Escolar Documentos
Profissional Documentos
Cultura Documentos
Introdução……………………………………………………………………………...1
1. Breves Considerações sobre o PNR……………………………………………… .3
1.1 Conceito………………………………………………………………………..3
1.2 API…………………………………………………………………………………….5
1.3 PNR: Meio de prova, meio de obtenção de prova, política criminal ou intelligence
criminal………………………………………………………………………………..6
2. O atual tratamento dos dados PNR no ordenamento europeu……………………..9
2.1 Diretiva 2016/681……………………………………………………………………..9
2.2 Lei 21/2019…………………………………………………………………………...10
1. A Jurisprudência do Tribunal de Justiça da EU ………………………………………….11
1.1 Acórdão Digital Rights Ireland e Seitlinger………………………………………….11
1.2 Acórdão Schrems……………………………………………………………………..15
1.3 Acórdão Tele 2 Sverige……………………………………………………………....18
Conclusões……………………………………………………………………………30
Referências……………………………………………………………………………32
RESUMO
ABSTRACT
Technological developments have brought the growth of cross-border, more organized and
technologically more advanced crime, as well as the spread of terrorist offenses, including in
the virtual environment. With the growth of this crime, as a counterpart, the innovation of
proactive and preventive mechanisms to combat it. It is in this atmosphere that the PNR data,
which are personal data, necessarily transmitted by the airlines to the passenger information
units of the member states of the European Union, appear for the access of the police and
information services of these countries as one more form criminal intelligence in combating
serious crime and terrorism. Accordingly, this report will address the issue of illegality or
illegality of the collection, maintenance and mandatory transmission of such PNR (passenger
name record) data by those air carriers to the police authorities and information services of the
member states of the European Union for the purpose of prevention , investigation and
criminal prosecution, addressing the security versus privacy dichotomy from the analysis of
the existing data protection system in the EU, the international legal order that guides legal
issues in the European area and the most recent Directive 2016/681 , called the PNR
Directive, which will govern such transmissions to the UIPs (Passengers Information Unit)
and, above all, in line with the most recent case law of the European Union Court of Justice.
1
INTRODUÇÃO
Sempre há uma tensão inevitável quando o combate à criminalidade alcança o núcleo
essencial dos direitos fundamentais. Os poderes de segurança quando aplicam a lei, buscam
cumprir suas tarefas, porém, o exercício de tais poderes pode interferir no exercício de alguns
direitos fundamentais, como, por exemplo, o direito à vida privada, bem como, o direito à
proteção dos dados pessoais de um indivíduo, implicando a necessidade que o exercício de
tais poderes seja pautado, fundamentalmente, pela proporcionalidade de suas ações no
objetivo que buscam atingir.
É neste horizonte que surge a questão sobre o passenger name record, o conjunto de
dados pessoais coletados de cada passageiro aéreo antes de suas viagens para fins de
investigação e repressão do terrorismo e da alta criminalidade transfronteiriça no espaço
europeu. Em contrapartida à esta situação, a EU está empenhada em assegurar um elevado
nível de proteção desses dados, como se pode inferir do art.16 do tratado de funcionamento da
União Européia e dos artigos 7º e 8º da Carta Europeia dos Direitos Fundamentais. Este
direito à proteção de dados pessoais é corolário do direito à privacidade, um valor
fundamental em sociedades democráticas européias, já tendo sido reconhecido na Convenção
Européia dos Direitos Humanos de 1950 (CEDH).
No dia 4 de maio houve a publicação da Diretiva 2016/681 da UE, de 27 de abril de
2016, relativa à utilização dos dados dos registros de identificação dos passageiros (PNR)
para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da
criminalidade grave, fechando um processo legislativo longo que começou com o Programa
de Estocolmo do Conselho Europeu - “Uma Europa aberta e segura que sirva e proteja o
cidadão” (2010/C 115/01, de 4 de maio de 2010) , o qual resultou na Proposta de Diretiva
relativa à utilização dos dados dos registros de identificação dos passageiros para efeitos de
prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave
(COM(2011) 32 final, 4 de fevereiro de 2011), que ficou pelas Comissões do Parlamento
Europeu sem nada efetivo até então.
Este tema só foi reaberto com a Resolução do Parlamento Europeu sobre as medidas
de luta contra o terrorismo, de 11 de fevereiro de 2015, que teve como fonte próxima o
massacre do Charlie Hebdo, de 7 de janeiro, tal como a Agenda Europeia para a Segurança
(COM (2015) 185, de 28 de abril de 2015), sendo a sua adoção precipitada pelos atentados de
Paris, de 13 de novembro desse mesmo ano, com a Declaração Conjunta dos Chefes de
Estado e de Governo e dos Presidentes das Instituições da UE, de 14 de novembro e, em 2 de
dezembro, deu-se o acordo no triálogo sobre a Proposta de Diretiva PNR, com tais
precedentes: a Proposta de Decisão-Quadro relativa à utilização dos dados do Registro de
Identificação de Passageiros (Passenger Name Record – PNR) para efeitos de aplicação da lei
para fins de combate ao terrorismo e à criminalidade organizada (COM(2007) 654 final, de 6
de novembro de 2007.
Finalmente, assente no Art.º 16 do Tratado sobre o Funcionamento da UE e nos
Artigos 7 e 8 da Carta dos Direitos Fundamentais da União Europeia, desde o Tratado de
Lisboa, de 2007 e 2009 surgiu o Regulamento (UE) 2016/679, de 27 de abril de 2016, relativo
à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento geral de proteção de
dados),a Diretiva (UE) 2016/680, de 27 de abril de 2016, relativa à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes
para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução
2
de sanções penais, e à livre circulação desses dadose, por último, surge a Diretiva (UE)
2016/681 de 27 de abril de 2016 relativa à utilização dos dados dos registros de identificação
dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das
infrações terroristas e da criminalidade grave. Por fim, ainda na análise deste relatório temos a
lei 21 de 2019 que transpôs para o direito português a diretiva 2016/681 sobre dados PNR.
É no contexto do microssistema de proteção de dados (Regulamento 2016/679 ,
Diretiva 2016/680 ), mais a Diretiva 2016/681 e a lei 21/2019, com enfoque nestes dois
diplomas, que se dará a discussão sobre a legitimidade ou não da utilização dos dados PNR
para fins de prevenção, investigação, deteção e repressão de infrações penais ou execução de
sanções penais pelos órgãos policiais e judiciários dos Estados membros da UE, a partir da
análise da jurisprudência do Tribunal de Justiça Europeu, trazendo à baila os acórdãos Digital
rights ireland, Schrems e Tele 2 Sverige, como também, o ordenamento jurídico norteador
dessas decisões.
3
organizada, pacote de cruzeiro, entre outros. Os GDS mais conhecidos são o Galileu,
Amadeo, Sabre e Worldspan.3
Estes dados respeitam ao nome completo do passageiro; à sua data de nascimento;
àmorada de casa e do trabalho; ao seu número de telefone; ao seu endereço de e-mail;
àinformação que consta do passaporte; bem como do seu cartão de crédito ou à forma como
iráproceder ao pagamento da compra do bilhete; aos nomes e à informação pessoal dos
contactosde emergência e, ainda, quanto à data da viagem, o itinerário da mesma, a agência de
viagens através da qual o voo foi reservado e, também, quanto à preferência por uma outra
refeição que não aquela que será servida durante a viagem, ou até mesmo, quanto à
preferência do lugar no avião e também informações respeitantes à bagagem.
Para além destas, existem outras informações, também definidas no manual
IATA(Associação internacional de transporte aéreo), que podem ser incluídas no PNR, como
é o caso dos “serviços solicitados”, isto é, das necessidades alimentares e médicas especiais,
de informações relativas a menor não acompanhado e, até, quanto a pedidos de
assistência.Existem, ainda, informações que podem ser acrescentadas pelos agentes
dascompanhias aéreas, no campo “Observações Gerais” e que podem ser, igualmente,
armazenadas na base de dados PNR.4
Além disso, tanto o número como a natureza dessas informações do PNR varia se o
sistema de reservas for o utilizado durante a reserva inicial ou se for utilizado outro
mecanismo de recolha de dados, como é, por exemplo, o caso do – DCS –Departure Control
Systems. 5
Este sistema de controle de partida (DCS) é basicamente desenvolvido para a operação
de gerenciamento de aeroporto da Companhia Aérea. Ele gerencia as informações
relacionadas ao aeroporto da companhia aérea. Inclui a gestão do check-in no aeroporto,
impressão de cartões de embarque, aceitação de bagagem, embarque, etc. Mantém as reservas
do sistema de reservas de computador de uma companhia aérea para passageiros, que são
apresentadas no Passenger Name Record - PNR6
No DCS, as informações sobre os passageiros e sobre os próprios voos ficam apenas
disponíveis a partir do momento em que o voo é “aberto” para o check-in, isto é, até 48 horas
antes da partida, sendo que, as informações de controlo da partida para um voo
serãofinalizadas somente após o encerramento desse voo e podem permanecer disponíveis
entre 12 a 24 horas, após a chegada do voo ao seu destino.7
Cabe, ainda, referir que a base de dados PNR não inclui informações que indicam,
diretamente, a origem racial ou étnica, as opiniões políticas, as crenças religiosas ou
filosóficas do indivíduo, a sua filiação sindical, informações quanto à sua saúde ou, até
mesmo, informações respeitantes à sua vida sexual.
As informações do PNR são recolhidas em sistemas de reservas, dias, meses ou
mesmo um ano antes da data do voo. Desta forma, as informações dos sistemas de reserva são
dinâmicas, uma vez que a sua alteração se pode verificar a qualquer momento e,
continuadamente, a partir do momento em que o voo está aberto para reserva.
3
Ibidem, p.40.
4
Ibidem
5
Ibidem
6
Ibidem
7
Ibid, pág 41.
5
10
LOPES Jr., Aury. Direito Processual Penal. 13. Ed. São Paulo : Saraiva, 2016, pp. 197 e 198.
7
14
CURADO, Henrique Os sistemas de inteligência num contexto de Homeland Defence e a tutela da
privacidade / Henrique Curado Segurança e defesa, Loures, n.17(Abr.-Jun. 2011), pp.32-37.
15
BRANDÃO, P., & Cepik, M. (Coord.). Inteligência de segurança pública: teoria e prática no
controle da criminalidade - Niterói, Rio de Janeiro: Editora Impetus, 2013, p. 120.
16
Federal Bureau of Investigation (FBI). Disponível em: https://www.fbi.gov/about/leadership-
andstructure/intelligence-branch. Acesso em 14 de maio de 2019.
17
Nacional Crime Agency. Disponível em: https://translate.google.com.br/translate?
hl=ptBR&sl=en&u=http://www.nationalcrimeagency.gov.uk/&prev=search. Acesso em 14 de maio de
2019.
9
dados PNR para fins de prevenção, investigação, prevenção e repressão criminal pelas
autoridades policiais e judiciárias dos Estados membros se inseriu na política criminal dos
órgãos decisórios da UE. Esta é uma legislação fruto do ambiente de terror que existia, de
certa maneira, na Europa em 2015 e 2016, após os ataques ocorridos em França. 18
Ricardo Rodrigues de Oliveira entende que apesar do nível de violência em solo
europeu não ser comparável a regiões em conflito, como o Oriente Médio, por exemplo, ou
com relevante presença de agentes e organizações terroristas, a intensidade das transmissões
destes fenômenos na Europa, pelos meios de comunicação social, os sentimentos de
proximidade e vizinhança e, talvez, o estranhamento de ver surgir o fenômeno do terrorismo
em solo ocidental têm influenciado fortemente as políticas nacionais e européias no seu
combate.19
É até razoável afirmar que, em circuntâncias normais, esta legislação, diretamente, tão
invasiva da intimidade dos cidadãos não passaria no crivo da proporcionalidade e da
necessidade nas discussões legislativas das instituições européias. Tal atmosfera fez com que
o PNR se inserisse na política criminal dos estados europeus no combate à criminalidade
grave e ao terrorismo.20
2. O Atual Tratamento dos Dados PNR no Ordenamento Europeu
2.1 Diretiva 2016/681
Esta diretiva foi publicada em 27 de abril de 2016, após muitas pressões e
negociações com os EUA, e avanços legislativos concernentes ao uso dos dados PNR no
combate à criminalidade terrorista e grave. Ela trata da recolha, conservação, tratamento e
posterior transmissão dos dados PNR pelas companhias aéreas aos órgãos policiais e
judiciários dos países membros da UE, como também, para terceiros países.21
Citaremos aqui algumas das inovações trazidas por essa Diretiva:
A primeira delas está disposta no Considerando 7, que prevê a defesa do uso dos
dados PNR para fins policiais, ou seja, a utilização de tais dados na identificação de suspeitos
de infrações terroristas ou criminalidade grave, antes mesmo que pratiquem o ato criminoso.
Porém, tal utilização não poderá ultrapassar os objetivos dispostos na própria diretiva.
Assim, no art. 1.º prevê-se que as transportadoras aéreas deverão transmitir os dados
do PNR de voos extra-UE e que estes dados serão recolhidos, tratados, utilizados e
conservados pelos Estados-Membros, que deverão trocar entre si informações dos resultados
obtidos.
Importa ainda verificar que, no art. 2.º, a Diretiva não afasta a obrigação de
transferência de dadosdo PNR também de voos intra-UE, sob notificação prévia por escrito
dos Estados-Membros à Comissão.
Nos termos do art. 4.º, estabelece-se que cada Estado-Membro deverá criar ou
1817
NINO, Michele. The protection of personal data in the fight against terrorism: New perspectives of
PNR European instruments in the light of the treaty of Lisbon, Utrecht Law Review, volume 6, Issue 1
(january), 2010, p. 63.
19
OLIVEIRA, Ricardo Rodrigues de. Birds flying high: A Diretiva (UE) 2016/681 e a proposta de Lei
137/XIII da Presidência do Conselho de Ministros, p.173.
20
Ibidem
21
Diretiva 2016/681 de 27 de abril de 2016. Disponível em: >https://eur-lex.europa.eu/eli/dir/2016/681/oj<
Acesso em: 29 de abril de 2019.
10
designar uma autoridade capaz de cumprir com os objetivos da Diretiva, a qual será nomeada
de “Unidade de Informações de Passageiros” (UIP).
A constituição da UIP, que poderá representar um ou mais estados-membros, deverá
ser notificada à Comissão no prazo de um mês após a sua constituição. Um responsável de
proteção de dados será designado pela UIP, tendo como competência o controlo do tratamento
dos dados do PNR e a aplicação das salvaguardas relevantes durante a atuação da Unidade.
Segundo o artigo 12º da diretiva, os Estados-Membros devem assegurar que os dados
PNR, fornecidos pelas transportadoras aéreas à UIP, sejam conservados numa base de dados
dessa UIP, por um prazo de cinco anos, contados a partir da sua transferência para a UIP do
Estado-Membro em cujo território o voo aterre ou de cujo território descole. Decorrido um
prazo de seis meses após a transferência dos dados PNR, todos os dados PNR são
anonimizados, mediante mascaramento.
Segundo o Considerando 16, os Estados-Membros adotam as medidas necessárias para
assegurar que as transportadoras aéreas transfiram, pelo método de exportação (push), os
dados PNR, enumerados no anexo I, na medida em que já tenham recolhido esses dados no
exercício normal das suas atividades, para a base de dados da UIP do Estado-Membro, em
cujo território, o voo aterrará ou do qual descolará.
O artigo 8º dispõe que as transportadoras aéreas devem transferir os dados PNR por
via eletrónica, utilizando protocolos comuns e formatos de dados reconhecidos, adotados pelo
procedimento de exame a que se refere o artigo 17º, nº2, ou, em caso de avaria técnica, por
quaisquer outros meios apropriados, que assegurem um nível adequado de segurança dos
dados: 24 a 48 horas antes da hora programada da partida do voo; e, imediatamente, após o
encerramento do voo, ou seja, logo que os passageiros se encontrem a bordo do avião
preparados para partir e o embarque ou desembarque já não seja possível.
No art.13, nº3 há a previsão de que diretiva não deve prejudicar a aplicabilidade da
Diretiva 95/46/CE do Parlamento Europeu e do Conselho ao tratamento dos dados pessoais
pelas transportadoras aéreas, em especial as suas obrigações de tomarem as medidas técnicas
e organizativas adequadas para proteger a segurança e confidencialidade dos dados pessoais.
No nº4 há a proibição do tratamento de dados PNR que revelem a raça ou origem
étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação
sindical, saúde, vida ou orientação sexual, devendo as UIPs que os receberem apagarem
imediatamente.
2.2 Lei 21/2019 (Portugal)
Esta lei foi publicada em 25 de fevereiro de 2019 e transpôs a Diretiva 2016/681,
regulando a transferência, pelas transportadoras aéreas, dos dados dos registos de
identificação dos passageiros, bem como o tratamento desses dados e procedendo também à
terceira alteração à Lei n.º 53/2008, de 29 de agosto, que aprova a Lei de Segurança Interna.22
Além da previsão da execução das medidas previstas na Diretiva 2016/681, esta lei
traz a criação do Gabinete de Informações de Passageiros (GIP), dispondo, minuciosamente,
sobre suas funções, instalação, componentes etc. O GIP é a unidade nacional de informações
de passageiros, no Ponto Único de Contacto para a Cooperação Policial Internacional (PUC-
CPI).
22
Lei 21/2019 de 25 de fevereiro de 2019. Disponível em: >
https://dre.pt/home/-/dre/120108010/details/maximized< Acesso em: 03 de maio de 2019.
11
Esse gabinete é responsável pela recolha dos dados PNR junto das transportadoras
aéreas, pela conservação e pelo tratamento desses dados, bem como pela sua transferência ou
pela transferência dos resultados do seu tratamento às autoridades competentes, como também
pelo intercâmbio desses dados com outras UIPs de outros Estados-membros ecom a Europol.
Esta lei ainda prevê uma gradação de coimas às transportadoras aéreas que infringirem
s imposições nela previstas, coimas essas que vão de dez mil a cem mil euros.
3. Jurisprudência do Tribunal de Justiça da União Europeia
1º) O Acórdão Digital Rights Ireland:23
Na esteira das Diretivas 95/46/CE, 97/66/CE e 2002/58/CE, a Diretiva 2006/24 foi
aprovada com o intuito de consagrar a obrigação de os fornecedores de serviços de
comunicações eletrônicas publicamente disponíveis ou das redes públicas de comunicações
conservarem determinados dados por eles gerados ou tratados. Dados de tráfego ou de
localização (não de conteúdo), bem como, dados conexos necessários para identificar o
assinante ou utilizador dos serviços de comunicações eletrônicas por um período entre 6 e 24
meses, com vista a conservar tais dados para efeitos de investigação, deteção e repressão de
crimes graves, tal como definidos no direito nacional de cada Estado-Membro.24
Dos Fatos:
A Digital Rights Ireland Ltda, sociedade comercial de responsabilidade limitada, cujo
objeto estatutário é a promoção e a proteção dos direitos cívicos e dos direitos do homem, em
especial no universo das tecnologias de comunicação modernas, interpôs um recurso contra
dois ministros do Governo irlandês, The Minister for Communications, Marine and
NaturalResources e The Minister for Justice, Equality and Law Reform, o chefe da Polícia
irlandesa (The Commissioner of the Garda Síochána), a Irlanda, bem como contra o Attorney
General do Estado irlandês, no âmbito do qual alegou, no essencial, ser proprietária de um
telefone móvel, registrado em 3 de junho de 2006, que utilizava desde essa data, tendo as
autoridades irlandesas tratado, conservado e controlado, ilegalmente, os dados referentes às
suas comunicações.25
Consequentemente, a DRI pede, por um lado, a anulação dos diferentes atos de
direito interno que habilitaram as autoridades irlandesas a adotar medidas que
impunhamaos fornecedores de serviços de telecomunicação conservarem os dados de
telecomunicação, por entender que eram incompatíveis com a Constituição irlandesa e
com o direito da União. Por outro lado, pôs em causa a validade da Diretiva 2006/24, à
luz da Carta dos Direitos Fundamentais e/ou da Convenção Europeia para a Proteção
dos Direitos do Homem e das Liberdades Fundamentais esolicitou que o órgão
jurisdicional de reenvio submetesse ao Tribunal de Justiça diversas questões
prejudiciais para apreciação da validade da referida diretiva.26
Iremos aqui transpor as passagens mais importantes da decisão do TJUE, reproduzidas
do próprio acórdão estudado:
23
Acórdão Digital Rights (C-293/12). Disponível em:> http://curia.europa.eu/juris/liste.jsf?
language=pt&num=C-293/12< Acesso em 04 de maio de 2019.
24
RAMALHO, David Silva; COIMBRA, José Duarte. Declaração de invalidade da diretiva 2006/24/CE:
Presente e futuro da regulação sobre conservação de dados de tráfego para fins de investigação, deteção e
repressão de crimes graves. In Liber amicorum Manuel Simas Santos, 2016, p. 346.
25
Acórdão Digital Rights Ireland Ltda (C-293/12). Disponível em: http://curia.europa.eu/juris/liste.jsf?
language=pt&num=C-293/12< Acesso em 04 de maio de 2019.
26
Ibidem
12
Do Direito:
A High Court, considerando que não pode dirimir as questões relativas ao direito nacional
que lhe foram submetidas sem que a validade da Diretiva 2006/24 tenha sido apreciada,
decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões
prejudiciais:
1) A restrição dos direitos da recorrente, no que respeita à utilização da rede telefónica
móvel, resultante das exigências dos artigos 3.°, 4.° e 6.° da Diretiva 2006/24/CE é
incompatível com o artigo 5º, n.4, TUE, na medida em que é desproporcionada e
desnecessária ou inadequada para alcançar os objetivos legítimos de:
a) Assegurar que determinados dados sejam disponibilizados para efeitos de
investigação, deteção e repressão de crimes graves? e/ou
b) Assegurar o funcionamento adequado do mercado interno da União
Europeia?
1) Concretamente,
a) A Diretiva 2006/24/CE é compatível com o direito dos cidadãos de
circularem e permanecerem livremente no território dos Estados-Membros,
consagrado no artigo 21.o TFUE?
b) A Diretiva 2006/24/CE é compatível com o direito ao respeito pela vida
privada, consagrado no artigo 7º da Carta dos Direitos Fundamentais da União
Europeia e no artigo 8º da CEDH?
c) A Diretiva 2006/24/CE é compatível com o direito à proteção dos dados
pessoais, consagrado no artigo 8.o da Carta?
d) A Diretiva 2006/24/CE é compatível com o direito à liberdade de expressão,
consagrado no artigo 11º da Carta e no artigo 10º da CEDH?
e) A Diretiva 2006/24/CE é compatível com o direito a uma boa administração,
consagrado no artigo 41º da Carta?
27
Diretiva 2006/24 CE Artigo 3.o
Obrigação de conservação de dados
1. Em derrogação aos artigos 5º, 6º e 9º da Directiva 2002/58/CE, os
Estados-Membros devem tomar medidas para garantir a conservação,
em conformidade com as disposições dapresente directiva, dos dados
especificados, no artigo 5º da presente directiva, na medida em que
sejam gerados ou tratados no contexto da oferta dos serviços de
comunicações em causa por fornecedores de serviços de comunicações
electrónicas, publicamente, disponíveis ou de uma rede pública de
comunicações quando estes fornecedores estejam sob a sua jurisdição.
2. A obrigação de conservação de dados imposta no nº1 inclui a
conservação dos dados especificados no artigo 5ºA relativos a
27
Diretiva 2006/24 CE de 15 de março de 2006. Disponível em: > https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=CELEX%3A32006L0024< Acesso em 08 de maio de 2019.
13
28
Acórdão C-293/12 de 8 de abril de 2014 ( Digital Righs Ireland). Disponível em:> Acórdão Digital Rights
(C-293/12). Disponível em:> http://curia.europa.eu/juris/liste.jsf?language=pt&num=C-293/12< Acesso em 04
de maio de 2019.
29
Ibidem
14
própria história e, definitivamente, a sua memória, quer o presente, o que é vivido de maneira
mais ou menos imediata, e a consciência do que está vivendo (109). Ainda que seja difícil de
definir, há uma linha que separa o passado do presente, seguramente diferente para cada
pessoa. O que se afigura pouco discutível é a possibilidade de fazer uma distinção entre a
perceção do tempo presente e a perceção do tempo passado. Em cada uma destas perceções
pode intervir a consciência da sua própria vida, particularmente da «vida privada», como vida
«registada». E existe uma diferença consoante essa «vida registada» seja aquela que
consideramos como presente ou aquela que vivemos como a nossa própria história.
No item 149 o Tribunal citou a diferença entre vida presente e vida registrada
afirmando que a necessidade da ingerência na dimensão do tempo presente parecia
suficientemente justificada, porém, o que não havia quanto à vida registrada, já que não havia
nenhuma justificação para uma ingerência que se devesse estender ao tempo histórico. O
tribunal ressaltou também que existiam atividades criminais preparadas com muito tempo de
antecedência, mas que apenas esse argumento não era suficiente como defesa da
proporcionalidade do artigo 6.° da Diretiva 2006/24, ou seja, não havia nenhuma justificação
suficiente para que a duração da conservação de dados a fixar pelos Estados-Membros se
prolonga-se para além do limite de um ano.
Tendo assim, o tribunal concluído no item 152 que o artigo 6.° da Diretiva 2006/24
seria incompatível com artigos 7.° e 52.°, n.° 1, da Carta Fundamental na medida em que
impôs aos Estados-Membros que garantissem que os dados referidos no seu artigo 5.° fossem
conservados durante um período que poderia atingir até dois anos.
Conclusão30:
A Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de março de
2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços
de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações,
e que altera a Diretiva 2002/58/CE, é, no seu conjunto, incompatível com o artigo 52.°, n.° 1,
da Carta dos Direitos Fundamentais da União Europeia, na medida em que as restrições ao
exercício dos direitos fundamentais que comporta, devido à obrigação de conservação de
dados que impõe, não são acompanhadas pelos princípios indispensáveis que devem reger as
garantias necessárias para regular o acesso aos referidos dados e a sua exploração.
2) O artigo 6.° da Diretiva 2006/24 é incompatível com os artigos 7.° e 52.°, n.° 1, da
Carta dos Direitos Fundamentais da União Europeia, uma vez que impõe aos
Estados-Membros que garantam que os dados referidos no seu artigo 5.° sejam conservados
por um período cujo limite máximo é fixado em dois anos.
2º O Acórdão Shrems31
Decisão Porto Seguro:
No contexto das decisões de adequação da Comissão Europeia sobre a adequação do
nível de protecção de dados assegurado por um país terceiro, uma das mais relevantes foi a
Decisão 520/2000/CE32, designada como Decisão “Porto Seguro” (Safe Harbour Decision, no
30
Ibidem
31
Acordão Schrems (C-362/14) de 06 de outubro de 2015. Disponível em: > https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=CELEX%3A52015DC0566< Acesso em: 15 de maio de 2019.
32
Decisão 520/2000/CE (Decisão Porto Seguro)de 26 de julho de 2000. Disponível em :> https://eur-
lex.europa.eu/eli/dec/2000/520/2000-08-25?eliuri=eli%3Adec%3A2000%3A520%3A2000-08-25&locale=pt<
Acesso em 15 de maio de 2019.
16
original).
Adotada em 26 de Julho de 2000, reconhece, no seu art. 1º, n.º 1, que os princípios de
“porto seguro”, quando aplicados em conformidade com a orientação proporcionada pelas
questões mais frequentes (FAQ) emitidas pelo Departamento do Comércio dos EUA em 21
de Julho de 2000, conferem um nível de protecção adequado às transferências de dados
pessoais da UE para as organizações estabelecidas nos EUA.
Por força da decisão, foi permitido o livre fluxo de informações pessoais dos Estados-
Membros da UE para empresas estabelecidas nos EUA quando estas subscreviam os
princípios do “porto seguro” (art. 1.º, n.º 3).
Se tal não acontecesse, a transferência não se operaria por não respeitar as normas
europeias em termos da adequação do nível de protecção de dados, devido às diferenças
existentes entre EUA e a UE. De referir que, embora a assinatura dos compromissos que
constituiam a Decisão “Porto Seguro” fosse voluntária, as regras aí consagradas eram
vinculativas para todas as empresas que actuassem ao abrigo do mecanismo do “porto
seguro”.
Tal decisão é corolária da ausência de lei federal americana que harmonizasse a
transferência de dados pessoais da UE para os EUA, estes dependendo, unicamente, da quarta
emenda da Constituição americana que ficou incipiente diante das inúmeras inovações
tecnológicas.
A Questão Fática:
O Acórdão Schrems veio impedir que a Decisão “Porto Seguro” servisse de base legal
para a maioria das transferências de dados pessoais da UE para os EUA, ao declará-la
inválida por não oferecer garantias de protecção dos dados pessoais e garantias de meios em
caso de lesão dos dados pessoais.
Maximillian Schrems tornou-se conhecido por ter fundado, em 2011, a organização
não-governamental Europe versus Facebook, que se dedica a divulgar e a contestar as
práticas mais controversas, em matéria de protecção de dados pessoais e de respeito pela
privacidade dos seus utilizadores, da maior rede social a nível internacional, com cerca de 2
234 milhões de usuários activos e 25% de quota de mercado: o Facebook.33
O grupo surgiu quando, no decurso de uma investigação para um trabalho académico,
Schrems descobriu que o Facebook armazenava e utilizava os dados pessoais dos seus
utilizadores, inclusive informações que estes pensavam ter eliminado.
Posteriormente, e após tomar conhecimento que a empresa possibilitava aos cidadãos
europeus o exercício do direito de acesso às informações que lhes dissessem respeito e que
estivessem na posse do Facebook, tal como era imposto pela Decisão “Porto Seguro”,
Schrems avançou com um pedido à empresa norte-americana, para que esta lhe enviasse uma
cópia de todos os dados que possuísse sobre si.34
Em resposta, foram-lhe entregues, em formato de CD, mais de 1.200 páginas, com a
descrição detalhada de todos os seus movimentos no Facebook desde da sua adesão em 2008.
33
CHAFREY, Dave, “Global social media research summary 2016”, Smart Insights, 8 de Agosto de 2016.
Disponível em >http://www.smartinsights.com/social-media-marketing/social-media-strategy/new-global-social-
media-research/< Acesso em 27 de maio de 2019.
34
EUROPE VERSUS FACEBOOK, “Legal Procedure against “Facebook Ireland Limited”. Disponível em
>http://europe-v-facebook.org/EN/Complaints/complaints.html< Acesso em 28 de maio de 2019.
17
de no seu art.15, nº1 ela ter previsto exceções, como a segurança nacional e a prevenção,
deteção, investigação e repressão de crimes. Confidencialidade dos dados seria a regra e não
a exceção. A Diretiva abarcava não só a retenção, como também, o acesso aos dados dos
serviços de comunicação.49
O Tribunal de Justiça entendeu que as legislações nacionais não se coadunavam com a
proteção dos dados prevista pela diretiva 2002/58 quanto às limitações ao exercício destes
direitos da Carta Fundamental. Sobretudo, ao direito à privacidade, o que se pode evidenciar
do considerando 11 desta diretiva que estabelece que as medidas derrogatórias dos seus
princípios devem ser estritamente proporcionais ao objetivo pretendido, enquanto o próprio
artigo 15.º, n.º 1, especifica que a retenção deve ser "justificada" e ter um "período
limitado”.50
Embora o Tribunal de Justiça tivesse reconhecido que a luta contra a criminalidade
grave poderia depender de técnicas modernas de investigação para a sua eficácia, este
objetivo não justificaria a necessidade de uma legislação geral e indiscriminada para a
retenção de dados nesta luta contra a criminalidade. Observou, em particular, que tal
legislação se aplicava a pessoas para as quais “não havia provas capazes de sugerir que o
seu comportamento poderia ter uma conexão, mesmo indireta ou remota, com graves
infrações penais” e que nenhuma exceção fora feita para aqueles cujas comunicações
estavam sujeitas ao sigilo profissional. Em resultado destas falhas, o Tribunal considerou que
a legislação nacional excedia os limites do estritamente necessário e não poderia ser
considerada justificada ao abrigo do artigo 15.º, n.º 1, da diretiva 2002/58, à luz da Carta
Fundamental.51
O Tribunal de Justiça da UE não considerou, propriamente, que toda a retenção de
dados fosse ilegal. Salientou que o n.º 1 do artigo 15.º da diretiva 2002/58 não impedia que
um Estado-Membro introduzisse legislação que facilitasse a retenção orientada de dados de
tráfego e de localização para efeitos preventivos de combate a criminalidade grave. Essa
legislação deveria, porém, limitar-se ao estritamente necessário em termos das
categorias de dados retidos; os meios de comunicação afetados, as pessoas e o período de
tempo em questão. Em particular, tal legislação deveria indicar em que circunstâncias e
em que condições uma medida de conservação de dados poderia ser adotada como
medida preventiva.52
O Tribunal de Justiçada UE salientou ainda que, embora os contornos precisos
pudessem variar, a retenção de dados deveria obedecer a critérios objetivos que
estabelecessem uma ligação entre os dados a conservar e o objetivo buscado.
Consequentemente, a legislação nacional deveria basear-se em provas e estas provas
objetivas deveriam permitir identificar um público cujos dados pudessem revelar uma
ligação, pelo menos indireta, com infrações penais graves.53
Diretiva 2002/58/CE Artigo 15, nº1:54
Aplicação de determinadas disposições da Directiva 95/46 / CE
49
Ibidem
50
Ibidem
51
Ibid., p.2.
52
Ibidem
53
Ibid., p.3.
54
Diretiva 2002/58/CE de 12 de julho de 2002. Disponível em: > https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=CELEX%3A32002L0058< Acesso em 17 de maio de 2019.
21
outros períodos, da utilização desses mesmos dados pessoais para fins de prevenção,
investigação e repressão criminal.
Esta oscilação decorre da presença, ou não, de momentos em que a tranquilidade
social está ameaçada por acontecimentos que fragilizam a ideia de segurança e paz social,
como as infrações terroristas ou a criminalidade grave transfronteiriça. Quando tais momentos
de fragilidade social ocorrem, os interesses da comunidade se sobrepõe, sobremaneira, aos
interesses do indivíduo, sendo a presença do Estado requisitada nas questões de segurança.55
Segundo David da Silva Ramalho, as críticas ao texto da atual Diretiva 2016/681 já
vinham das redações e discussões anteriores, já que a aprovação da Diretiva PNR não deveu a
sua entrada na ordem jurídica da União Europeia apenas por ter se aproveitado da aprovação
do pacote de proteção de dados na mesma altura. A Diretiva PNR é uma legislação produto do
ambiente de terror existente na Europa em 2015 e 2016.56
Apesar do nível de violência em solo europeu não ser comparável a regiões em
conflito ou com relevante presença de agentes e organizações terroristas, a intensidade das
transmissões destes fenômenos na Europa pelos meios de comunicação social, os sentimentos
de proximidade e vizinhança e, talvez, a estranheza causada pelo terrorismo no Ocidente, inter
alia, têm condicionado fortemente as políticas nacionais e europeias no seu combate.57
É até razoável afirmar que, em circunstâncias distintas, esta legislação, diretamente,
tão intrusiva da intimidade dos cidadãos não passaria no crivo da proporcionalidade e da
necessidade nas discussões legislativas das instituições europeias. Aliás, a reprovação de 2013
é espelho disso mesmo.
Esta é uma legislação que dá um passo, extremamente, expressivo na monitorização
dos movimentos dos cidadãos europeus, possivelmente lesando as liberdades de circulação de
maneira contrária ao Direito da União supra-legal. Conforme pode se depreender do
considerando da Diretiva 2016/68158:
(7) A avaliação dos dados PNR permite identificar pessoas
insuspeitas de envolvimento em infrações terroristas ou
criminalidade grave antes de tal avaliação e que deverão ser
sujeitas a um controlo mais minucioso pelas autoridades
competentes. Através da utilização dos dados PNR é possível
fazer face à ameaça que representam as infrações terroristas e a
criminalidade grave numa perspetiva diferente da do tratamento
de outras categorias de dados pessoais. Contudo, a fim de
assegurar que o tratamento de dados PNR continue a restringir o
necessário, a fixação e a aplicação de critérios de avaliação
deverão limitar-se a infrações terroristas e à criminalidade grave
para as quais a utilização de tais critérios seja relevante. Além
55
SIEBER, Ulrich. International cooperation against terrorist use of the Internet. Revue internationale de droit
pénal, Toulouse, Nouvelle série a.77(3-4trimetres2006), p. 395
56
RAMALHO, David da Silva, Coimbra, José Duarte. A Declaração de invalidade da Diretiva 2006/24/CE:
Presente e futuro da regulação sobre conservação de dados de tráfego aéreo para fins de investigação, deteção e
repressão de crimes graves. Liber Amicorum Manuel Simas Santos, p.345
57
SIEBER, Ulrich. International cooperation against terrorist use of the Internet. Revue internationale de droit
pénal, Toulouse, Nouvelle série a.77(3-4trimetres2006), p.396
58
Diretiva 2016/681 de 27 de abril de 2016. Disponível em: >https://eur-lex.europa.eu/eli/dir/2016/681/oj<
Acesso em: 06 de junho de 2019.
23
Para que possamos abordar o tema dos dados PNR, sobretudo, para discutirmos a
legitimidade da sua recolha, conservação e transmissão, para fins de prevenção, investigação,
deteção e repressão criminal, às autoridades policiais, judiciárias e serviços de informação dos
Estados-membros europeus e de terceiros países, teremos que fazer um pequeno tour pelos
princípios constitucionais que são alcançados por esse meio invasivo de obtenção de dados
informáticos, que são os princípios da proporcionalidade e o da privacidade.
O princípio da proporcionalidade vem consagrado no artigo 52 da Carta dos direitos
fundamentais da União Europeia, como também no artigo 18, nº2 in fine, da Constituição
Portuguesa.
Artigo 52
Âmbito e interpretação dos direitos e dos princípios
1. Qualquer restrição ao exercício dos direitos e liberdades
reconhecidos pela presente Carta deve ser prevista por lei e
respeitar o conteúdo essencial desses direitos e liberdades. Na
observância do princípio da proporcionalidade, essas
restrições só podem ser introduzidas se forem necessárias e
corresponderem efetivamente a objetivos de interesse geral
reconhecidos pela União, ou à necessidade de proteção dos
direitos e liberdades de terceiros.
Artigo 18º, nº2, in fine:
(Força jurídica)
1. Os preceitos constitucionais respeitantes aos direitos,
liberdades e garantias são directamente aplicáveis e vinculam as
entidades públicas e privadas.
2. A lei só pode restringir os direitos, liberdades e garantias nos
casos expressamente previstos na Constituição, devendo as
restrições limitarem-se ao necessário para salvaguardar
outros direitos ou interesses constitucionalmente protegidos.
3. As leis restritivas de direitos, liberdades e garantias têm de
revestir carácter geral e abstracto e não podem ter efeito
retroactivo, nem diminuir a extensão e o alcance do conteúdo
essencial dos preceitos constitucionais.
O objetivo fundamental da Diretiva 2016/681 consiste em passar a ter à disposição das
polícias, autoridades judiciárias e serviços de Informação, bases de megadados, por longo
prazo, que permitam prevenir mais até do que reprimir, atos terroristas ou de criminalidade
grave, sobretudo, de origem internacional, por pessoas ainda não identificadas, nem sequer
como suspeitas (Considerandos 7 e 25 e Art.ºs 6.º e 12.º da Diretiva) o que se alcançará
criando uma base única nacional , gerida por uma Unidade de Informação de Passageiros e o
intercâmbio dos dados com outros Estados membros, diretamente ou através de Europol
(Art.ºs 4º e 10º) assim, poder-se-ão criar perfis de todos os passageiros de voos extra UE,
26
além de os correlacionar, inclusive, com outras bases de dados (Art.º 6.º n.º 3 alínea a).59
Essa conservação indiscriminada de dados por longo prazo de dados pessoais de todos
os cidadãos, sem distinção ou critério, independentemente, destes praticarem ou serem
suspeitos da prática de qualquer infração penal, transformando assim todos os indivíduos em
potenciais suspeitos da prática de crimes de terrorismo ou de outro tipo de criminalidade
grave está consentânea com o princípio da proporcionalidade e com o direito fundamental à
privacidade?
Segundo Robert Alexy60 tal como o subprincípio da adequação, o subprincípio da
necessidade refere-se à otimização das possibilidades factuais. A otimização das
possibilidades fácticas consiste em evitar os custos que podem ser evitados. Este princípio
exige que, entre dois meios igualmente aptos ou adequados a promover P1, se adote o que é
menos nocivo para P2, então a posição de P1 pode ser otimizada sem custos para P2.
Logo, para alexy aqui estar-se-ia tratando do subprincípio da necessidade, não
havendo necessidade da conservação indiscriminada de dados pessoais de todos os cidadãos,
por longo prazo, pois, esta alternativa não seria a menos custosa em relação a outras que
poderiam melhor satisfazer o objetivo da norma.61
Segundo Tiago Rolo Martins62, um crítico da teoria Alexyana, tanto a norma da
adequação, como a norma da necessidade são tautológicas, pois que tanto a adequação, como
a necessidade se impõem a si mesmas, independentemente, das suas prescrições.
Sendo assim, segundo este autor, o princípio da proporcionalidade centra-se no
princípio da proporcionalidade em sentido estrito que para evitar redundância, passa a
designar-se somente por princípio da proporcionalidade. A norma da proporcionalidade
prescreve que na prevalência de uma norma sobre outra, a satisfação da norma prevalecente
deve ser razoável perante a afectação que cria na norma preterida, ou seja, quanto maior for o
grau de não realização ou de afetação de um princípio, maior deve ser a importância da
realização do princípio colidente.63
Sendo assim, justifica-se através da argumentação jurídica essa grave interferência na
privacidade como ocorre no tratamento dado pela Diretiva 2016/681 a dados pessoais que
serão recolhidos, indiscriminadamente, e conservados por um elevado lapso temporal?
Acreditamos que não, já que a recolha e posterior conservação de todos esses dados
não se adequa a critérios de proporcionalidade, pois a conservação por um lapso de tempo
demasiado não leva em consideração os riscos que resultam de determinadas pessoas ou
situações.
Recolher e conservar dados pessoais de pessoas que nem suspeitas são de qualquer
crime, apenas para fins de análises preditivas ou de correlação com outros dados, fere,
gravemente, não só a privacidade, como também, a presunção de inocência daqueles que
forneceram tais dados sem nem saberem para que fins o fizeram. Tal interferência grave
nesses direitos fundamentais não implica, em contrapartida, uma maior realização da
59
Diretiva 2016/681 de 27 de abril de 2016. Disponível em: >https://eur-lex.europa.eu/eli/dir/2016/681/oj<
Acesso em: 06 de junho de 2019.
60
ALEXY, Robert. Direitos fundamentais e princípio da proporcionalidade. In: O direito, A. 146, nº 4, 2014, p.
821
61
Ibidem
62
MARTINS, Tiago Rolo. A configuração do princípio da proporcionalidade. Revista jurídica AAFDL, nº30.
Livraria AAFDL. Lisboa. 2016, p.440.
63
Ibidem, p.441.
27
64
CORREIA, Victor.Sobre o direito à privacidade in O Direito, Edições Almedina, ano 146. Coimbra. 2014,
p.10.
65
SARMENTO, Daniel. Interesses públicos versus interesses privados: desconstruindo o princípio da
supremacia do interesse público. 2006, p. 49.
66
CORREIA, Victor.Sobre o direito à privacidade in O Direito, Edições Almedina, ano 146. Coimbra. 2014, p.
11.
28
para além do, estritamente, necessário a assegurar a sua presença perante a Justiça.67
Na Diretiva 216/681 há a previsão no Considerando 7 da defesa do uso dos dados
PNR para fins policiais, ou seja, a utilização de tais dados na identificação de suspeitos de
infrações terroristas ou criminalidade grave, antes mesmo que pratiquem o ato criminoso.
Porém, tal utilização não poderá ultrapassar os objetivos dispostos na própria diretiva.
Gavin Robinson68 critica o uso de dados do PNR para os fins supra identificados, pois
permitem criar perfis e aplicar processos de data mining, que não identificam criminosos ou
terroristas, mas apenas antecipam possíveis ações criminosas, que podem não ter relação
com o terrorismo ou a criminalidade grave.
No que se refere ao equilíbrio entre privacidade e segurança, Georgio Nouskalis 69
chama a atenção para a mitigação do princípio da presunção de inocência, analisando o facto
de que a partir da Diretiva UE-PNR, a maioria das pessoas poderá ser considerada suspeita
de crimes, o que permitirá um contínuo Estado de Exceção, cujo fundamento seria a luta
contra o terrorismo.
Esta previsão ilimitada de recolha de dados pessoais de toda e qualquer pessoa que
tenha acesso a voos extra ou intra União Europeia, disposta na Diretiva 2016/681 e
reproduzida na lei 21/2019, vai de encontro ao princípio da presunção de inocência disposto
na Carta dos direitos fundamentais da União Europeia no seu artigo 48, como também, na
Convenção Europeia dos direitos humanos, artigo 6º, nº2.
4.3 Pseudoanonimização dos dados PNR
Na Diretiva 2016/681 o código de identificação do registo PNR não consta dos dados
a anonimizar, o que facilitaria muito a indexação.
A anonimização não é uma ferramenta eficaz no tocante à proteção dos dados pessoais
recolhidos e conservados numa base de dados conforme prevê a Diretiva PNR.
As razões que identificam esta ineficácia estão dispostas no Parecer 05/2014 do Grupo
do Artigo 29, de 10 de abril de 2014 que trata das regras técnicas de anonimização de
dados.70
Existem diferentes técnicas e práticas de anonimização, com graus variáveis de
robustez. O presente ponto incide sobre os principais elementos a considerar pelos
responsáveis pelo tratamento de dados na sua aplicação, tendo em conta, nomeadamente, a
garantia possível oferecida por determinada técnica atendendo ao estado da tecnologia atual
e tendo em conta três riscos que são fundamentais para a anonimização:71
• Identificação, que corresponde à possibilidade de isolar alguns ou todos os registos
que identifiquem uma pessoa num conjunto de dados;
67
PINA, Claudia Marina Verdial. A Presunção de inocência nas fases preliminares do processo penal:
Tramitação e actos decisórios. Dissertação de mestrado apresentada na Faculdade de Direito da Universidade
Nova de Lisboa. Lisboa. 2015, p. 4.
68
Robinson, Gavin. “Data protection reform, passenger name record and telecommunications data retention: –
Mass Surveillance Measures in the E. U. and the Need for a Comprehensive Legal Framework”, Critical
Quarterly for Legislation and Law/Revue critique trimestrielle de jurisprudence et de législation, vol. 95, n.º 4,
2012, pp. 394-416.
69
Nouskalis, Georgio. “Biometrics, e-identity, and the balance between security and privacy: case study of the
passenger name record (PNR) system”, ScientificWorldJournal, n.º 11, 2011 march 1, pp. 474-477.
70
Parecer 5/2014 do grupo de trabalho 29, p.12
71
Ibidem
29
CONCLUSÕES
Neste trabalho tratamos do tema dos dados PNR, que são aqueles dados pessoais que
as companhias aéreas são obrigadas a reter e transferir às autoridades públicas determinadas,
de acordo com a Diretiva 2016/681. Dados estes diferentes do API, sendo aqueles muito mais
completos quanto à individualização dos sujeitos que se submetem a fornecê-los.
Buscou-se evidenciar a questão polêmica que gira em torno das restrições que os
direitos fundamentais sofrem quando está em voga a questão da segurança pública e defesa
nacional. Os poderes de segurança ao aplicarem a lei podem influir no pleno exercício de
direitos fundamentais e princípios, tais como, o direito de privacidade, direito de proteção de
dados, os princípios da proporcionalidade e o da presunção de inocência.
É neste contexto que surgiram os dados PNR, como mais uma ferramenta das
modernas tecnologias, na busca de minimizar os riscos que as sociedades sofrem com os
crimes transnacionais. Percorreu-se desde a conceituação desses dados pessoais, a sua
comparação com os dados API e a sua natureza jurídica de meio de prova, mais,
especificamente, uma prova digital que entra no processo penal como prova documental.
Pretendeu-se aqui forncecer um quadro, o mais completo possível, do tratamento
75
Lei 109/2009
31
desses dados no ordenamento europeu, a partir da Diretiva 2016/681 e da lei 21/19, que é a
lei portuguesa que a transpôs.
O interesse maior desse estudo foi tentar demonstrar, de acordo com a jurisprudência
mais recente do Tribunal de Justiça da União Europeia, mais especificamente, os acórdãos
Digital Right Ireland, Shrems e Tele 2 Sverige, uma possível invalidade da nova Diretiva
2016/681, a diretiva que trata dos dados PNR, por esta ir de encontro ao que determinou o
Tribunal europeu e por estar a EU empenhada em assegurar um elevado nível de proteção
desses dados, como se pode inferir do art.16 do tratado de funcionamento da União Européia
e dos artigos 7º e 8º da Carta Europeia dos Direitos Fundamentais.
Este direito à proteção de dados pessoais é corolário do direito à privacidade, um
valor fundamental em sociedades democráticas européias, já tendo sido reconhecido na
Convenção Européia dos Direitos Humanos de 1950 (CEDHs.
A legitimidade, ou não, da utilização dos dados PNR para fins de prevenção,
investigação, deteção e repressão de infrações penais ou execução de sanções penais pelos
órgãos policiais e judiciários dos Estados membros da UE, a partir da análise da
jurisprudência do Tribunal de Justiça Europeu, trazendo à baila os acórdãos Digital rights
ireland, Schrems e Tele 2 Sverige, como também, o ordenamento jurídico norteador dessas
decisões foi o ponto central do trabalho, tendo-se chegado à conclusão de que a recolha e
posterior transferência para tratamento com fins de investigação, deteção e repressão pelas
autoridades determinadas pela Diretiva e pela lei que a transpôs, não é legítima nos moldes de
como é prevista.
A conclusão pela ilegitimidade e provável declaração de invalidade da Diretiva
2016/681, num eventual julgamento pelo Tribunal de Justiça, foi embasada não só pela
jurisprudência mais recente desse tribunal, que invocou a proteção do direito à privacidade e
ao princípio da proporcionalidade, no tocante à recolha massificada e indiscriminada de dados
que serão armazenados por um periodo de tempo desproporcional, mas também, pela questão
duvidosa que gira em torno da pseudonimização dos dados, processo este que não nos confere
uma certeza absoluta de que tais dados serão inutilizados, definitivamente, após seu uso.
Desta feita, entendemos pela invalidade da Diretiva 2016/681, devendo as autoridades
portuguesas lançarem mão da conservação expedita de dados informáticos armazenados,
como também, da busca e apreeensão de dados informáticos armazenados, artigos 16 e 19,
respectivamente, da lei do cibercrime quando se depararem com casos que envolvam a
recolha e acesso a esses dados pessoais.
REFERÊNCIAS