Legal Alert | Acórdão do TJUE restringe a utilização de dados pessoais para fins de investigação penal

O Supremo Tribunal Administrativo da Lituânia, deparando-se com uma questão de utilização de dados pessoais relativos a comunicações eletrónicas – nomeadamente dados de tráfego e dados de localização – veio questionar o Tribunal de Justiça da União Europeia (TJUE), a título de reenvio prejudicial, sobre a licitude da utilização destes dados à luz da Diretiva “Privacidade e comunicações eletrónicas”1, no âmbito do processo C‑162/22, cujo Acórdão foi proferido a 7 de setembro de 2023. O caso, que levou à exoneração de um procurador do Ministério Público lituano, teve origem na utilização, por este procurador, de dados pessoais relativos a comunicações eletrónicas, recolhidos no contexto de uma investigação sobre criminalidade grave, para efeitos da investigação num outro processo, relativo a corrupção no setor público. Questionou-se, portanto, a licitude da utilização desses dados em processo criminal distinto, e de menor gravidade, daquele no seio do qual foram originalmente recolhidos.

O tratamento destes dados foi realizado ao abrigo do artigo 15.º, n.º 1, da Diretiva “Privacidade e Comunicações Eletrónicas”, o qual admite a restrição de certos direitos dos titulares de dados pessoais «[…] sempre que essas restrições constituam uma medida necessária, adequada e proporcionada numa sociedade democrática para salvaguardar a segurança nacional (ou seja, a segurança do Estado), a defesa, a segurança pública, e a prevenção, a investigação, a detecção e a repressão de infracções penais ou a utilização não autorizada do sistema de comunicações electrónicas, tal como referido no n.º 1 do artigo 13.º da Directiva 95/46/CE […]»2. O artigo menciona ainda que tais restrições devem respeitar os princípios gerais do direito comunitário. Como tal, o tribunal lituano questionou o TJUE sobre a conformidade do tratamento de dados em questão para fins de investigação penal com os artigos 7.º, 8.º, 11.º, e 52.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia.

O TJUE concluiu que esta restrição de direitos dos titulares de dados pessoais não é conforme ao artigo 15.º, n.º 1, da Diretiva “Privacidade e comunicações eletrónicas”, interpretada à luz da Carta dos Direitos Fundamentais da União Europeia, e, portanto, que a referida diretiva se «[…] opõe a que os dados pessoais relativos a comunicações eletrónicas que foram conservados pelos prestadores de serviços de comunicações eletrónicas e que, em seguida, foram disponibilizados às autoridades competentes para efeitos de luta contra a criminalidade grave possam ser utilizados no âmbito de investigações relativas à corrupção no setor público […]», conforme se pode ler no comunicado de imprensa (n.º 135/23) que o TJUE emitiu sobre este acórdão.

Assim, o TJUE reafirma a excecionalidade da restrição destes direitos fundamentais, concluindo que o «[…] artigo 15.º, n.º 1, da Diretiva 2002/58 não pode, portanto, justificar que a derrogação da obrigação de princípio de garantir a confidencialidade das comunicações eletrónicas e dos respetivos dados e, em especial, da proibição de armazenar esses dados […] se converta em regra, sob pena de esvaziar em grande medida esta última disposição do seu alcance […]».

O TJUE realçou ainda o caráter taxativo e hierárquico dos objetivos previstos no artigo 15.º, n.º 1, sendo a segurança nacional o objetivo hierarquicamente superior, realçando ainda que o TJUE já determinou que, «em conformidade com o princípio da proporcionalidade, só a luta contra a criminalidade grave e a prevenção das ameaças graves contra a segurança pública são suscetíveis de justificar ingerências graves nos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta, tais como as que implicam a conservação de dados de tráfego e de dados de localização […]»3, em linha com o Acórdão do TJUE de 5 de abril de 2022, relativo ao processo C‑140/20.

A opinião do advogado-geral do TJUE Campos Sánchez-Bordona sobre este processo, emitida a 30 de março de 2023, analisou ainda a questão face à Diretiva relativa aos dados pessoais para prevenção, deteção, investigação ou repressão de infrações penais4. Segundo o Advogado-Geral, esta Diretiva, em conjunto com o Regulamento Geral sobre a Proteção de Dados5, estabelece o regime do tratamento de dados para fins de investigação penal. Também o artigo 4.º desta Diretiva, à semelhança do artigo 15.º, n.º 1, da Diretiva “Privacidade e comunicações eletrónicas”, remete a análise da licitude do tratamento de dados para os princípios da necessidade e da proporcionalidade. Neste sentido, o Advogado-Geral esclarece que, para a avaliação da necessidade do tratamento deve atender-se ao valor probatório dos dados em questão; e que, para a avaliação da proporcionalidade do tratamento, terá de atender-se à gravidade da infração em causa.

Este acórdão surge ainda no seguimento do Acórdão do TJUE de 20 de setembro de 2022, relativo aos Processos apensos C-793/19 e C-794/19, que determinou que o artigo 15.º, n.º 1, da Diretiva “Privacidade e comunicações eletrónicas” deve ser interpretado no sentido de que «[…] se opõe a medidas legislativas nacionais que preveem, a título preventivo, para efeitos da luta contra a criminalidade grave e da prevenção de ameaças graves contra a segurança pública, uma conservação generalizada e indiferenciada dos dados de tráfego e dos dados de localização […]». Como tal, vem densificar a interpretação relativa à restrição dos direitos relativos a dados pessoais, determinando a redução dos casos em que esta restrição é admitida, desde logo em cumprimento da Carta dos Direitos Fundamentais da União Europeia, bem como do regime de proteção de dados na União Europeia, nomeadamente no que diz respeito à investigação penal.

Em suma, esta decisão do TJUE vem consolidar a proteção dos direitos fundamentais decorrentes do regime comunitário da proteção de dados, nomeadamente no que diz respeito à restrição daquelas que são as ingerências lícitas das autoridades de investigação nestes direitos, no âmbito da prossecução da ação penal. Esclarece, assim, que a utilização de dados, à luz do artigo 15.º, n.º 1, da Diretiva “Privacidade e comunicações eletrónicas”, deve obedecer aos critérios legalmente estabelecidos (em observância, também, do artigo 52.º, n.º 1, da Carta dos Direitos Fundamentais da União Europeia, que estabelece que qualquer restrição a direitos fundamentais previstos nesta Carta deve ser legalmente prevista), densificando estes princípios, em linha com jurisprudência prévia deste tribunal.

______________________
1 Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas.
2 Realces nossos.
3 Realce nosso.
4 Diretiva (UE) 2016/680 do Parlamento Europeu e do Conselho de 27 de abril de 2016, relativa à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução de sanções penais, e à livre circulação desses dados, e que revoga a Decisão-Quadro 2008/977/JAI do Conselho.
5 Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE.