conseguinte, considero que há que concluir que uma medida como a que está em causa no processo principal é constitutiva de uma ingerência nos direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta.
79. Contudo, entendo que, nas circunstâncias do caso em apreço, falta um elemento essencial que foi utilizado pelo Tribunal de Justiça para exigir, na fase da justificação dessa ingerência, que existe uma «infração grave» ‑ conceito cuja definição é solicitada pelo órgão jurisdicional de reenvio ‑, para poder derrogar o princípio da confidencialidade das comunicações eletrónicas. O elemento que falta, em minha opinião, no caso em apreço, para que se responda à primeira questão prejudicial nos termos utilizados por este órgão jurisdicional é o da gravidade da ingerência controvertida, fator que, se se verificasse, implicaria a necessidade de uma justificação reforçada.
80. A este respeito, saliento que, no Acórdão Digital Rights, o Tribunal de Justiça destacou a vasta amplitude e o caráter particularmente grave da ingerência que era produzida pela regulamentação em causa, salientando, designadamente, que «a Diretiva 2006/24 abrange de maneira geral todas as pessoas, todos os meios de comunicação eletrónica e todos os dados relativos ao tráfego, não sendo efetuada nenhuma diferenciação, limitação ou exceção em função do objetivo de luta contra as infrações graves» (93).
81. De forma semelhante, no Acórdão Tele2, o Tribunal de Justiça decidiu que «[o] artigo 15.o, n.o 1, da Diretiva 2002/58 […] se opõe a uma regulamentação nacional que prevê, para efeitos de luta contra a criminalidade, uma conservação generalizada e indiferenciada de todos os dados de tráfego e de todos os dados de localização de todos os assinantes e utilizadores registados em relação a todos os meios de comunicação eletrónica» (94). Um vínculo de correlação foi igualmente estabelecido neste acórdão entre, por um lado, a especial «gravidade da ingerência» assim constatada e, por outro, a necessidade de justificar uma violação de tal alcance em relação aos direitos fundamentais garantidos pelos artigos 7.o e 8.o da Carta, com base num motivo de interesse geral tão primordial como o da «luta contra a criminalidade grave» (95).
82. O estabelecimento de uma relação entre a gravidade da ingerência e a gravidade do motivo que permita justificar esta última foi feito em conformidade com o princípio da proporcionalidade (96). Acresce que me parece que o TEDH estabeleceu, na sua jurisprudência relativa ao artigo 8.o da CEDH (97), um vínculo de correlação equivalente ao que resulta, em meu entender, dos Acórdãos Digital Rights e Tele2.
83. Ora, como já acima evoquei (98) e como sublinharam, em particular, os Governos francês e do Reino Unido, bem como a Comissão, a natureza da ingerência em causa no presente litígio no processo principal é, por várias razões, distinta das que foram consideradas pelo Tribunal de Justiça nos dois acórdãos anteriores. O exame da conformidade com o direito da União de uma medida como a que está aqui em causa deve, portanto, ser feita de forma diferente.
84. No caso em apreço, não se trata de uma medida relativa a uma obrigação de conservação generalizada e indiferenciada dos dados relativos ao tráfego e à localização de qualquer assinante ou utilizador registado, que diz respeito a todos os meios de comunicação eletrónica. Trata‑se de uma medida focalizada que visa a possibilidade de acesso, por parte de autoridades competentes e para efeitos de inquérito penal, a dados detidos para fins comerciais por prestadores de serviços e que incide apenas sobre a identidade (apelido, nome próprio e, eventualmente, morada) de uma categoria limitada de assinantes ou de utilizadores de um meio de comunicação específico, designadamente aqueles cujo número de telefone foi ativado a partir do telemóvel cujo roubo foi objeto do inquérito, e isto durante um período limitado, ou seja, doze dias (99).
85. Acrescento que os efeitos potencialmente nocivos para as pessoas visadas pelo pedido de acesso em causa, são ao mesmo tempo moderados e enquadrados. Com efeito, sendo destinados a ser utilizados no contexto singular de uma medida de investigação, os dados solicitados não se destinam a ser divulgados ao público em geral (100). Além disso, a faculdade de acesso oferecida às autoridades policiais é acompanhada de garantias processuais por força do direito espanhol, pois está sujeita a fiscalização jurisdicional, que, aliás, levou à rejeição da pretensão policial no litígio no processo principal.
86. A ingerência nos direitos fundamentais acima referidos que é causada pela comunicação de tais dados de identificação civil, a meu ver, não reveste um caráter particularmente grave (101), uma vez que dados dessa natureza e de âmbito tão limitado não permitem, por si só, obter informações variadas e/ou precisas sobre as pessoas em causa (102) e, portanto, não afetam diretamente e fortemente a intimidade da vida privada nestas circunstâncias particulares (103).
87. Por conseguinte, à semelhança da Comissão, considero que, para fornecer ao órgão jurisdicional de reenvio as indicações pertinentes para decidir o litígio de que deve conhecer, há que reformular a primeira questão prejudicial de modo a que a resposta a dar pelo Tribunal de Justiça tenha por objeto a interpretação do artigo 15.o, n.o 1, da Diretiva 2002/58 tendo em conta circunstâncias como as do caso vertente, a saber, a existência de ingerência nos direitos fundamentais acima referidos, que seja desprovida de uma particular gravidade e se baseie na luta contra um tipo de infrações penais cuja natureza grave é posta em dúvida.
88. A este respeito, recordo que, dado que os objetivos suscetíveis de justificar uma regulamentação nacional que derrogue o princípio da confidencialidade das comunicações eletrónicas são enumerados de modo exaustivo no artigo 15.o, n.o 1, da Diretiva 2002/58, o acesso aos dados conservados deve responder efetiva e estritamente a um desses objetivos (104). Entre estes últimos figura o objetivo de interesse geral de garantir «a prevenção, a investigação, a deteção e a repressão de infrações penais» (105), sem qualquer outra precisão quanto à natureza destas.
89. Resulta da terminologia assim utilizada que não é imperativo que as infrações legitimadoras da medida restritiva em causa, por força do artigo 15.o, n.o 1, possam ser qualificadas como «graves» na aceção da jurisprudência decorrente dos Acórdãos Digital Rights e Tele2. Em minha opinião, só quando a ingerência sofrida é de especial gravidade, como nos processos que deram origem aos referidos acórdãos, é que as infrações suscetíveis de justificar tal ingerência devem ser de especial gravidade. Em contrapartida, no caso de uma ingerência não grave, há que voltar ao princípio de base que resulta da redação desta disposição, a saber, que qualquer tipo de «infrações penais» é suscetível de justificar uma ingerência desse tipo.
90. Importa, em minha opinião, zelar por não adotar uma conceção demasiado ampla das exigências impostas pelo Tribunal de Justiça nesses dois acórdãos, a fim de não obstruir, em todo o caso, excessivamente, a possibilidade de os Estados‑Membros derrogarem o regime estabelecido pela Diretiva 2002/58, que lhes é concedida pelo artigo 15.o, n.o 1, desta, nos casos em que as intrusões na vida privada em causa têm simultaneamente uma finalidade legítima e um alcance reduzido, como as que se podem ser causadas no caso vertente pelo pedido do serviço de polícia judiciária. Mais concretamente, parece‑me que o direito da União não se opõe a que autoridades competentes possam ter acesso aos dados de identificação na posse de fornecedores de serviços de comunicações eletrónicas que permitem encontrar os presumíveis autores de uma infração penal que não revista um caráter grave.
91. Por conseguinte, recomendo ao Tribunal de Justiça que responda à questão prejudicial conforme reformulada, que o artigo 15.o, n.o 1, da Diretiva 2002/58, lido à luz dos artigos 7.o e 8.o, bem como do artigo 52.o, n.o 1, da Carta, deve ser interpretado no sentido de que uma medida que permita às autoridades nacionais competentes terem acesso, para fins de luta contra infrações penais, aos dados de identificação dos utilizadores de números de telefone ativados a partir de um telemóvel específico e durante um período de tempo limitado, em circunstâncias como as que estão em causa no processo principal, conduz a uma ingerência nos direitos fundamentais garantidos pela referida diretiva e pela Carta, que não atinge um nível de gravidade suficiente para que seja necessário reservar esse acesso aos casos em que a infração em causa revista um caráter grave.
92. Tendo em conta a resposta assim proposta, todas as observações que se seguem são apresentadas apenas a título subsidiário, com o fim de ser exaustivo.
2. Sobre a determinação eventual dos critérios pertinentes para caracterizar a gravidade suficiente de uma infração
93. No caso de o Tribunal de Justiça decidir, contrariamente ao que preconizo, que se deve, não obstante as circunstâncias, muito específicas, do presente litígio no processo principal, há que determinar, no presente processo, o que é necessário entender‑se por uma «infração grave» na aceção da jurisprudência decorrente dos Acórdãos Digital Rights e Tele2 (106), deve ainda perguntar‑se, em primeiro lugar, se esta qualificação constitui efetivamente um conceito autónomo do direito da União, que compete, portanto, ao Tribunal de Justiça definir. Ora, à semelhança da resposta apresentada a título principal pelo Governo francês, não é essa a minha convicção, pelas razões que se seguem.
94. Observo, antes de mais, que a Diretiva 2006/24 de onde a utilização do conceito de «infração grave» provém (107), não continha uma definição desta, mas remetia, a este respeito, para as ordens jurídicas dos Estados‑Membros (108). Acrescento que as considerações pertinentes que figuram nos Acórdãos Digital Rights e Tele2 não devem, segundo o que defendo, ser entendidas no sentido de que se destinam a harmonizar as regras de direito em vigor nos Estados‑Membros sobre o teor deste conceito.
95. A este respeito, recordo que a legislação penal e as normas do processo penal são da competência dos Estados‑Membros, mesmo que a ordem jurídica destes últimos possa ser, no entanto, afetada pelas disposições do direito da União adotadas neste domínio (109). Nos termos do artigo 83.o, n.o 2, TFUE, só nos casos em que a harmonização do direito penal dos Estados‑Membros seja indispensável para a execução eficaz de uma política da União, num domínio que tenha sido objeto de medidas de harmonização, é que a União pode adotar diretivas destinadas a estabelecer regras mínimas relativas à definição das infrações penais e das sanções no domínio em causa. Ora, no estado atual do direito da União, não existe nenhuma disposição de alcance geral que dê uma definição harmonizada do conceito de «infração grave» (110).
96. Parece‑me que o poder de determinar o que constitui uma «infração penal grave» cabe, em princípio, às autoridades competentes dos Estados‑Membros. No entanto, graças aos reenvios prejudiciais que lhe podem submeter os órgãos jurisdicionais dos Estados‑Membros, incumbe ao Tribunal de Justiça zelar pelo respeito de todas as exigências decorrentes do direito da União, designadamente, assegurar uma aplicação coerente da proteção facultada pelas disposições da Carta.
97. Saliento que a qualificação jurídica em questão é suscetível não só de variar de um Estado‑Membro para outro, em função das suas tradições seguidas e das prioridades definidas por cada um deles, mas igualmente de flutuar no tempo, em função das orientações que são dadas à política penal, em direção a uma maior ou menor severidade, para ter em conta a evolução da criminalidade (111) bem como, mais geralmente, das transformações da sociedade e das necessidades existentes, designadamente em termos de repressão penal, no plano nacional.
98. Além disso, saliento que, uma vez que existem grandes diferenças entre os quadros de sanções que são tradicionalmente aplicáveis nos diferentes Estados‑Membros (112), a gravidade de uma infração não se limita à importância da pena correspondente. A questão de saber se uma infração reveste um caráter grave é muito relativa, na medida em que depende da escala das sanções geralmente aplicadas no Estado‑Membro em questão. Assim, o facto de um Estado‑Membro prever uma pena de prisão pouco elevada, ou mesmo uma pena alternativa à pena de prisão, não constitui, no entanto, um julgamento antecipado acerca da gravidade intrínseca do tipo de infrações em causa (113).
99. Importa, em meu entender, respeitar as especificidades do sistema de direito penal de cada um dos Estados‑Membros, na medida em que o direito da União não fixa, de forma estrita, obrigações que vinculam estes últimos por analogia com o que o Tribunal de Justiça decidiu quanto à salvaguarda da segurança pública (114), conceito que se aproxima, em meu entender, do conceito de luta contra a criminalidade grave, designadamente tendo em conta a redação do artigo 15.o, n.o 1, primeiro período, da Diretiva 2002/58.
100. Consequentemente, considero, a título subsidiário, que o conceito de «infração grave», na aceção da jurisprudência do Tribunal de Justiça resultante dos Acórdãos Digital Rights e Tele2 não constitui um conceito autónomo do direito da União cujo teor deve ser definido pelo Tribunal de Justiça, ainda que não deixe de ser verdade que a derrogação prevista no artigo 15.o, n.o 1, da Diretiva 2002/58 deve ser aplicada pelos Estados‑Membros em conformidade com as obrigações decorrentes do direito da União, designadamente dos direitos fundamentais garantidos pela Carta, e isto sob fiscalização do Tribunal de Justiça.
101. A este último respeito, saliento que resulta da jurisprudência do Tribunal de Justiça, em particular, que o referido artigo 15.o, n.o 1, na medida em que permite aos Estados‑Membros limitar o alcance de determinados direitos e obrigações previstos por essa diretiva, deve ser objeto de interpretação estrita e não pode, portanto, levar a que a derrogação a estes direitos e obrigações se torne, por princípio, a regra (115). Por conseguinte, o alcance do conceito de «infração grave» não pode ser entendido de modo excessivamente amplo pelos Estados‑Membros.
102. Em segundo lugar, e a título ainda muito mais subsidiário, na hipótese de o Tribunal de Justiça considerar que o referido conceito é autónomo, deveria então responder à questão tal como formulada pelo órgão jurisdicional de reenvio e, portanto, pronunciar‑se sobre a determinação dos critérios que permitam apreciar, ao nível do direito da União, se uma infração penal reveste um caráter de gravidade suficiente para justificar uma ofensa aos direitos fundamentais consagrados nos artigos 7.o e 8.o da Carta.
103. Mais precisamente, o Tribunal de Justiça deve determinar se, para estabelecer a existência de uma «infração grave», na aceção da referida jurisprudência, basta basear‑se na pena prevista para a infração alegada, ou se é necessário, por outro lado, que o comportamento criminoso tenha sido especialmente prejudicial para os interesses jurídicos individuais ou coletivos em questão. A este respeito deveria, segundo entendo, e também segundo os Governos dinamarquês, espanhol, francês, húngaro, austríaco, polaco e do Reino Unido, optar, não pela primeira vertente dessa alternativa, mas pela segunda vertente, em substância, privilegiando uma definição baseada numa pluralidade de critérios de apreciação (116).
104. No que se refere à gravidade da infração suscetível de justificar o acesso aos dados, seria, em minha opinião, tendo em conta o princípio da proporcionalidade, impossível determinar a gravidade dos factos incriminados tendo em conta unicamente a pena suscetível de ser aplicada. Com efeito, dadas as diferenças significativas que ainda existem entre os sistemas repressivos dos Estados‑Membros, considero que a sanção imposta não pode ser considerada, por si só, suscetível de refletir, quer seja do ponto de vista qualitativo, do tipo de pena e/ou do ponto de vista quantitativo do nível da pena, a especial gravidade de uma infração penal.
105. Mesmo que a pena revista uma importância considerável, outros fatores objetivos devem igualmente entrar em linha de conta, caso a caso, a este título. Trata‑se, mais especialmente, por um lado, do contexto em que se inscreve a infração alegada ‑ na medida em que o comportamento delituoso revista caráter intencional, esteja rodeado de circunstâncias agravantes, e ou tenha sido levado a cabo em estado de reincidência legal —, e, por outro, a importância dos interesses da sociedade que podem ter sido violados pelo autor da infração, bem como a natureza e/ou a dimensão dos prejuízos que possam ter sido sofridos pela vítima desta última (117) e, por último, o nível das penas aplicáveis em geral no Estado‑Membro em causa (118). É a partir deste conjunto de critérios de apreciação, alternativos e não exaustivos, que seria necessário, na minha opinião, qualificar uma infração penal de «grave» na aceção da jurisprudência do Tribunal de Justiça em questão.
106. Acrescento que a interpretação proposta é coerente com a abordagem que me parece ter sido adotada pelo TEDH na sua jurisprudência relativa à «prevenção de crimes» enquanto objetivo que permite justificar uma ingerência no direito à vida privada, consagrado no artigo 8.o da CEDH, sob reserva que outras condições sejam igualmente preenchidas (119). Resulta, na minha opinião, desta jurisprudência que a luta contra certas categorias de infrações pode ser validamente invocada neste contexto, pelos Estados partes na CEDH (120), tendo em conta, não só a pena imposta, mas antes vários fatores de avaliação, entre os quais figuram, em lugar de destaque, a natureza das infrações em causa bem como os interesses públicos e privados por elas afetados (121).
107. Por conseguinte, sou de opinião que, se o conceito de «infração grave», na aceção da jurisprudência decorrente dos Acórdãos Digital Rights e Tele2, fosse considerado pelo Tribunal de Justiça como constituindo um conceito autónomo do direito da União, o mesmo deveria ser interpretado no sentido de que o caráter grave de uma infração, suscetível de justificar o acesso das autoridades nacionais competentes aos dados pessoais ao abrigo do artigo 15.o, n.o 1, da Diretiva 2002/58, deve ser medido não tendo em conta unicamente a pena suscetível de ser aplicada, mas tendo, além disso, em conta um conjunto de outros critérios objetivos de apreciação, tais como os supramencionados.
D. Quanto à definição subsidiária do nível mínimo de pena exigido para caracterizar a gravidade suficiente de uma infração que justifique uma ingerência nos direitos fundamentais visados (segunda questão)
108. Com a sua segunda questão, o órgão jurisdicional de reenvio, em substância, pede ao Tribunal de Justiça, por um lado, que determine o nível mínimo que a pena imposta deve atingir para que uma infração penal possa ser classificada como «grave», na aceção da jurisprudência resultante dos Acórdãos Digital Rights e Tele2, bem como, por outro, que declare se um limiar de três anos de prisão, tal como previsto no Código de Processo Penal espanhol desde a reforma de em 2015 (122), é conforme com as exigências do direito da União.
109. Estas questões são submetidas apenas a título subsidiário, na hipótese de o Tribunal de Justiça declarar, em resposta à primeira questão prejudicial, que o caráter grave da infração penal, sendo um fator que possa justificar uma ingerência em direitos fundamentais por força da referida jurisprudência, deve ser determinado tendo unicamente em conta o quantum da pena privativa de liberdade suscetível de ser aplicada.
110. Tendo em conta a resposta que proponho que seja dada à primeira questão prejudicial, não é necessário, em minha opinião, que o Tribunal de Justiça se pronuncie sobre a segunda questão. No entanto, quero apresentar observações a este respeito, por uma questão de exaustividade.
111. Quanto à primeira parte da segunda questão, considero, à semelhança dos Governos checo e estónio, que o nível da pena imposta que permite, por si só, qualificar uma infração de «grave» não pode ser determinado de modo uniforme em todo o território da União, atendendo às considerações acima indicadas na resposta à primeira questão submetida pelo órgão jurisdicional de reenvio (123).
112. Além disso, esta variação na definição do que se deve entender por uma «infração grave» e, mais especialmente quanto ao limiar da pena a partir do qual esta qualificação é adquirida, está igualmente presente nos atos do direito da União. Com efeito, pode constatar‑se que os atos da União adotados com base no artigo 83.o, n.o 1, TFUE, preveem penas de prisão estabelecidas a níveis diferentes para infrações, no entanto, consideradas, todas elas, «criminalidade particularmente grave» (124), como resulta, por exemplo, do artigo 3.o da Diretiva 2011/92/EU (125) e do artigo 15.o da Diretiva (UE) 2017/541 (126), relativos, respetivamente, à luta contra os abusos sexuais de crianças e à luta contra o terrorismo. Desta forma, o próprio legislador da União não optou por uma definição uniforme do conceito de «infração grave», atendendo a um quantum determinado de pena imposta.
113. Recordo que a liberdade deixada aos Estados‑Membros de decidirem sobre o nível mínimo de pena exigido para que infrações penais sejam denominadas como «graves» é enquadrada pelas normas que figuram nas disposições do direito da União na matéria, mas também pelo princípio por força do qual não pode ser conferida a uma exceção uma dimensão de tal modo vasta a ponto de esta se tornar, de facto, a regra geral (127).
114. No presente caso, mesmo que cada Estado‑Membro tenha a faculdade de apreciar qual é o limiar de pena adequado para caracterizar uma infração grave, tem, no entanto, o dever de não o escalonar a um nível de tal modo baixo, tendo em conta o nível habitual das penas aplicáveis nesse Estado (128), de tal modo que as exceções à proibição de armazenar e de utilizar os dados pessoais que estão previstos nesse artigo 15.o, n.o 1, seriam convertidos em princípios, como o Governo irlandês, com razão, referiu.
115. Além disso, é pacífico que as ingerências nos direitos garantidos pelos artigos 7.o e 8.o da Carta, que poderiam ser autorizadas pelos Estados‑Membros por força do artigo 15.o, n.o 1, da Diretiva 2002/58 continuam, além disso, sempre subordinadas ao respeito das exigências gerais decorrentes do princípio da proporcionalidade, conforme enunciado no artigo 52.o, n.o 1, da Carta (129).
116. Quanto à última parte da segunda questão, o Governo estónio e a Comissão indicam, por um lado, que um limiar fundado exclusivamente numa pena de três anos de prisão se afigura, em absoluto, ser suficiente para qualificar uma infração de «grave», na aceção da jurisprudência do Tribunal de Justiça relativa ao acesso aos dados pessoais resultante do Acórdão Digital Rights, e, por outro, que esse limiar não é manifestamente incompatível com o direito da União em geral (130), e, mais especificamente, com o artigo 15.o, n.o 1, da Diretiva 2002/58.
117. No entanto, seria, na minha opinião, desejável que o Tribunal de Justiça não tomasse posição a favor de um quantum preciso de pena imposta porque o que é adequado para alguns Estados‑Membros não o será forçosamente para outros e o que é atualmente válido para um determinado tipo de infrações não valerá necessariamente de forma irrevogável para o futuro, como já referi (131). Uma vez que uma determinação do limiar em questão requer uma avaliação complexa e evolutiva, importa, em minha opinião, continuar a mostrar‑se cauteloso a este propósito e reservar esta operação à apreciação do legislador da União, na esfera das competências a esta conferidas, ou à apreciação do legislador de cada Estado‑Membro, dentro dos limites das exigências decorrentes do direito da União.
118. A este último respeito, saliento que, no caso em apreço, o órgão jurisdicional de reenvio evoca um risco de inversão entre a regra e as derrogações previstas na Diretiva 2002/58, acima referido (132), quando indica que «o limiar de três anos de prisão [introduzido em 2015 pelo legislador espanhol (133)] diz respeito a uma grande maioria de qualificações penais». Dito de outro modo, segundo esse órgão jurisdicional, a lista atual das infrações suscetíveis de justificar, em Espanha, restrições aos direitos protegidos ao abrigo dos artigos 7.o e 8.o da Carta, que foi introduzida pela reforma do Código de Processo Penal, conduziria, na prática, a que a maior parte das infrações previstas no Código Penal sejam incluídas na referida lista.
119. Ora, admitindo que a ingerência em causa no processo principal seja considerada grave pelo Tribunal de Justiça, e admitindo que o resultado assim evocado pelo órgão jurisdicional de reenvio seja confirmado, este último não é, a meu ver, conforme com a obrigação de proporcionalidade a que essas restrições estão sujeitas (134). É o que, em minha opinião, se verifica, não obstante a existência de uma fiscalização jurisdicional, invocada pelo Governo espanhol, uma vez que o exercício deste controlo permite apenas impedir a execução de medidas consideradas, caso a caso, arbitrárias ou demasiado intrusivas e não travar, de forma generalizada, o recurso medidas deste tipo e o seu desenvolvimento.
120. Por último, sublinho que a abordagem proposta em toda a presente secção está em harmonia, na minha perspetiva, com a interpretação adotada pelo TEDH na sua jurisprudência relativa à proteção dos dados pessoais. É certo que, como evocam o Governo irlandês e a Comissão, este órgão jurisdicional considerou suficientemente claras legislações nacionais que definiam as infrações «graves», suscetíveis de justificar uma ingerência na vida privada, referindo‑se a uma pena imposta igual ou superior a três anos de prisão (135). No entanto, considero que o TEDH não erigiu o referido quantum de pena como critério absoluto e estanque para efeitos desta definição, sabendo que a sua jurisprudência me parece centrada na exigência de uma previsibilidade e uma clareza suficientes para os cidadãos tendo em conta, não tanto a pena imposta, mas antes a natureza das infrações que permitem essa ingerência (136). Por outro lado, embora o TEDH reconheça aos Estados‑Membros uma certa latitude para apreciar a existência e o alcance da necessidade dessa ingerência, submete, no entanto, esta margem de apreciação a uma fiscalização a nível europeu (137). Em especial, vela no sentido de prevenir os riscos de abuso induzidos por legislações que remetam para um leque de infrações de tal modo vasto que conduzam a que a maioria das infrações permitam justificar medidas intrusivas (138).
121. Em conclusão, considero que, na hipótese em que o Tribunal de Justiça decidisse — ao contrário do que preconizo — que há que ter em conta unicamente a pena para qualificar uma infração como «grave» na aceção da sua jurisprudência resultante do Acórdão Digital Rights, deveria então responder‑se à segunda questão prejudicial que os Estados‑Membros podem fixar livremente o nível mínimo da pena pertinente para esse fim, desde que cumpram as exigências resultantes do direito da União e, em especial, aquelas segundo as quais as ingerências nos direitos fundamentais garantidos nos artigos 7.o e 8.o da Carta devem continuar a ser excecionais e respeitar o princípio da proporcionalidade.
V. Conclusão
122. Tendo em conta as considerações precedentes, proponho ao Tribunal de Justiça que responda às questões prejudiciais submetidas pela Audiencia Provincial de Tarragona (Tribunal de Província, de Tarragona, Espanha) do seguinte modo:
O artigo 15.o, n.o 1, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009, lido à luz dos artigos 7.o e 8.o, bem como do artigo 52.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia, deve ser interpretado no sentido de que uma medida que permita às autoridades nacionais competentes ter acesso, para fins de luta contra infrações penais, aos dados de identificação dos utilizadores dos números de telefone ativados a partir de um telemóvel específico e durante um período de tempo limitado, em circunstâncias como as que estão em causa no processo principal, conduz a uma ingerência nos direitos fundamentais garantidos pela referida diretiva e pela Carta, que não atinge um nível de gravidade suficiente para que seja necessário reservar esse acesso aos casos em que a infração em causa revista um caráter grave.