Acórdão do Tribunal Constitucional n.º 268/2022
| ELI | https://data.dre.pt/eli/actconst/268/2022/06/03/p/dre/pt/html |
| Data de publicação | 03 Junho 2022 |
| Gazette Issue | 108 |
| Section | Serie I |
| Órgão | Tribunal Constitucional |
N.º 108 3 de junho de 2022 Pág. 18
Diário da República, 1.ª série
TRIBUNAL CONSTITUCIONAL
Acórdão do Tribunal Constitucional n.º 268/2022
Sumário: Declara a inconstitucionalidade, com força obrigatória geral, da norma constante do
artigo 4.º da Lei n.º 32/2008, de 17 de julho, conjugada com o artigo 6.º da mesma
lei; declara a inconstitucionalidade, com força obrigatória geral, da norma do artigo 9.º
da Lei n.º 32/2008, de 17 de julho, relativa à transmissão de dados armazenados às
autoridades competentes para investigação, deteção e repressão de crimes graves,
na parte em que não prevê uma notificação ao visado de que os dados conservados
foram acedidos pelas autoridades de investigação criminal, a partir do momento em
que tal comunicação não seja suscetível de comprometer as investigações nem a vida
ou integridade física de terceiros.
Processo n.º 828/19
Acordam, em Plenário, no Tribunal Constitucional:
I — Relatório
1 — A Provedora de Justiça requereu, nos termos da alínea d) do n.º 2 do artigo 281.º da
Constituição, a apreciação e declaração, com força obrigatória geral, da inconstitucionalidade
das normas constantes dos artigos 4.º, 6.º e 9.º da Lei n.º 32/2008, de 17 de julho, por violarem o
princípio da proporcionalidade na restrição dos direitos à reserva da intimidade da vida privada e
familiar (n.º 1 do artigo 26.º da Constituição), ao sigilo das comunicações (n.º 1 do artigo 34.º da
Constituição) e a uma tutela jurisdicional efetiva (n.º 1 do artigo 20.º da Constituição).
2 — O pedido de declaração de inconstitucionalidade encontra -se fundamentado nos seguintes
termos:
«A. A relação entre a Lei n.º 32/2008, de 17 de julho, e o direito da União Europeia.
1.º Nos termos do disposto no artigo 6.º da Lei n.º 32/2008, de 17 de julho, os fornecedores de
serviços de comunicações electrónicas publicamente disponíveis ou de uma rede pública de comu-
nicações têm o dever de conservar, pelo período de um ano, os dados de tráfego e de localização
de todas as comunicações electrónicas, os quais vêm especificados no artigo 4.º do mesmo diploma.
2.º Trata -se dos dados relativos às subscrições e a todas as comunicações electrónicas
necessários para encontrar e identificar a fonte e o destino de uma comunicação (artigo 4.º, n.º 1,
alíneas a) e b)), para determinar a data, a hora, a duração e o tipo de comunicação (artigo 4.º, n.º 1,
alíneas c) e d)), para identificar o equipamento de telecomunicações dos utilizadores (artigo 4.º,
n.º 1, alínea e)) e para identificar a localização do equipamento de comunicação móvel (artigo 4.º,
n.º 1, alínea f)).
3.º A obrigação de conservação dos dados abrange os dados gerados ou tratados no âmbito
de um serviço telefónico na rede fixa, de um serviço telefónico na rede móvel, de um serviço de
acesso à Internet, de um serviço de correio electrónico através da Internet bem como de um serviço
de comunicações telefónicas através da Internet.
4.º Esta obrigação também inclui os dados relativos às chamadas telefónicas falhadas (artigo 5.º,
n.º 1).
5.º Fora da obrigação de conservação dos dados estão os dados relativos ao conteúdo das
comunicações, porquanto, nos termos do disposto no n.º 2 do artigo 1.º, a conservação de tais
dados é expressamente proibida.
6.º No que diz respeito às comunicações telefónicas na rede fixa devem ser conservados os
dados relativos ao número de telefone de origem e aos números marcados, os dados relativos ao
nome e endereço dos assinantes ou dos utilizadores registados (artigo 4.º, n.º 2, alínea a) e n.º 3,
alínea a)), os dados relativos à data e hora do início e do fim da comunicação (artigo 4.º, n.º 4,
alínea a)), os dados relativos ao serviço telefónico utilizado (artigo 4.º, n.º 5, alínea a)) e os números
de telefone de origem e de destino (artigo 4.º, n.º 6, alínea a)). Relativamente às comunicações
N.º 108 3 de junho de 2022 Pág. 19
Diário da República, 1.ª série
telefónicas na rede móvel, aplicam -se obrigações suplementares, tais como a conservação da
Identidade Internacional de Assinante Móvel (IMSI) e da Identidade Internacional de Equipamento
Móvel (IMEI) de quem telefona e do destinatário (artigo 4.º, n.º 6, alínea b)), bem como dos dados
de localização do início e do fim da comunicação (artigo 4.º, n.º 7).
7.º No que diz respeito aos serviços de acesso à Internet, aos serviços de correio electrónico
através da Internet e às comunicações telefónicas através da Internet devem ser conservados os
códigos de identificação atribuídos ao utilizador, o código de identificação do utilizador e o número
de telefone atribuídos a qualquer comunicação que entre na rede telefónica pública e o nome e
endereço do assinante ou do utilizador registado, a quem o endereço do protocolo IP, o código de
identificação de utilizador ou o número de telefone estavam atribuídos no momento da comunicação
(artigo 4.º, n.º 2, alínea b), bem como as datas e horas do início (log in) e do fim (log off) da ligação
ao serviço de acesso à Internet ou da ligação, juntamente com o endereço do protocolo IP, dinâmico
ou estático, atribuído pelo fornecedor do serviço de acesso à Internet a uma comunicação, bem
como o código de identificação de utilizador do subscritor ou do utilizador registado (artigo 4.º, n.º 4,
alínea b), subalínea i) ou da ligação ao serviço de correio electrónico através da Internet (artigo 4.º,
n.º 4, alínea b), subalínea ii), o serviço de Internet utilizado (artigo 4.º, n.º 5, alínea b) e ainda os
dados relativos ao número de telefone que solicita o acesso por linha, a linha de assinante digital
ou qualquer outro identificador terminal do autor da comunicação (artigo 4.º, n.º 6, alínea c)).
8.º Em causa estão, portanto, dados que revelam a todo o momento aspectos da vida privada
e familiar dos cidadãos, permitindo rastrear a localização do indivíduo ao longo do dia, todos os
dias (desde que transporte o telemóvel ou outro dispositivo electrónico de acesso à Internet), e
identificar com quem contacta (chamada — inclusive as tentadas e não concretizadas — por tele-
fone ou telemóvel, envio ou recepção de SMS, MMS, de correio electrónico, ou de comunicações
telefónicas através da Internet), bem como a duração e a regularidade dessas comunicações.
9.º A Lei n.º 32/2008, de 17 de julho, transpôs para a ordem jurídica nacional a Directiva
2006/24/CE do Parlamento Europeu e do Conselho, de 15 de março de 2006, relativa à conserva-
ção de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas
publicamente disponíveis ou de redes públicas de comunicações.
10.º O Tribunal de Justiça da União Europeia (TJUE) declarou a invalidade da referida Directiva
no acórdão de 8 de abril de 2014, Digital Rights Ireland Ltd e outros, C -293/12 e C -594/12.
11.º A declaração de invalidade teve por fundamento a violação do princípio da proporciona-
lidade pela restrição que a Directiva opera dos direitos ao respeito pela vida privada e familiar e à
protecção de dados pessoais, consagrados nos artigos 7.º e 8.º da Carta dos Direitos Fundamentais
da União Europeia (Carta).
12.º Com efeito, apesar de o TJUE ter reconhecido que as medidas previstas na Directiva — re-
lativas à imposição do dever de conservação de dados de tráfego e de localização gerados no con-
texto de comunicações electrónicas e ao dever da sua transmissão às autoridades competentes para
efeitos de investigação, detecção e repressão de crimes graves — eram, em si mesmas, medidas
legítimas e adequadas ao fim visado, nem por isso deixou de concluir que as mesmas violavam o
princípio da proporcionalidade, na sua dimensão de [do subprincípio da] necessidade.
13.º Tratando -se de um acto de transposição de uma directiva, a Lei n.° 32/2008, de 17 de
julho, consubstancia, para efeitos do disposto no n.º 1 do artigo 51.º da Carta, um acto de aplicação
do direito da União Europeia.
14.º Tal significa que, embora tratando -se formalmente de legislação nacional e não de um
acto adoptado pelas instituições da União Europeia, a Lei n.º 32/2008, de 17 de julho, está direc-
tamente vinculada pela Carta.
15.º Nesta medida, os fundamentos invocados pelo TJUE para sustentar a declaração de
invalidade do regime europeu que a Lei n.º 32/2008 pretendeu transpôr não poderão deixar de ser
tidos em conta, no momento em que se afira da conformidade ou não conformidade em relação à
Carta das normas contidas neste regime nacional.
16.º Além disso, resulta do acórdão do TJUE de 21 de dezembro de 2016, Tele2 Sverige e
Watson, C -203/15 e C -698/15, que qualquer legislação nacional que preveja a conservação de
dados implica necessariamente a existência de disposições relativas ao acesso, por parte das
autoridades nacionais competentes, aos dados que sejam conservados pelos prestadores de ser-
N.º 108 3 de junho de 2022 Pág. 20
Diário da República, 1.ª série
viços de comunicações eletrónicas. Assim, e anda que a Directiva 2006/24 tenha sido declarada
inválida pelo TJUE, nem por isso a Lei n.º 32/2008, de 17 de julho, poderá deixar de ser incluída
no âmbito de aplicação da Diretiva 2002/58/CE do Parlamento Europeu e do Conselho, de 12 de
julho de 2002, relativa ao tratamento de dados pessoais e à protecção da privacidade no sector
das comunicações electrónicas (cf. acórdão Tele2, n.os 79 -81).
17.º Pelo que não restam dúvidas de que a Lei n.º 32/2008, de 17 de julho, se enquadra no
âmbito de aplicação do direito da União, encontrando -se, portanto, a definição pela República
Portuguesa do regime legal de conservação de dados de comunicações electrónicas directamente
vinculada pela Carta (artigo 51.º, n.º 1 da Carta).
18.º É justamente em virtude da vinculação da legislação nacional à Carta que, no seguimento
das decisões do TJUE, a Comissão Nacional de Protecção de Dados (CNPD) emitiu a Deliberação
n.º 641/2017, de 9 de Maio, onde expôs a sua perspectiva sobre a Lei n.º 32/2008, considerando
que a mesma contém normas que prevêem a restrição ou ingerência nos direitos fundamentais ao
respeito pela vida privada e pelas comunicações e à protecção dos dados pessoais com grande
amplitude e intensidade, em violação do princípio da proporcionalidade e, portanto, em violação do
n.º 1 do artigo 52.º da Carta, bem como uma restrição desproporcionada dos direitos à reserva da
intimidade da vida privada, à inviolabilidade das comunicações e à protecção de dados pessoais,
em violação do disposto no n.º 2 do artigo 18.º da Constituição da República Portuguesa.
19.º Face a esse seu entendimento, a CNPD, através da Deliberação n.º 1008/2017, de 18
de julho, decidiu desaplicar a Lei n.º 32/2008 nas situações que lhe sejam submetidas para apre-
ciação.
20.º Tendo em conta todos estes dados, poder -se -ia concluir estar -se perante legislação
nacional «inteiramente determinada» — na acepção do acórdão do TJUE de 26 de fevereiro de
2013, Âkerberg Fransson, C -617/10, n.º 29 — , pelo direito da União Europeia, o que geraria dúvi-
das quanto à questão de saber se caberia ainda à jurisdição constitucional nacional — e não à
jurisdição própria da União Europeia — efectuar a ponderação entre as razões de interesse público
que poderiam determinar a conservação e armazenamento de dados por parte das operadoras de
telecomunicações e a tutela de direitos fundamentais.
21.º Parece no entanto legítimo sustentar -se que, neste domínio, o legislador nacional definiu
com certa margem de liberdade o regime instituído pela Lei n.º 32/2008, pelo que a normação nela
contida não deverá ser qualificada como «acção estadual inteiramente determinada pelo Direito da
União» na acepção que da expressão faz o acórdão atrás citado. Assim sendo, não estará em causa
a competência da jurisdição constitucional nacional para levar a cabo o controlo de compatibilidade
entre as medidas aquela legislação prevista e os direitos fundamentais em causa, nomeadamente
o direito à reserva da intimidade da vida privada e à protecção dos dados pessoais.
22.º Todavia, sendo embora a legislação nacional em questão «não inteiramente determinada»
pelo direito da União Europeia — , e podendo, nessa medida, os órgãos jurisdicionais nacionais
aplicar os padrões nacionais de proteção dos direitos fundamentais — em caso algum poderá
dessa aplicação resultar um nível de protecção menos elevado do que aquele garantido pela Carta
(acórdãos do TJUE de 26 de fevereiro de 2013, Melloni, C -399/11, n.º 60 e Âkerberg Fransson,
C -617/10, n.º 29).
23.º Assim é, pelo facto de a Lei n.º 32/2008, atendendo ao que dispõe a Directiva 2002/58/CE
do Parlamento e do Conselho, relativa ao tratamento de dados pessoais e à protecção da privacidade
no sector das comunicações electrónicas, ser ainda — não obstante a declaração de invalidade
da Directiva 2006/24/CE — um acto de aplicação do Direito da União, encontrando -se por isso, e
como já se disse, directamente vinculada pela Carta dos Direitos Fundamentais da União Europeia
(artigo 51.º, n.º 1, da Carta).
24.º Ora, embora seja claro que a Lei n.º 32/2008 não padece de alguns dos vícios aponta-
dos pelo TJUE à Directiva 2006/24/CE, por outro lado, é também inequívoco que, em aspectos
fundamentais do regime nele instituído, esse acto legislativo se não conforma com as exigências
decorrentes do direito da União, tal como interpretado pelo TJUE.
25.º O argumento principal em que se baseou o Tribunal Constitucional no Acórdão n.º 420/2017,
de 13 de Julho, seguindo de perto a Nota Prática n.º 7/2015 do Gabinete do Cibercrime do Ministério
Público, é o de que a legislação nacional estabelece já muitas das exigências que não estavam
Para continuar a ler
PEÇA SUA AVALIAÇÃO