CONVITE À APRESENTAÇÃO DE CONTRIBUTOS

PARA UMA AVALIAÇÃO DE IMPACTO

Título da iniciativa

Avaliação de impacto sobre a conservação de dados pelos prestadores de serviços no âmbito de processos penais

DG responsável (unidade responsável)

HOME.D4

Tipo provável de iniciativa

Calendário indicativo

Primeiro trimestre de 2026

Informações adicionais

Cibercriminalidade - Comissão Europeia; Grupo de Alto Nível (GAN) sobre o acesso aos dados para uma aplicação eficaz da lei - Comissão Europeia

   A. Contexto político, definição do problema e verificação da subsidiariedade

Contexto político

Para combater e reprimir eficazmente a criminalidade, as autoridades policiais e judiciárias podem ter de aceder a determinados dados não relacionados com conteúdos tratados pelos prestadores de serviços de comunicações eletrónicas. Na ausência de obrigações específicas que exijam que esses prestadores conservem os dados durante um período razoável e limitado, os dados podem já ter sido apagados no momento em as autoridades os solicitarem no âmbito de processos penais. Atualmente, não existe um quadro jurídico a nível da UE neste domínio. Embora a maioria dos Estados-Membros da UE disponha de legislação nacional, que diverge em toda a UE, outros Estados-Membros não têm de regras em vigor. A falta de regras harmonizadas em matéria de conservação para as principais categorias de dados foi identificada pela polícia, pelos serviços do Ministério Público e pelas autoridades judiciais como um desafio substancial para os processos penais nacionais relativos a crimes que ocorrem tanto em linha como fora, e que dificulta a cooperação transfronteiras em toda a UE. O tema foi de importância fulcral no Grupo de Alto Nível sobre o acesso aos dados, tendo os peritos recomendado a adoção de um quadro da UE relativo à conservação de dados para efeitos de aplicação da lei, abrangendo também as garantias de acesso. A presidente da Comissão, Ursula von der Leyen (1) (2) e os Estados-Membros da UE, nas Conclusões do Conselho sobre o acesso aos dados para uma aplicação eficaz da lei e sobre reforçar os esforços conjuntos em matéria de luta contra o terrorismo, sublinharam recentemente a necessidade de medidas para assegurar o acesso lícito e efetivo aos dados para fins de aplicação da lei. Na Comunicação «ProtectEU: uma Estratégia Europeia de Segurança Interna», a Comissão comprometeu-se a apresentar, em 2025, um roteiro que defina o caminho a seguir em matéria de acesso lícito e efetivo aos dados para efeitos de aplicação da lei e a dar prioridade a uma avaliação do impacto das regras de conservação de dados a nível da UE.

Problema que a iniciativa pretende resolver

Numa sociedade digital, as provas eletrónicas são fundamentais na maioria das investigações e ações penais. Os dados não relacionados com conteúdos (tais como informações sobre os assinantes, a fonte e o destino de uma mensagem, a localização do dispositivo, a data, a hora, a duração, a dimensão ou outro tipo de interação que não inclua o conteúdo das comunicações) podem ser decisivos para identificar ou localizar suspeitos e/ou arguidos, vítimas e, de um modo geral, para esclarecer a prática de um crime. Os prestadores de serviços de comunicações eletrónicas armazenam dados não relacionados com conteúdos das comunicações que passam pelos seus sistemas. Uma vez que estes dados não relacionados com conteúdos podem ser de natureza pessoal e fornecer informações sobre a vida privada das pessoas a que dizem respeito, em conformidade com os direitos fundamentais (em especial os artigos 7.º, 8.º e 11.º da Carta) e com a legislação da UE em matéria de privacidade e proteção de dados, os prestadores de serviços têm de os suprimir quando deixem de ser necessários para fins comerciais legítimos. O armazenamento de dados por períodos mais longos só é possível se existirem obrigações jurídicas específicas que o exijam. Na sequência da decisão do Tribunal de Justiça da União Europeia de declarar inválida a Diretiva Conservação de Dados da UE devido a uma grave ingerência nos direitos fundamentais e à falta de garantias específicas em matéria de acesso, desde 2014 o direito da UE não prevê a obrigação de os prestadores de serviços conservarem os dados para efeitos de aplicação da lei. Embora estas obrigações existam em muitos Estados-Membros da UE, há divergências substanciais entre as suas legislações quanto aos requisitos que regem a conservação. Consequentemente, a polícia e os procuradores enfrentam obstáculos na realização do seu trabalho porque, muitas vezes, quando realizam a investigação os dados necessários não estão ou deixaram de estar disponíveis. No cenário atual, alguns crimes — em especial os que ocorrem exclusivamente em linha — não podem ser investigados e processados de forma eficiente.

Os prestadores de serviços de comunicações eletrónicas também enfrentam custos mais elevados e obstáculos na oferta dos seus serviços em toda a UE, pelo facto de terem de cumprir diferentes requisitos legais nos vários Estados-Membros e em consequência das frequentes alterações das legislações nacionais em resultado de decisões judiciais e a nível nacional e/ou da UE 1 . Além disso, a maior parte das legislações nacionais em matéria de conservação de dados aplica-se apenas às plataformas de telecomunicações tradicionais e não abrange os fornecedores de comunicações que oferecem os seus serviços através da Internet, que são atualmente os serviços de comunicação mais utilizados. As legislações nacionais divergentes também afetam os cidadãos, uma vez que, no momento da realização das investigações criminais, os dados não relacionados com conteúdos necessários já foram apagados, o que poderá impedir as autoridades de proteger adequadamente os cidadãos e de lhes garantir a aplicação da justiça. É provável que estas divergências entre as legislações nacionais continuem a aumentar com o advento das novas tecnologias e serviços de comunicação digital que serão desenvolvidos no futuro.

A situação atual deve-se à falta de requisitos e salvaguardas harmonizados para os prestadores de serviços de comunicações eletrónicas, baseadas em números ou não, conservarem os dados para além do tempo necessário às suas necessidades comerciais específicas, de modo a que os dados possam estar disponíveis mais tempo para efeitos de aplicação da lei.

Base para a ação da UE (base jurídica e verificação da subsidiariedade)

Base jurídica

A base jurídica deverá ainda ser decidida e depende do resultado da avaliação de impacto.

Necessidade prática de uma ação da UE

Os desafios identificados não podem ser resolvidos de forma satisfatória pelos Estados-Membros individualmente. Na ausência de uma ação a nível da UE, os Estados-Membros deverão continuar a atualizar a sua legislação nacional para aplicar os requisitos da jurisprudência do Tribunal de Justiça da UE, do Tribunal Europeu dos Direitos Humanos e dos tribunais nacionais, bem como para dar resposta às tecnologias novas e emergentes, o que implica o risco de as regras continuarem a divergir. Esta situação terá efeitos negativos tanto para os cidadãos da UE, como para as investigações criminais, os prestadores de serviços de comunicações eletrónicas e outras partes interessadas. Ao mesmo tempo, é necessário assegurar que a ingerência das obrigações de conservação de dados e de acesso nos direitos fundamentais dos utilizadores seja proporcionada, tal como estabelecido pela jurisprudência do Tribunal de Justiça da União Europeia. A legislação em matéria de conservação de dados abrange uma série de domínios de intervenção, incluindo a segurança, a justiça, os direitos fundamentais e a economia e afeta diferentes partes interessadas (por exemplo, autoridades, empresas, cidadãos). Tendo em conta o impacto no mercado interno da UE e no espaço de liberdade, segurança e justiça da UE, a ação a nível da UE para resolver os problemas identificados poderá ser considerada a via mais adequada a seguir. O principal objetivo da ação da UE poderia ser assegurar uma aplicação harmonizada das obrigações de conservação de dados pelos prestadores de serviços, incluindo salvaguardas em matéria de acesso por parte das autoridades policiais e judiciais, a fim de garantir a segurança jurídica para as partes interessadas e condições de concorrência equitativas para os prestadores de serviços que operam na UE.

B. Objetivos e opções estratégicas

O objetivo geral da iniciativa é assegurar a disponibilidade de determinadas categorias de dados não relacionados com conteúdos para permitir a realização de investigações e ações penais bem-sucedidas, respeitando e salvaguardando simultaneamente as normas da UE em matéria de proteção dos direitos fundamentais e preservando a cibersegurança e a integridade do mercado da UE.

Para o efeito, a Comissão vai ponderar e avaliar diferentes opções. Nestas incluem-se:

- medidas não vinculativas para reforçar a cooperação entre as autoridades públicas e os prestadores de serviços de comunicações eletrónicas, baseadas em números ou não, tais como normas comuns a nível da UE para a categorização de dados, formulários para o pedido e o envio de dados, orientações sobre os prazos mínimos de conservação dos endereços IP e carimbos temporais dos assinantes, cooperação voluntária;

- medidas legislativas que estabelecem requisitos obrigatórios para todos os prestadores de serviços abrangidos pelo Código Europeu das Comunicações Eletrónicas 2 relativos à conservação e acesso aos dados não relacionados com conteúdos, em conformidade com a jurisprudência atual do Tribunal de Justiça da União Europeia. Poderão ser concebidas diferentes soluções legislativas em função dos dados não relacionados com conteúdos a conservar e do crime a perseguir.

A opção mais adequada será identificada durante a avaliação de impacto, com base nos elementos de prova recolhidos, na consulta das partes interessadas e após a comparação das diferentes opções.

C. Impactos prováveis

Espera-se que esta iniciativa tenha impactos em diversos domínios:

Impacto societal: a disponibilidade de dados não relativos a conteúdos ajudaria as autoridades públicas a detetar, investigar e reprimir mais eficazmente a criminalidade, garantindo assim uma sociedade mais segura, tanto em linha como fora, para os cidadãos da UE. Prevê-se que os impactos positivos afetem tanto os processos penais nacionais como a cooperação transfronteiras para combater a criminalidade.

Impactos económicos: os prestadores de serviços de comunicações eletrónicas evitarão os custos de conformidade adicionais e a insegurança jurídica resultantes de diferentes requisitos jurídicos e técnicos, dependendo do ou dos Estados-Membros em que estão estabelecidos ou em que operam. A iniciativa avaliará formas de reduzir os obstáculos à prestação de serviços no mercado interno da UE. Ao mesmo tempo, aumentará os custos de conservação de dados nos Estados-Membros nos quais não existe obrigação de conservação de dados para efeitos de aplicação da lei.

Impactos nos direitos fundamentais: Os dados não relacionados com conteúdos conservados e consultados podem fornecer informações às autoridades sobre a vida privada das pessoas a quem esses dados dizem respeito e, por conseguinte, interferir com os direitos fundamentais que protegem a sua privacidade (artigo 7.º da Carta dos Direitos Fundamentais da União Europeia), os seus dados pessoais (artigo 8.º) e a sua liberdade de expressão (artigo 11.º). O reforço da capacidade das autoridades públicas para acederem aos dados não relacionados com conteúdos e obterem provas em processos penais serviria o interesse público ao assegurar uma deteção e repressão mais eficazes dos crimes e a liberdade de prestação de serviços no mercado interno da UE, e poderia traduzir-se numa maior justiça para as vítimas, os suspeitos e os arguidos. Nos casos em que as opções consideradas na avaliação de impacto limitem os direitos fundamentais, estas opções serão ponderadas em função da sua interferência com esses direitos, e a criação de garantias adequadas para assegurar a sua necessidade e proporcionalidade para alcançar o objetivo pretendido será tida em plena consideração.

D. Instrumentos para legislar melhor

Avaliação de impacto

A Comissão realizará uma avaliação de impacto com vista a atualizar as regras em matéria de conservação de dados a nível da UE, conforme adequado. Será publicada uma consulta pública no segundo ou terceiro trimestre de 2025, em conformidade com a política «Legislar Melhor» da Comissão. A Comissão procederá a uma recolha exaustiva de elementos de prova provenientes de diferentes fontes, incluindo dos cidadãos, através de diferentes meios, como o presente convite à apresentação de contributos e de inquéritos dirigidos às partes interessadas.

Estratégia de consulta

A Comissão prevê várias atividades de consulta para apoiar esta iniciativa, cujo objetivo é recolher dados e pontos de vista junto de um vasto leque de partes interessadas. As principais atividades de consulta incluirão:

-as respostas ao presente convite;

-as respostas à consulta pública que será publicada em todas as línguas oficiais da UE no portal da Comissão «Dê a sua opinião» por um período de 12 semanas.

-consultas específicas com as partes interessadas sob a forma de entrevistas e inquéritos, a fim de recolher também dados quantitativos e qualitativos sobre a necessidade e a proporcionalidade destas medidas.

Em conformidade com a política «Legislar Melhor» da Comissão Europeia que visa desenvolver iniciativas com base nos melhores conhecimentos disponíveis, convidam-se igualmente os investigadores científicos, as organizações académicas, as sociedades e as associações científicas que dispõem de conhecimentos especializados nos domínios técnicos e políticos relacionados com a iniciativa, a apresentarem i resultados de investigação, análises e dados científicos, já publicados ou em vias de publicação. A Comissão está particularmente interessada em receber contributos que resumam o estado atual do conhecimento no(s) domínio(s) relevante(s).

A Comissão publicará um relatório de síntese factual com os contributos para a consulta pública. Analisará igualmente as reações ao presente convite à apresentação de contributos, bem como os resultados das consultas subsequentes, num relatório de síntese que será anexo à avaliação de impacto (documento de trabalho dos serviços da Comissão).

Motivos da consulta

O objetivo da consulta é assegurar que a avaliação de impacto assenta em dados quantitativos e qualitativos exaustivos e conhecimentos especializados, bem como permitir que as partes interessadas (incluindo os cidadãos e as partes que seriam diretamente afetadas pela presente iniciativa) apresentem os seus pontos de vista e contributos sobre as possíveis opções para o futuro.

Público-alvo

As principais categorias de partes interessadas que a Comissão tenciona consultar incluem: o público em geral; profissionais que operam nos setores da segurança pública (justiça, assuntos internos e políticas digitais); autoridades policiais e judiciárias; peritos de cibersegurança e autoridades com competência no domínio da proteção de dados e da privacidade; associações profissionais de advogados, universidades, investigadores e grupos de reflexão; organizações da sociedade civil que trabalham no domínio dos direitos digitais das vítimas ou, de um modo mais geral, dos direitos fundamentais; a indústria do setor.

(1)      A recente análise da Eurojust e da Rede Judiciária Europeia em matéria de Cibercriminalidade — RJEC « O efeito da jurisprudência do Tribunal de Justiça da União Europeia nos regimes nacionais de conservação de dados e na cooperação judiciária na UE » refere que doze Estados-Membros (BE, DK, EE, IE, FR, HR, IT, LV, LT, PT, SK e SE) introduziram alterações fundamentais na sua legislação entre 2018 e 2022, em resultado direto do processo C‑746/18 do TJUE, Prokuratuur, e dos processos apensos C-511/18, C-512/18 e C-520/18, La Quadrature du Net e o.; quatro Estados-Membros já não dispõem de regras obrigatórias de conservação de dados para efeitos de investigações criminais (DE, NL, RO, SI), p. 6.
(2)      Artigo 2.º, n.º 4, da Diretiva (UE) 2018/1972. «Serviço de comunicações eletrónicas», o serviço oferecido em geral mediante remuneração através de redes eletrónicas de comunicações, que engloba, com exceção de serviços que prestem ou exerçam controlo editorial sobre conteúdos transmitidos através de redes e serviços de comunicações eletrónicas, os seguintes tipos de serviços:a)    «Serviço de acesso à Internet», na aceção do artigo 2.º, segundo parágrafo, n.º 2, do Regulamento (UE) 2015/2120;b)    Serviços de comunicações interpessoais; ec)    Serviços que consistem total ou principalmente no envio de sinais, tais como os serviços de transmissão utilizados para a prestação de serviços máquina-máquina e para a radiodifusão;