A CNPD ordenou aos fornecedores de telecomunicações que eliminem os dados conservados ao abrigo da Lei 32/2008, após ter sido publicado o acórdão que declarou a inconstitucionalidade de algumas normas.
A Comissão Nacional de Proteção de Dados (CNPD) decidiu, na sua reunião de 7 de junho, ordenar aos fornecedores de serviços de comunicações eletrónicas publicamente disponíveis ou de uma rede pública de comunicações a eliminação dos dados pessoais conservados ao abrigo do artigo 4.º da Lei n.º 32 /2008, na sequência da publicação do acórdão que declara a inconstitucionalidade da referida norma.
Segundo a CNPD, é ilícito que as operadoras mantenham o tratamento de dados autónomo, criado especificamente ao abrigo da Lei n.º 32/2008 (Lei de retenção de dados), com um vasto conjunto de dados pessoais, incluindo dados de tráfego e de localização de todas as comunicações, para fins de investigação, deteção e repressão de crimes graves.
A declaração de inconstitucionalidade com força obrigatória geral, proferida pelo Acórdão n.º 268/2022, de 19 de abril, do Tribunal Constitucional (TC), da norma constante do artigo 4.º da Lei n.º 32/2008, de 17 de julho, conjugada com o artigo 6.º da mesma lei, determina a sua nulidade, com a consequente impossibilidade da sua aplicação, após a publicação do citado acórdão no Diário da República, o que ocorreu a 3 de junho último.
Deste modo, a CNPD entende que, para dar execução e pleno cumprimento ao acórdão do Tribunal Constitucional, as operadoras de comunicações eletrónicas têm de pôr fim àquele tratamento de dados.
Assim, no exercício dos poderes conferidos pelo artigo 58.º, n.º 2, alínea d), do Regulamento (UE) 2016/679 (RGPD), a CNPD deliberou ordenar a cada um dos fornecedores de comunicações eletrónicas que eliminem, no prazo de 72 horas desde a notificação da deliberação da CNPD, os dados pessoais conservados ao abrigo da Lei n.º 32/2008. Devem ainda, no prazo de 72 horas após a eliminação dos dados, remeter à CNPD o respetivo auto de destruição.
O Tribunal Constitucional declarou a inconstitucionalidade das normas acima identificadas, por violação do disposto nos números 1 e 4 do artigo 35.º e do n.º 1 do artigo 26.º, em conjugação com o n.º 2 do artigo 18.º, todos da Constituição da República Portuguesa. Concluiu o TC que a Lei n.º 32/2008, ao contrário de outras leis nacionais de combate à criminalidade, constitui uma solução legislativa desequilibrada, por atingir sujeitos relativamente aos quais não há qualquer suspeita de atividade criminosa. Ao conservar todos os dados de localização e de tráfego de todos os assinantes, abrangem-se as comunicações eletrónicas da quase totalidade da população, sem qualquer diferenciação, exceção ou ponderação face ao objetivo perseguido.
Assim, entendeu o Tribunal Constitucional que se transgride os limites da proporcionalidade, na restrição aos direitos fundamentais à reserva da intimidade da vida privada e à autodeterminação informativa. O TC considerou que a agressão daqueles direitos fundamentais ocorre em situações que, num juízo de ponderação, não são contrapesadas pelos efeitos positivos no combate à criminalidade. (cf. ponto 18 do acórdão do TC).
Informação de contexto
A Lei n.º 32/2008, de 17 de julho, transpôs a Diretiva 2006/24/CE, a qual foi considerada inválida pelo Tribunal de Justiça da União Europeia (TJUE), no Acórdão de 8 de abril de 2014, no caso Digital Rights Ireland e outros[1], por violação do princípio da proporcionalidade à luz dos artigos 7.º, 8.º e 52.º, n.º 1, da Carta dos Direitos Fundamentais da UE.
Considerou o TJUE que aquela diretiva abrange, em geral, todas as pessoas que utilizam serviços de comunicações eletrónicas, sem que, no entanto, as pessoas cujos dados são conservados se encontrem, ainda que indiretamente, numa situação suscetível de dar lugar a ações penais, aplicando-se mesmo a pessoas em relação às quais não haja indícios que levem a acreditar que o seu comportamento possa ter um nexo, ainda que indireto ou longínquo, com infrações graves (ponto 58 do acórdão do TJUE).
Recorda-se que, desde 2014, a CNPD alertou várias vezes o legislador nacional, em audições parlamentares e em pareceres[2], para as consequências da invalidade da Diretiva 2006/24/CE na Lei nacional de transposição, na medida em que esta padecia do mesmo vício de desrespeito pelo princípio da proporcionalidade.
O TJUE veio a reforçar o seu entendimento sobre esta matéria no Acórdão de 21 de dezembro de 2016, no caso Tele2 Sverige e Watson[3], quando concluiu que não pode haver, para efeitos de luta contra a criminalidade, uma conservação generalizada e indiferenciada de todos os dados de tráfego e dados de localização de todos os assinantes e utilizadores registados em relação a todos os meios de comunicação eletrónica. Tal derrogação do regime da privacidade nas comunicações eletrónicas viola a Carta dos Direitos Fundamentais, no direito ao respeito pela vida privada e familiar e pelas comunicações (artigo 7.º), no direito à proteção de dados pessoais (artigo 8.º), no direito à liberdade de expressão e de informação (artigo 11.º) e no respeito pelo princípio da proporcionalidade na restrição de direitos fundamentais (artigo 52.º, n.º 1).
Em 2017, a CNPD emitiu a Deliberação 641/2017, de 9 de maio, na qual recomendava a revisão da Lei n.º 32/2008 por esta violar o direito da União e indicava ao legislador como poderia estabelecer um quadro normativo em consonância com a jurisprudência da UE. Na ausência continuada de resposta ao problema, a CNPD emitiu a Deliberação 1008/2017, de 18 de julho, na qual afirma desaplicar a Lei n.º 32/2008, no cumprimento do princípio do primado do direito da União e da prevalência da Constituição.
[1] Processos apensos C‑293/12 e C‑594/12
[2] Por exemplo, na Audição parlamentar na Comissão de Assuntos Constitucionais, Direitos, Liberdades e Garantias, de 29 de abril de 2014, no Parecer 51/2015 e no Parecer 24/2017.
[3] Processos apensos C-203/15 e C-698/15