Processo C‑746/18

H. K.

contra

Prokuratuur

(pedido de decisão prejudicial apresentado pelo Riigikohus)

Acórdão do Tribunal de Justiça (Grande Secção) de 2 de março de 2021

«Reenvio prejudicial — Tratamento dos dados pessoais no setor das comunicações eletrónicas — Diretiva 2002/58/CE — Fornecedores de serviços de comunicações eletrónicas — Confidencialidade das comunicações — Limitações — Artigo 15.o, n.o 1 — Artigos 7.°, 8.° e 11.°, bem como artigo 52.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia — Legislação que prevê a conservação generalizada e indiferenciada dos dados relativos ao tráfego e dos dados de localização pelos fornecedores dos serviços de comunicações eletrónicas — Acesso das autoridades nacionais aos dados conservados para efeitos de inquéritos — Luta contra a criminalidade em geral — Autorização dada pelo Ministério Público — Utilização dos dados no âmbito do processo penal enquanto elementos de prova — Admissibilidade»

1. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados de caráter pessoal e proteção da vida privada no setor das comunicações eletrónicas — Diretiva 2002/58 — Faculdade dos Estados‑Membros de limitar o âmbito de certos direitos e obrigações — Medidas nacionais que impõem aos fornecedores de serviços de comunicações eletrónicas a conservação generalizada e indiferenciada dos dados de tráfego e à localização — Acesso das autoridades nacionais aos dados conservados para efeitos de inquéritos penais — Objetivo de luta contra a criminalidade em geral — Inadmissibilidade — Duração do período de acesso aos dados e quantidade ou natureza dos dados disponíveis em relação a esse período — Falta de incidência

   (Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 11.° e 52.°, n.o 1; Diretiva 2005/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva n.o 2009/136, artigos 5.°, n.o 1, e 15.°, n.o 1)

   (cf. n.os 29‑35, 40, 45, disp. 1)

2. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados de caráter pessoal e proteção da vida privada no setor das comunicações eletrónicas — Diretiva 2002/58 — Faculdade dos Estados‑Membros de limitar o âmbito de certos direitos e obrigações — Medidas nacionais que impõem aos fornecedores de serviços de comunicações eletrónicas a conservação generalizada e indiferenciada dos dados de tráfego e à localização — Acesso das autoridades nacionais aos dados conservados para efeitos de inquéritos penais — Acesso subordinado a uma fiscalização prévia efetuada por uma entidade administrativa independente — Autorização de acesso dada pelo Ministério Público — Inadmissibilidade

   (Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 11.° e 52.°, n.o 1; Diretiva 2005/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva n.o 2009/136, artigos 5.°, n.o 1, e 15.°, n.o 1)

   (cf. n.os 48‑59, disp. 2)

Resumo

O acesso, para fins penais, a um conjunto de dados de comunicações eletrónicas relativos ao tráfego ou à localização, que permitam tirar conclusões precisas sobre a vida privada, só é autorizado com vista a lutar contra a criminalidade grave ou a prevenir ameaças graves à segurança pública

O direito da União opõe‑se, por outro lado, a uma regulamentação nacional que atribui competência ao Ministério Público para autorizar o acesso de uma autoridade pública a esses dados a fim de conduzir uma instrução penal

Foi instaurado na Estónia um processo penal contra H. K. por furto, utilização do cartão bancário de um terceiro e violência contra pessoas que participam num processo judicial. H. K. foi condenada por estas infrações por um tribunal de primeira instância numa pena privativa de liberdade de dois anos. Esta decisão foi a seguir confirmada em recurso.

Os relatórios em que assenta a declaração de que essas infrações foram provadas, designadamente, com base em dados pessoais gerados no âmbito do fornecimento de serviços de comunicação eletrónicos. O Riigikohus (Supremo Tribunal, Estónia), para o qual H. K. interpôs recurso de cassação, manifestou dúvidas quanto à compatibilidade com o direito da União ( 1 ) das condições em que os serviços de inquérito tiveram acesso a esses dados.

Essas dúvidas dizem respeito, em primeiro lugar, à questão de saber se a duração do período em relação ao qual os serviços de inquérito tiveram acesso aos dados constitui um critério que permite apreciar a gravidade da ingerência que constitui esse acesso nos direitos fundamentais das pessoas em causa. Assim, quando o referido período é muito curto ou a quantidade dos dados recolhidos é muito limitada, o órgão jurisdicional de reenvio interrogou‑se se o objetivo de luta contra a criminalidade em geral, e não apenas de luta contra a criminalidade grave, é suscetível de justificar tal ingerência. Em segundo lugar, o órgão jurisdicional de reenvio teve dúvidas quanto à possibilidade de considerar o Ministério Público estónio, tendo em conta as diferentes missões que lhe são confiadas pela regulamentação nacional, uma autoridade administrativa «independente» na aceção do Acórdão Tele2 Sverige e Watson e o. ( 2 ), suscetível de autorizar o acesso da autoridade encarregada do inquérito aos dados em questão.

Com o seu acórdão, pronunciado em grande secção, o Tribunal declara que a diretiva «vida privada e comunicações eletrónicas», lida à luz da Carta, se opõe a uma regulamentação nacional que permite o acesso das autoridades públicas a dados relativos ao tráfego ou a dados de localização, suscetíveis de fornecer informações sobre as comunicações efetuadas por um utilizador de um meio de comunicação eletrónica ou sobre a localização dos equipamentos terminais por ele utilizados e de permitir tirar conclusões precisas sobre a sua vida privada, para fins de prevenção, de investigação, de deteção e de perseguição de infrações penais, sem que esse acesso esteja circunscrito a processos que visem a luta contra a criminalidade grave ou a prevenção de ameaças graves à segurança pública. Segundo o Tribunal, a duração do período em relação ao qual o acesso aos referidos dados é solicitado e a quantidade ou a natureza dos dados disponíveis em relação a esse período não tem incidência a este respeito. Além disso, o Tribunal considera que esta mesma diretiva, lida à luz da Carta, se opõe a uma regulamentação nacional que atribui competência ao Ministério Público para autorizar o acesso de uma autoridade pública aos dados relativos ao tráfego e aos dados de localização a fim de conduzir uma instrução penal.

Apreciação do Tribunal de Justiça

Quanto às condições em que o acesso aos dados relativos ao tráfego e aos dados de localização conservados pelos fornecedores de serviços de comunicações eletrónicas pode, para fins de prevenção, de investigação, de deteção e perseguição de infrações penais, ser concedido a autoridades públicas, em aplicação de uma medida tomada ao abrigo da diretiva «vida privada e comunicações eletrónicas» ( 3 ), o Tribunal recorda o que decidiu no seu Acórdão La Quadrature du Net e o. ( 4 ). Assim, esta diretiva autoriza os Estados‑Membros a adotar, designadamente para esse fim, medidas legislativas que visem limitar o alcance dos direitos e das obrigações previstos por esta diretiva, designadamente a obrigação de garantir a confidencialidade das comunicações e dos dados relativos ao tráfego ( 5 ), apenas com respeito pelos princípios gerais do direito da União, entre os quais figura o princípio da proporcionalidade, e dos direitos fundamentais garantidos pela Carta ( 6 ). Neste âmbito, a diretiva opõe‑se a medidas legislativas que imponham aos fornecedores de serviços de comunicações eletrónicas, a título preventivo, uma conservação generalizada e indiferenciada dos dados relativos ao tráfego e dos dados de localização.

No que diz respeito ao objetivo de prevenção, de investigação, de deteção e de perseguição de infrações penais, prosseguido pela regulamentação em causa, em conformidade com o princípio da proporcionalidade, o Tribunal considera que só os objetivos de luta contra a criminalidade grave ou de prevenção de ameaças graves para a segurança pública podem justificar o acesso das autoridades públicas a um conjunto de dados de tráfego ou de dados de localização, suscetíveis de permitir tirar conclusões precisas sobre a vida privada das pessoas em questão sem que outros fatores relativos à proporcionalidade de um pedido de acesso, como duração do período em relação ao qual o acesso a esses dados é solicitado, possam ter por efeito que o objetivo de prevenção, de investigação, de deteção e de perseguição de infrações penais em geral seja suscetível de justificar esse acesso.

Quanto à competência atribuída ao Ministério Público para autorizar o acesso de uma autoridade pública aos dados relativos ao tráfego e aos dados de localização a fim de dirigir uma instrução penal, o Tribunal recorda que cabe ao direito nacional determinar as condições em que os prestadores de serviços de comunicações eletrónicas devem conceder às autoridades nacionais competentes o acesso aos dados de que dispõem. Para cumprir a exigência de proporcionalidade, tal regulamentação deve prever regras claras e precisas que regulem o alcance e a aplicação da medida em causa e que imponham exigências mínimas, de modo que as pessoas cujos dados pessoais foram conservados disponham de garantias suficientes que permitam proteger eficazmente esses dados contra os riscos de abuso. Essa regulamentação deve ser legalmente vinculativa em direito interno e indicar em que circunstâncias e sob que condições uma medida que preveja o tratamento desses dados pode ser tomada, garantindo, assim, que a ingerência seja limitada ao estritamente necessário.

Segundo o Tribunal, a fim de garantir, na prática, o pleno respeito destes requisitos, é essencial que o acesso das autoridades nacionais competentes aos dados conservados esteja, em princípio, sujeito a uma fiscalização prévia, efetuada por um órgão jurisdicional ou por uma entidade administrativa independente e que a decisão desse órgão jurisdicional ou dessa entidade seja tomada na sequência de um pedido fundamentado dessas autoridades apresentado, nomeadamente, no âmbito de processos de prevenção, de deteção ou de perseguição penal. Em caso de urgência devidamente justificada, a fiscalização deve ser efetuada dentro de prazos curtos.

A este respeito, o Tribunal precisa que a fiscalização prévia exige, designadamente, que o órgão jurisdicional ou a entidade encarregada de efetuar essa fiscalização disponha de todas as atribuições e apresente todas as garantias necessárias com vista a assegurar uma conciliação dos diferentes interesses e direitos em causa. No que respeita mais especificamente a um inquérito penal, tal fiscalização exige que esse órgão jurisdicional ou essa entidade possa assegurar um justo equilíbrio entre, por um lado, os interesses ligados às necessidades do inquérito no âmbito da luta contra a criminalidade e, por outro, os direitos fundamentais ao respeito da vida privada e à proteção dos dados pessoais das pessoas às quais o acesso diz respeito. Quando essa fiscalização não é efetuada por um órgão jurisdicional mas por uma entidade administrativa independente, esta deve gozar de um estatuto que lhe permita agir, quando exerce as suas missões, de maneira objetiva e imparcial e, para esse efeito, deve estar ao abrigo de qualquer influência externa.

Segundo o Tribunal, resulta daí que a exigência de independência que a autoridade encarregada de exercer a fiscalização prévia deve cumprir impõe que essa autoridade tenha a qualidade de terceiro em relação à autoridade que pede o acesso aos dados, de modo a que a primeira esteja em condições de exercer essa fiscalização de modo objetivo e imparcial ao abrigo de qualquer influência externa. Em especial, no domínio penal, a exigência de independência implica que a autoridade encarregada dessa fiscalização prévia, por um lado, não esteja implicada na condução do inquérito penal em causa e, por outro, tenha uma posição de neutralidade relativamente às partes no processo penal. Ora, não é esse o caso de um Ministério Público que dirige o inquérito e exerce, sendo caso disso, a ação pública. Daqui resulta que o Ministério Público não está em condições de efetuar a fiscalização prévia referida.

( 1 ) Mais precisamente, com o artigo 15.o, n.o 1, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «diretiva “vida privada e comunicações eletrónicas”»), lido à luz dos artigos 7.°, 8.° e 11.° bem como do artigo 52.o, n.o 1, da Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»).

( 2 ) Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (C‑203/15 e C‑698/15, EU:C:2016:970, n.o 120).

( 3 ) Artigo 15.o, n.o 1, da Diretiva 2002/58.

( 4 ) Acórdão de 6 de outubro de 2020, La Quadrature du Net e o. (C‑511/18, C‑512/18 e C‑520/18, EU:C:2020:791, n.os 166 a 169).

( 5 ) Artigo 5.o, n.o 1, da Diretiva 2002/58.

( 6 ) Em especial, os artigos 7.°, 8.° e 11.°, bem como o artigo 52.o, n.o 1, da Carta.