Maria Lúcia Amaral, Provedora de Justiça, emitiu uma «recomendação de alteração legislativa» com vista a transformar os trâmites e critérios de conservação de dados relativos à identificação e às localizações dos clientes dos diferentes serviços de telecomunicações. A Recomendação foi emitida após queixa da Associação de Defesa dos Direitos Digitais (D3) – mas tem como destinatária Francisca Van Dunem, ministra da Justiça. A Comissão Nacional de Proteção de Dados (CNPD) também é visada por ter decidido deixar de fiscalizar e supervisionar, em 2017, os repositórios de metadados mantidos pelos operadores. A decisão da CNPD foi tomada na sequência de dois acórdãos do Tribunal de Justiça da UE.
No texto agora divulgado, Maria Lúcia Amaral recorda, enquanto responsável por denunciar casos que necessitam de ser retificados na área da justiça, que a legislação nacional não tem em conta os acórdãos do Tribunal de Justiça da UE, que declararam inválida a diretiva que está na origem da conservação dos denominados metadados dos clientes de telecomunicações.
A diretiva europeia que foi considerada inválida dá pelo nome de 2006/24/CE. A lei nacional que é agora alvo de recomendação da Provedora de Justiça e que transpõe a diretiva é conhecida por 32/2008. A diretiva europeia foi declarada inválida após o acórdão conhecido como Digital Rights Ireland, de 2014, e o acórdão conhecido como Tele 2, que foram emitidos pelo Tribunal de Justiça da UE.
«(…) O legislador português acolhe a solução que, expressamente, o Tribunal de Justiça censurou: prevê a conservação generalizada e indiferenciada de todos os dados de tráfego e dos dados de localização de todos os assinantes e utilizadores em relação ao todos os meios de comunicação eletrónica, sem limitar tal obrigação em função dos critérios função dos critérios indicados pelo TJUE (…)», refere a Recomendação de Alteração Legislativa redigida pela Provedora de Justiça.
Eduardo Santos, dirigente da D3 e um dos mentores da queixa que motivou Recomendação de Alteração Legislativa, enaltece a posição da Provedora de Justiça. «A Provedora optou por não enviar a questão para o Tribunal Constitucional pois entendeu – e nós concordamos – que o problema pode ser resolvido mais facilmente por via legislativa, assim haja vontade política de Governo e Assembleia da República em cumprir esta recomendação de alteração legislativa», garante o dirigente da D3.
Através da transposição da diretiva 2006/24/CE, a Lei 32/2008 passou prever a conservação dos metadados relativos à identificação de clientes e de dispositivos, números de IP usados, e respetivas localizações durante o prazo de um ano, após a data da comunicação em causa. A lei obriga os operadores de telecomunicações de manter esses dados – e restringe o acesso aos mesmos às autoridades policiais, que mediante mandado de juiz, podem requer o acesso à informação, desde que esteja em causa o combate à criminalidade.
A Provedora de Justiça receia ainda que a aplicação prática da lei nacional não esteja a respeitar os princípios da Carta dos Direitos Fundamentais da União Europeia no que toca à segurança e à proteção de dados. «A lei nacional não obriga a que os dados (de clientes dos operadores de telecomunicações) sejam conservados em território da União (UE), em contradição com o que decorre da interpretação feita pelo TJUE (…)», refere a recomendação da Provedora.
A Recomendação lembra ainda uma lacuna na orgânica de fiscalização e supervisão dos repositórios de metadados que têm de ser mantidos para efeitos de investigação criminal: depois de o TJUE declarar a diretiva europeia 2006/24/CE inválida, a Comissão Nacional de Proteção de Dados (CNPD) deliberou (1008/2017) no sentido de deixar de aplicar a lei 32/2008, alegando que esta legislação não respeita a Carta dos Direitos Fundamentais da UE nem a Constituição da República Portuguesa. A Provedora de Justiça considera que o facto de a CNPD não aplicar a lei 32/2008 é «relevante», visto que poderá funcionar como um potencial incentivo para os operadores não tomarem as medidas necessárias que garantam um «nível particularmente elevado de proteção e segurança», que está previsto pelo Direito da UE.
Apesar de estar ciente de que o Tribunal Constitucional não “chumbou” a legislação nacional que obriga os operadores à criação de bases de metadados, a Provedora insta a ministra da Justiça Francisca Van Dunem a fazer uma «reforma» da lei em causa para que possa estar em consonância com o Direito da UE. A Provedora recorda ainda que nada impede que, em futuros “casos”, o Tribunal Constitucional acabe por rever a posição e declare a inconstitucionalidade da lei 32/2008: «(…) melhor será que o legislador previna a sua invalidação por intermédio da competência estritamente cassatória do Tribunal Constitucional, adequando-o desde já à exigências decorrentes dos direitos fundamentais».
