Processos apensos C‑511/18, C‑512/18 e C‑520/18

Quadrature du Net e o.

contra

Premier ministre e o.

[pedidos de decisão prejudicial apresentados pelo Conseil d’État (França) e pela Cour constitutionnelle (Bélgica)]

Acórdão do Tribunal de Justiça (Grande Secção) de 6 de outubro de 2020

«Reenvio prejudicial — Tratamento de dados pessoais no setor das comunicações eletrónicas — Prestadores de serviços de comunicações eletrónicas — Prestadores de serviços de armazenagem e prestadores de acesso à Internet — Conservação generalizada e indiferenciada dos dados de tráfego e de localização — Análise automatizada dos dados — Acesso em tempo real aos dados — Salvaguarda da segurança nacional e luta contra o terrorismo — Luta contra a criminalidade — Diretiva 2002/58/CE — Âmbito de aplicação — Artigo 1.o, n.o 3, e artigo 3.o — Confidencialidade das comunicações eletrónicas — Proteção — Artigo 5.o e artigo 15.o, n.o 1 — Diretiva 2000/31/CE — Âmbito de aplicação — Carta dos Direitos Fundamentais da União Europeia — Artigos 4.°, 6.° a 8.° e 11.° e artigo 52.o, n.o 1 — Artigo 4.o, n.o 2, TUE»

1. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados pessoais e proteção da vida privada no setor das comunicações eletrónicas — Diretiva 2002/58 — Âmbito de aplicação — Regulamentação nacional que impõe aos prestadores de serviços de comunicações eletrónicas a conservação dos dados de tráfego e de localização — Objetivos de proteção da segurança nacional e da luta contra a criminalidade — Inclusão

   (Artigo 4.o, n.o 2, TUE; Diretiva 2002/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva 2009/136, artigos 1.°, n.os 1 e 3, e 15.°, n.o 1)

   (cf. n.os 92‑96, 98‑101, 103, 104)

2. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados pessoais e proteção da vida privada no setor das comunicações eletrónicas — Diretiva 2002/58 — Faculdade de os Estados‑Membros limitarem o alcance de certos direitos e obrigações — Medidas nacionais que impõem aos prestadores de serviços de comunicações eletrónicas a conservação generalizada e indiferenciada dos dados de tráfego e de localização — Objetivo de proteção da segurança nacional — Inadmissibilidade — Medidas nacionais que permitem a conservação generalizada e indiferenciada desses dados em caso de ameaça grave e iminente à segurança nacional — Admissibilidade — Medidas nacionais que permitem a conservação seletiva e rápida desses dados por um período determinado com base em elementos objetivos e não discriminatórios — Medidas nacionais que preveem a conservação generalizada e indiferenciada dos endereços IP atribuídos à fonte de uma conexão, por um período temporalmente limitado ao estritamente necessário — Medidas nacionais que preveem a conservação generalizada e indiferenciada dos dados relativos à identidade civil dos utilizadores de meios de comunicações eletrónicas sem prazo específico — Objetivo de proteção da segurança nacional — Admissibilidade — Pressupostos

   (Artigo 4.o, n.o 2, TUE; Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 11.° e 52.°, n.o 1; Diretiva 2005/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva n.o 2009/136, artigos 5.°, n.o 1, 15.°, n.o 1)

   (cf. n.os 107, 109, 111‑119, 122‑128, 130‑165, 168, disp. 1)

3. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados pessoais e proteção da vida privada no setor das comunicações eletrónicas — Diretiva 2002/58 — Faculdade de os Estados‑Membros limitarem o alcance de certos direitos e obrigações — Regulamentação nacional que impõe aos prestadores de serviços de comunicações eletrónicas o recurso à análise automatizada e à recolha em tempo real dos dados de tráfego e de localização — Admissibilidade — Pressupostos

   (Artigo 4.o, n.o 2, TUE; Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 11.° e 52.°, n.o 1; Diretiva 2005/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva n.o 2009/136, artigos 5.°, n.o 1, e 15.°, n.o 1)

   (cf. n.os 172‑174, 175‑182, 186 ‑192, disp. 2

4. Aproximação das legislações — Comércio eletrónico — Diretiva 2000/31 — Âmbito de aplicação — Proteção da confidencialidade das comunicações e das pessoas singulares à luz do tratamento de dados pessoais no âmbito dos serviços da sociedade de informação — Exclusão — Aplicabilidade, consoante o caso, da Diretiva 2002/58 ou do Regulamento 2016/679

   [Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 11.° e 52.°, n.o 1; Regulamento n.o 2016/679 do Parlamento Europeu e do Conselho, considerando 10 e artigo 23.o, n.os 1 e 2; Diretivas do Parlamento Europeu e do Conselho 2001/31, considerandos 14 e 15 e artigos 1.°, n.os 2 e 5, 2.°, alínea a), e 2002/58, conforme alterada pela Diretiva 2009/136, artigos 5.°, n.o 1, e 15.°, n.o 1]

   (cf. n.os 197 ‑202, 204, 205, 207 ‑212, disp. 3)

5. Aproximação das legislações — Setor das telecomunicações — Tratamento dos dados pessoais e proteção da vida privada no setor das comunicações eletrónicas — Diretiva 2002/58 — Faculdade de os Estados‑Membros limitarem o alcance de certos direitos e obrigações — Medidas nacionais que impõem aos prestadores de serviços de comunicações eletrónicas a conservação generalizada e indiferenciada dos dados de tráfego e de localização — Objetivo de proteção da segurança nacional — Inadmissibilidade — Anulação pelo julgador nacional de medidas incompatíveis com as obrigações decorrentes dessa diretiva — Possibilidade de manter os efeitos dessas medidas — Pressupostos — Inaplicabilidade no caso presente — Consequências a extrair daí pelo julgador nacional

   (Carta dos Direitos Fundamentais da União Europeia, artigos 7.°, 8.°, 11.° e 52.°, n.o 1; Diretiva 2005/58 do Parlamento Europeu e do Conselho, conforme alterada pela Diretiva n.o 2009/136, artigos 5.°, n.o 1, e 15.°, n.o 1)

   (cf. n.os 216‑220, 223‑228, disp. 4)

Resumo

O Tribunal de Justiça confirma que o direito da União se opõe a uma regulamentação nacional que impõe a um prestador de serviços de comunicações eletrónicas, para efeitos de luta contra as infrações em geral ou de salvaguarda da segurança nacional, a transmissão ou a conservação generalizada e indiferenciada de dados de tráfego e de localização

Em contrapartida, em situações em que um Estado‑Membro se confronta com uma ameaça grave para a segurança nacional que se revele real e atual ou previsível, pode derrogar a obrigação de assegurar a confidencialidade dos dados relativos às comunicações eletrónicas impondo, através de medidas legislativas, uma conservação generalizada e indiferenciada desses dados por um período temporalmente limitado ao estritamente necessário, mas renovável em caso de persistência da ameaça. No que respeita à luta contra a criminalidade grave e à prevenção de ameaças graves contra a segurança pública, um Estado‑Membro pode igualmente prever a conservação específica dos referidos dados e a sua conservação rápida. Essa ingerência nos direitos fundamentais deve ser acompanhada de garantias efetivas e fiscalizada por um juiz ou por uma autoridade administrativa independente. Do mesmo modo, um Estado‑Membro pode proceder a uma conservação generalizada e indiferenciada dos endereços IP atribuídos na fonte de uma comunicação quando o período de conservação se limite ao estritamente necessário ou ainda proceder a uma conservação generalizada e indiferenciada dos dados relativos à identidade civil dos utilizadores dos meios de comunicações eletrónicas, sem que, neste último caso, isso esteja limitado a um prazo específico.

Nos últimos anos, o Tribunal de Justiça pronunciou‑se, em vários acórdãos, sobre a conservação e o acesso aos dados pessoais no domínio das comunicações eletrónicas ( 1 ). A jurisprudência daí resultante, em particular o Acórdão Tele2 Sverige e Watson e o., em que considerou nomeadamente que os Estados‑Membros não podiam impor aos prestadores de serviços de comunicações eletrónicas uma obrigação de conservação generalizada e indiferenciada dos dados de tráfego e de localização, suscitou preocupações em certos Estados, que receavam ter sido privados de um instrumento que consideram necessário à salvaguarda da segurança nacional e à luta contra a criminalidade.

É sobre este pano de fundo que o Investigatory Powers Tribunal (Tribunal responsável pelos poderes de investigação, Reino Unido) (Privacy International, C‑623/17), o Conseil d’État (Conselho de Estado, em formação jurisdicional, França) (La Quadrature du Net e o., processos apensos C‑511/18 e C‑512/18) e a Cour constitutionnelle (Tribunal Constitucional, Bélgica) (Ordre des barreaux francophones et germanophone e o., C‑520/18), conhecem de litígios relativos à legalidade das regulamentações adotadas por alguns Estados‑Membros nestes domínios, que preveem, em especial, uma obrigação de os prestadores de serviços de comunicações eletrónicas transmitirem a uma autoridade pública ou conservarem de forma generalizada ou indiferenciada os dados dos utilizadores, relativos ao tráfego e à localização.

Através de dois acórdãos proferidos em Grande Secção, em 6 de outubro de 2020, o Tribunal de Justiça considera, antes de mais, que a diretiva da vida privada e das comunicações eletrónicas se aplica a regulamentações nacionais que imponham aos prestadores de serviços de comunicações eletrónicas que procedam, para efeitos da salvaguarda da segurança nacional e da luta contra a criminalidade, a tratamentos de dados pessoais, como a sua transmissão a autoridades públicas ou a sua conservação. Além disso, não deixando de confirmar a sua jurisprudência resultante do Acórdão Tele2 Sverige e Watson e o., sobre o caráter desproporcionado de uma conservação generalizada e indiferenciada dos dados de tráfego e de localização, o Tribunal de Justiça fornece precisões, nomeadamente, quanto à extensão dos poderes que essa diretiva reconhece aos Estados‑Membros em matéria de conservação desses dados para os fins acima referidos.

Antes de mais, o Tribunal de Justiça tem o cuidado de dissipar as dúvidas sobre a aplicabilidade da diretiva da vida privada e das comunicações eletrónicas suscitadas no âmbito dos presentes processos. Com efeito, vários Estados‑Membros que apresentaram observações escritas ao Tribunal de Justiça manifestaram opinião divergente a esse respeito. Alegavam, nomeadamente, que essa diretiva não era aplicável às regulamentações nacionais em causa, na medida em que estas têm por finalidade a salvaguarda da segurança nacional, que é da sua exclusiva competência, como demonstra, nomeadamente, o artigo 4.o, n.o 2, terceiro período, TUE. O Tribunal de Justiça considera, porém, que as regulamentações nacionais que impõem aos prestadores de serviços de comunicações eletrónicas a conservação dos dados de tráfego e de localização ou ainda a transmissão desses dados às autoridades nacionais de segurança e de informação para esse efeito se integram no âmbito de aplicação da diretiva.

Em seguida, o Tribunal de Justiça recorda que a diretiva da vida privada e das comunicações eletrónicas ( 2 ) não permite que a exceção à obrigação de princípio de garantir a confidencialidade das comunicações eletrónicas e dos respetivos dados e à proibição de armazenar esses dados se torne a regra. Isto implica que essa diretiva só autoriza os Estados‑Membros a adotarem, entre outros, para fins de segurança nacional, medidas legislativas destinadas a limitar o alcance dos direitos e das obrigações previstos nessa diretiva, nomeadamente a obrigação de garantir a confidencialidade das comunicações e dos dados de tráfego ( 3 ), no respeito dos princípios gerais do direito da União, entre os quais figura o princípio da proporcionalidade, e dos direitos fundamentais garantidos pela Carta ( 4 ).

Neste contexto, o Tribunal de Justiça considera, por um lado, no processo Privacy International, que a diretiva da vida privada e das comunicações eletrónicas, lida à luz da Carta, se opõe a uma regulamentação nacional que impõe aos prestadores de serviços de comunicações eletrónicas, com vista à salvaguarda da segurança nacional, a transmissão generalizada e indiferenciada aos serviços de segurança e de informação dos dados de tráfego e de localização. Por outro lado, nos processos apensos La Quadrature du Net e o., bem como no processo Ordre des barreaux francophones et germanophone e o., o Tribunal de Justiça considera que essa mesma diretiva se opõe a medidas legislativas que imponham aos prestadores de serviços de comunicações eletrónicas, a título preventivo, uma conservação generalizada e indiferenciada dos dados de tráfego e de localização. Com efeito, essas obrigações de transmissão e de conservação generalizada e indiferenciada de tais dados constituem ingerências particularmente graves nos direitos fundamentais garantidos pela Carta, sem que o comportamento das pessoas cujos dados estão em causa esteja relacionado com o objetivo prosseguido pela regulamentação em causa. De forma análoga, o Tribunal de Justiça interpreta o artigo 23.o, n.o 1, do Regulamento Geral sobre a Proteção de Dados ( 5 ), lido à luz da Carta, no sentido de que se opõe a uma regulamentação nacional que impõe aos prestadores de acesso a serviços de comunicação ao público em linha e aos prestadores de serviços de armazenagem a conservação generalizada e indiferenciada, nomeadamente, dos dados pessoais relativos a esses serviços.

Em contrapartida, o Tribunal de Justiça considera que, em situações em que o Estado‑Membro em causa se confronte com uma ameaça grave para a segurança nacional que se revele real e atual ou previsível, a diretiva da vida privada e das comunicações eletrónicas, lida à luz da Carta, não se opõe a que seja ordenado aos prestadores de serviços de comunicações eletrónicas que conservem dados de tráfego e de localização de forma generalizada e indiferenciada. Neste contexto, o Tribunal de Justiça precisa que a decisão que preveja essa ordem, por um período temporalmente limitado ao estritamente necessário, deve ser objeto de fiscalização efetiva, quer por um órgão jurisdicional quer por uma entidade administrativa independente, cuja decisão tenha efeito vinculativo, a fim de verificar a existência de uma dessas situações, bem como o respeito das condições e das garantias previstas. Nestas mesmas condições, a referida diretiva também não se opõe à análise automatizada dos dados, nomeadamente os relativos ao tráfego e à localização, do conjunto dos utilizadores de meios de comunicações eletrónicas.

O Tribunal de Justiça acrescenta que a diretiva da vida privada e das comunicações eletrónicas, lida à luz da Carta, não se opõe a medidas legislativas que permitam o recurso a uma conservação específica, temporalmente limitada ao estritamente necessário, dos dados de tráfego e de localização, que seja delimitada, com base em elementos objetivos e não discriminatórios, em função de categorias de pessoas a quem diga respeito ou através de um critério geográfico. Do mesmo modo, essa diretiva não se opõe a medidas desse tipo que prevejam uma conservação generalizada e indiferenciada dos endereços IP atribuídos na fonte de uma comunicação, desde que o período de conservação se limite ao estritamente necessário, nem às que prevejam essa conservação dos dados relativos à identidade civil dos utilizadores dos meios de comunicações eletrónicas, não estando os Estados‑Membros, neste último caso, obrigados a limitar temporalmente a conservação. Além disso, a referida diretiva não se opõe a uma medida legislativa que permita o recurso a uma conservação rápida dos dados de que dispõem os prestadores de serviços quando se verifiquem situações em que é necessário conservar os referidos dados para além dos prazos legais de conservação dos dados para efeitos de elucidação de infrações penais graves ou de ofensas à segurança nacional, quando essas infrações ou ofensas já tenham sido detetadas ou se possa razoavelmente suspeitar da sua existência.

Além disso, o Tribunal de Justiça considera que a diretiva da vida privada e das comunicações eletrónicas, lida à luz da Carta, não se opõe a uma regulamentação nacional que imponha aos prestadores de serviços de comunicações eletrónicas que recorram à recolha em tempo real, nomeadamente, de dados de tráfego e de localização, quando essa recolha se limite às pessoas relativamente às quais existe uma razão válida para suspeitar que estão envolvidas, de uma forma ou outra, em atividades terroristas e esteja sujeita a fiscalização prévia, efetuada por um órgão jurisdicional ou por uma entidade administrativa independente, cuja decisão tenha efeito vinculativo, garantindo que essa recolha em tempo real só é autorizada no limite do estritamente necessário. Em caso de urgência, a fiscalização deve ser efetuada rapidamente.

Por último, o Tribunal de Justiça aborda a questão da manutenção dos efeitos no tempo de uma regulamentação nacional considerada incompatível com o direito da União. A este respeito, considera que um órgão jurisdicional nacional não pode aplicar uma disposição do seu direito nacional que o habilita a limitar no tempo os efeitos de uma declaração de ilegalidade que lhe incumbe, relativamente a uma regulamentação nacional que impõe aos prestadores de serviços de comunicações eletrónicas uma conservação generalizada e indiferenciada dos dados de tráfego e de localização, considerada incompatível com a diretiva da vida privada e das comunicações eletrónicas, lida à luz da Carta.

Dito isto, para dar uma resposta útil ao órgão jurisdicional nacional, o Tribunal de Justiça lembra que, no estado atual do direito da União, a admissibilidade e a apreciação de provas obtidas através de uma conservação de dados contrária ao direito da União, no âmbito de um processo penal instaurado contra pessoas suspeitas de atos de criminalidade grave, pertence unicamente ao direito nacional. Contudo, o Tribunal de Justiça precisa que a diretiva da vida privada e das comunicações eletrónicas, interpretada à luz do princípio da efetividade, exige que o julgador penal nacional rejeite provas obtidas através de uma conservação generalizada e indiferenciada dos dados de tráfego e de localização incompatível com o direito da União, no âmbito desse processo penal, se as pessoas suspeitas de crime não puderem tomar eficazmente posição sobre essas provas.

( 1 ) Assim, no Acórdão de 8 de abril de 2014, Digital Rights Ireland e o. (C‑293/12 e C‑594/12, EU:C:2014:238), o Tribunal de Justiça declarou inválida a Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações, e que altera a Diretiva 2002/58/CE (JO 2006, L 105, p. 54), pelo facto de a ingerência nos direitos ao respeito pela vida privada e à proteção dos dados pessoais, reconhecidos pela Carta dos Direitos Fundamentais da União Europeia (a seguir «Carta»), que incluía a obrigação geral de conservação dos dados de tráfego e de localização privada prevista nessa diretiva não se limitar ao estritamente necessário. No Acórdão de 21 de dezembro de 2016, Tele2 Sverige e Watson e o. (C‑203/15 e C‑698/15, EU:C:2016:970) (v. CP n.o 145/16), o Tribunal de Justiça interpretou seguidamente o artigo 15.o, n.o 1, da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no setor das comunicações eletrónicas (Diretiva relativa à privacidade e às comunicações eletrónicas) (JO 2002, L 201, p. 37), conforme alterada pela Diretiva 2009/136/CE do Parlamento Europeu e do Conselho, de 25 de novembro de 2009 (JO 2009, L 337, p. 11) (a seguir «diretiva da vida privada e comunicações eletrónicas). Este artigo habilita os Estados‑Membros — por razões de proteção, entre outras, da segurança nacional — a adotarem «medidas legislativas» a fim de limitar o alcance de certos direitos e obrigações previstos na diretiva. Por último no Acórdão de 2 de outubro de 2018, Ministerio Fiscal (C‑207/16, EU:C:2018:788) (v. CP n.o 141/18), o Tribunal de Justiça interpretou esse mesmo artigo 15.o, n.o 1, num processo relativo ao acesso das autoridades públicas aos dados relativos à identidade civil dos utilizadores dos meios de comunicações eletrónicas.

( 2 ) Artigo 15.o, n.os 1 e 3, da Diretiva 2002/58.

( 3 ) Artigo 5.o, n.o 1, da Diretiva 2002/58.

( 4 ) Em especial, os artigos 7.°, 8.° e 11.°, bem como o artigo 52.o, n.o 1, da Carta.

( 5 ) Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento Geral sobre a Proteção de Dados) (JO 2016, L 119, p. 1).