CURIA - Documents

Home > Search form > List of results > Documents

Start printing

Language of document : ECLI:EU:C:2020:790

Processo C‑623/17

Privacy International

contra

Secretary of State for Foreign and Commonwealth Affairs e o.

(pedido de decisão prejudicial apresentado pelo Investigatory Powers Tribunal)

Acórdão do Tribunal de Justiça (Grande Secção) de 6 de outubro de 2020

«Reenvio prejudicial – Tratamento de dados pessoais no setor das comunicações eletrónicas – Prestadores de serviços de comunicações eletrónicas – Transmissão generalizada e indiferenciada de dados de tráfego e de dados de localização – Salvaguarda da segurança nacional – Diretiva 2002/58/CE – Âmbito de aplicação – Artigo 1.°, n.° 3, e artigo 3.° – Confidencialidade das comunicações eletrónicas – Proteção – Artigo 5.° e artigo 15.°, n.° 1 – Carta dos Direitos Fundamentais da União Europeia – Artigos 7.°, 8.°, 11.° e 52.°, n.° 1 – Artigo 4.°, n.° 2, TUE»

1. Aproximação das legislações – Setor das telecomunicações – Tratamento dos dados pessoais e proteção da vida privada no setor das comunicações eletrónicas – Diretiva 2002/58 – Âmbito de aplicação – Regulamentação nacional que impõe aos prestadores de serviços de comunicações eletrónicas que transmitam dados de tráfego e localização aos serviços de segurança e informações Objetivo de proteção da segurança nacional – Inclusão

(Artigo 4.°, n.° 2, TUE; Diretiva 2002/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva 2009/136, artigos 1.°, n.^os 1 e 3, e 15.°, n.° 1)

(cf. n.^os 35‑39, 41‑44, 46, 48, 49, disp. 1)

2. Aproximação das legislações – Setor das telecomunicações – Tratamento dos dados pessoais e proteção da vida privada no setor das comunicações eletrónicas – Diretiva 2002/58 – Faculdade de os Estados‑Membros limitarem o alcance de certos direitos e obrigações – Regulamentação nacional que impõe aos prestadores de serviços de comunicações eletrónicas a transmissão generalizada e indiferenciada dos dados de tráfego e localização aos serviços de segurança e de informação – Objetivo de proteção da segurança nacional – Inadmissibilidade

(Artigo 4.°, n.° 2, TUE; Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 11.° e 52.°, n.° 1; Diretiva 2005/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva n.° 2009/136, artigos 5.°, n.° 1, e 15.°, n.° 1)

(cf. n.^os 55‑62, 65‑82, disp. 2)

Resumo

O Tribunal de Justiça confirma que o direito da União se opõe a uma regulamentação nacional que impõe a um prestador de serviços de comunicações eletrónicas, para efeitos de luta contra as infrações em geral ou de salvaguarda da segurança nacional, a transmissão ou a conservação generalizada e indiferenciada de dados de tráfego e localização

Em contrapartida, em situações em que um Estado‑Membro se confronte com uma ameaça grave para a segurança nacional que se revele real e atual ou previsível, este pode derrogar a obrigação de assegurar a confidencialidade dos dados relativos às comunicações eletrónicas impondo, através de medidas legislativas, uma conservação generalizada e indiferenciada desses dados por um período temporalmente limitado ao estritamente necessário, mas renovável em caso de persistência da ameaça. No que respeita à luta contra a criminalidade grave e a prevenção de ameaças graves contra a segurança pública, um Estado‑Membro pode igualmente prever a conservação específica dos referidos dados e a sua conservação rápida. Essa ingerência nos direitos fundamentais deve ser acompanhada de garantias efetivas e fiscalizada por um juiz ou por uma autoridade administrativa independente. Do mesmo modo, um Estado‑Membro pode proceder a uma conservação generalizada e indiferenciada dos endereços IP atribuídos à fonte de uma comunicação quando o período de conservação se limite ao estritamente necessário ou ainda proceder a uma conservação generalizada e indiferenciada dos dados relativos à identidade civil dos utilizadores dos meios de comunicações eletrónicas, sem que, neste último caso, isso esteja limitado a um prazo específico.

Nos últimos anos, o Tribunal de Justiça pronunciou‑se, em vários acórdãos, sobre a conservação e o acesso aos dados pessoais no domínio das comunicações eletrónicas (1). A jurisprudência daí resultante, em particular o Acórdão Tele2 Sverige e Watson e o., em que considerou nomeadamente que os Estados‑Membros não podiam impor aos prestadores de serviços de comunicações eletrónicas uma obrigação de conservação generalizada e indiferenciada de dados de tráfego e de localização, suscitou preocupações nalguns Estados, que receavam ter sido privados de um instrumento que consideram necessário à salvaguarda da segurança nacional e à luta contra a criminalidade.

Foi sobre este pano de fundo que foram submetidos ao Investigatory Powers Tribunal (Tribunal responsável pelos poderes de investigação, Reino Unido) (Privacy International, C‑623/17), ao Conseil d’État (Conselho de Estado, em formação jurisdicional, França) (La Quadrature du Net e o., processo apensos C‑511/18 e C‑512/18) e à Cour constitutionnelle (Tribunal Constitucional, Bélgica) (Ordre des barreaux francophones et germanophone e o., C‑520/18) litígios relativos à legalidade das regulamentações adotadas por alguns Estados‑Membros nestes domínios, que preveem, em especial, uma obrigação de os prestadores de serviços de comunicações eletrónicas transmitirem a uma autoridade pública ou de conservarem de forma generalizada ou indiferenciada os dados dos utilizadores relativos ao tráfego e à localização.

Através de dois Acórdãos proferidos em Grande Secção, em 6 de outubro de 2020, o Tribunal de Justiça considera, antes de mais, que a diretiva privacidade e comunicações eletrónicas se aplica a regulamentações nacionais que impõem aos fornecedores de serviços de comunicações eletrónicas que procedam, para efeitos de salvaguarda da segurança nacional e de luta contra a criminalidade, a tratamentos de dados pessoais, como a sua transmissão a autoridades públicas ou a sua conservação. Além disso, ao mesmo tempo que confirma a sua jurisprudência resultante do Acórdão Tele2 Sverige e Watson e o., sobre o caráter desproporcionado de uma conservação generalizada e indiferenciada dos dados de tráfego e da localização, o Tribunal de Justiça fornece precisões, nomeadamente quanto à extensão dos poderes que essa diretiva reconhece aos Estados‑Membros em matéria de conservação desses dados para os fins acima referidos.

Antes de mais, o Tribunal de Justiça tem o cuidado de dissipar as dúvidas sobre a aplicabilidade da diretiva privacidade e comunicações eletrónicas suscitadas no âmbito dos presentes processos. Com efeito, vários Estados‑Membros que apresentaram observações escritas ao Tribunal de Justiça manifestaram uma opinião divergente a esse respeito. Alegavam, nomeadamente, que essa diretiva não era aplicável às regulamentações nacionais em causa, na medida em que estas têm por finalidade salvaguardar a segurança nacional, que é da sua exclusiva competência, como demonstra, nomeadamente, o artigo 4.°, n.° 2, terceiro período, TUE. O Tribunal de Justiça considera, no entanto, que as regulamentações nacionais que impõem aos fornecedores de serviços de comunicações eletrónicas a conservação dos dados de tráfego e de localização ou ainda a transmissão desses dados às autoridades nacionais de segurança e de informações para esse efeito são abrangidas pelo âmbito de aplicação da diretiva.

Em seguida, o Tribunal de Justiça recorda que a diretiva privacidade e comunicações eletrónicas (2) não permite que a derrogação da obrigação de princípio de garantir a confidencialidade das comunicações eletrónicas e dos respetivos dados e da proibição de armazenar esses dados se torne a regra. Isto implica que essa diretiva só autoriza os Estados‑Membros a adotarem, entre outros para fins de segurança nacional, medidas legislativas destinadas a limitar o alcance dos direitos e das obrigações previstos por esta diretiva, nomeadamente a obrigação de garantir a confidencialidade das comunicações e dos dados de tráfego (3), no respeito dos princípios gerais do direito da União, entre os quais figura o princípio da proporcionalidade, e dos direitos fundamentais garantidos pela Carta (4).

Neste contexto, o Tribunal de Justiça considera, por um lado, no processo Privacy International, que a diretiva privacidade e comunicações eletrónicas, lida à luz da Carta, se opõe a uma regulamentação nacional que impõe aos fornecedores de serviços de comunicações eletrónicas, com vista à salvaguarda da segurança nacional, a transmissão generalizada e indiferenciada aos serviços de segurança e de informação dos dados de tráfego e de localização. Por outro lado, nos processos apensos La Quadrature du Net e o. e no processo Ordre des barreaux francophones et germanophone e o., o Tribunal de Justiça considera que esta mesma diretiva se opõe a medidas legislativas que imponham aos prestadores de serviços de comunicações eletrónicas, a título preventivo, uma conservação generalizada e indiferenciada dos dados de tráfego e de localização. Com efeito, essas obrigações de transmissão e de conservação generalizada e indiferenciada de tais dados constituem ingerências particularmente graves nos direitos fundamentais garantidos pela Carta, sem que o comportamento das pessoas cujos dados estão em causa esteja relacionado com o objetivo prosseguido pela regulamentação em causa. De forma análoga, o Tribunal de Justiça interpreta o artigo 23.°, n.° 1, do Regulamento Geral sobre a Proteção de Dados (5), lido à luz da Carta, no sentido de que se opõe a uma regulamentação nacional que impõe aos prestadores de acesso a serviços de comunicação ao público em linha e aos prestadores de serviços de armazenamento a conservação generalizada e indiferenciada, nomeadamente, dos dados pessoais relativos a esses serviços.

Em contrapartida, o Tribunal de Justiça considera que, em situações em que o Estado‑Membro em causa se confronte com uma ameaça grave para a segurança nacional que se revele real e atual ou previsível, a Diretiva privacidade e comunicações eletrónicas, lida à luz da Carta, não se opõe a que seja ordenado aos fornecedores de serviços de comunicações eletrónicas que conservem de forma generalizada e indiferenciada dados de tráfego e de localização. Neste contexto, o Tribunal de Justiça precisa que a decisão que prevê essa injunção, por um período temporalmente limitado ao estritamente necessário, deve ser objeto de fiscalização efetiva, quer por um órgão jurisdicional quer por uma entidade administrativa independente, cuja decisão tenha efeito vinculativo, a fim de verificar a existência de uma dessas situações e o respeito das condições e das garantias previstas. Nestas mesmas condições, a referida diretiva também não se opõe à análise automatizada dos dados, nomeadamente os relativos ao tráfego e à localização, do conjunto dos utilizadores de meios de comunicações eletrónicas.

O Tribunal de Justiça acrescenta que a diretiva privacidade e comunicações eletrónicas, lida à luz da Carta, não se opõe a medidas legislativas que permitam o recurso a uma conservação específica, temporalmente limitada ao estritamente necessário, dos dados de tráfego e de localização, que seja delimitada, com base em elementos objetivos e não discriminatórios, em função de categorias de pessoas em causa ou através de um critério geográfico. Do mesmo modo, essa diretiva não se opõe a medidas desse tipo que prevejam uma conservação generalizada e indiferenciada dos endereços IP atribuídos à fonte de uma comunicação, desde que o período de conservação se limite ao estritamente necessário, nem às que prevejam essa conservação dos dados relativos à identidade civil dos utilizadores dos meios de comunicações eletrónicas, não estando os Estados‑Membros, neste último caso, obrigados a limitar temporalmente a conservação. Além disso, a referida diretiva não se opõe a uma medida legislativa que permita o recurso a uma conservação rápida dos dados de que dispõem os prestadores de serviços quando se verifiquem situações em que seja necessário conservar os referidos dados para além dos prazos legais de conservação dos dados para efeitos de elucidação de infrações penais graves ou de ofensas à segurança nacional, quando essas infrações ou violações já tenham sido constatadas ou quando se possa razoavelmente suspeitar da sua existência.

Além disso, o Tribunal de Justiça considera que a diretiva privacidade e comunicações eletrónicas, lida à luz da Carta, não se opõe a uma regulamentação nacional que impõe aos fornecedores de serviços de comunicações eletrónicas que recorram à recolha em tempo real, nomeadamente, de dados de tráfego e de localização, quando essa recolha se limite às pessoas relativamente às quais existe uma razão válida para suspeitar que estão envolvidas, de uma maneira ou de outra, em atividades terroristas e esteja sujeita a fiscalização prévia, efetuada por um tribunal ou por uma entidade administrativa independente, cuja decisão tenha efeito vinculativo, garantindo que essa recolha em tempo real só é autorizada no limite do estritamente necessário. Em caso de urgência, a fiscalização deve ocorrer no mais curto espaço de tempo.

Por último, o Tribunal de Justiça aborda a questão da manutenção dos efeitos no tempo de uma regulamentação nacional considerada incompatível com o direito da União. A este respeito, considera que um órgão jurisdicional nacional não pode aplicar uma disposição do seu direito nacional que o habilita a limitar no tempo os efeitos de uma declaração de ilegalidade que lhe incumbe, relativamente a uma regulamentação nacional que impõe aos fornecedores de serviços de comunicações eletrónicas uma conservação generalizada e indiferenciada dos dados de tráfego e de localização, considerada incompatível com a diretiva privacidade e comunicações eletrónicas, lida à luz da Carta.

Dito isto, para dar uma resposta útil ao órgão jurisdicional nacional, o Tribunal de Justiça lembra que a admissibilidade e a apreciação das provas obtidas através de uma conservação de dados contrária ao direito da União, no âmbito de um processo penal instaurado contra pessoas suspeitas de atos de criminalidade grave, pertence, no estado atual do direito da União, unicamente ao direito nacional. Todavia, o Tribunal de Justiça precisa que a diretiva privacidade e comunicações eletrónicas, interpretada à luz do princípio da efetividade, exige que o julgador penal nacional rejeite provas obtidas através de uma conservação generalizada e indiferenciada dos dados de tráfego e de localização incompatível com o direito da União, no âmbito desse processo penal, se as pessoas suspeitas de atos de criminalidade não puderem tomar eficazmente posição sobre essas provas.

1 Assim, no Acórdão de 8 de abril de 2014, Digital Rights Ireland e o. (C‑293/12 e C‑594/12, EU:C:2014:238) (v. CP n.° 54/14), o Tribunal de Justiça declarou inválida a Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Diretiva 2002/58/CE (JO 2006, L 105, p. 54), pelo facto de a ingerência nos direitos ao respeito pela vida privada e à proteção dos dados pessoais, reconhecidos pela Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), que comportava a obrigação geral de conservação dos dados de tráfego e localização prevista nessa diretiva não se limitar ao estritamente necessário. No Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (C‑203/15 e C‑698/15, EU:C:2016:970) (v. CP n^o 145/16), o Tribunal de Justiça interpretou seguidamente o artigo 15.°, n.° 1, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «diretiva privacidade e comunicações eletrónicas»). Este artigo habilita os Estados‑Membros – por razões de proteção, nomeadamente, da segurança nacional — a adotarem «medidas legislativas» a fim de limitarem o alcance de certos direitos e obrigações previstos na diretiva. Por último, no Acórdão de 2 de outubro de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788) (v. CP n.º 141/18), o Tribunal de Justiça interpretou esse mesmo artigo 15.°, n.° 1, num processo respeitante ao acesso das autoridades públicas aos dados relativos à identidade civil dos utilizadores dos meios de comunicações eletrónicas.

2 Artigo 15.°, n.^os 1 e 3, da Diretiva 2002/58.

3 Artigo 5.°, n.° 1, da Diretiva 2002/58.

4 Em especial, os artigos 7.°, 8.° e 11.°, bem como o artigo 52.°, n.° 1, da Carta.

5 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).