Relatório de Processo Penal

MESTRADO BOLONHA EM CIÊNCIA JURÍDICA
ESPECIALIDADE EM DIREITO PENAL E CIÊNCIAS CRIMINAIS
ROSEANE MIRANDA REZENDE DE BRITTO
A Ilegitimidade do acesso pelas autoridades policiais, judiciárias e serviços

de informação de países-membros da UE e de países terceiros aos dados
PNR para fins de prevenção, deteção, investigação e repressão criminal das
infrações terroristas e da criminalidade grave de acordo com a
jurisprudência do Tribunal de Justiça da UE.
Lisboa, outubro de 2019

Universidade de Lisboa
Faculdade de Direito
Mestrado Bolonha em Direito e Ciência Jurídica
Especialidade em Direito Penal e Ciências Criminais
Professores Doutores: Paulo de Sousa Mendes e Rui
Pereira
RELATÓRIO DE PROCESSO PENAL
A Ilegitimidade do acesso pelas autoridades policiais, judiciárias e serviços

de informação de países-membros da UE e de países terceiros aos dados
PNR para fins de prevenção, deteção, investigação e repressão criminal das
infrações terroristas e da criminalidade grave de acordo com a
jurisprudência do Tribunal de Justiça da UE.
Aluna: Roseane Miranda Rezende de Britto
Lisboa, outubro de 2019

Sumário
Introdução……………………………………………………………………………...1
1. Breves Considerações sobre o PNR……………………………………………… .3
1.1 Conceito………………………………………………………………………..3
1.2 API…………………………………………………………………………………….5
1.3 PNR: Meio de prova, meio de obtenção de prova, política criminal ou intelligence
criminal………………………………………………………………………………..6
2. O atual tratamento dos dados PNR no ordenamento europeu……………………..9
2.1 Diretiva 2016/681……………………………………………………………………..9
2.2 Lei 21/2019…………………………………………………………………………...10
1. A Jurisprudência do Tribunal de Justiça da EU ………………………………………….11
1.1 Acórdão Digital Rights Ireland e Seitlinger………………………………………….11
1.2 Acórdão Schrems……………………………………………………………………..15
1.3 Acórdão Tele 2 Sverige……………………………………………………………....18
3.4 Conclusões dos acórdãos comentados………………………………………………...21

2. Análise sobre a legitimidade da obrigatoriedade na recolha, conservação e posterior
transmissão dos dados PNR pelas companhias aéreas às autoridades policiais, judiciárias e
serviços de informação para fins de prevenção, deteção, investigação e repressão criminal
segundo à mais recente jurisprudência do tribunal de justiça da EU……………………..22
2.1 Constitucionalização da proteção dos dados………………………………………... 24
2.2 Princípio da proporcionalidade, privacidade e presunção de inocência……………...25
2.3 Pseudonimização dos dados PNR……………………………………………………28.
2.4 Invalidade da Diretiva 2016/681 e necessidade da observância da Convenção do
cibercrime e da lei 109/2009 para a admissibilidade da prova digital no processo penal
sem possibilidade de análises preditivas……………………………………………..29
Conclusões……………………………………………………………………………30
Referências……………………………………………………………………………32
RESUMO
A evolução tecnológica trouxe a reboque o crescimento de uma criminalidade transfronteiriça,

mais organizada e, tecnologicamente, mais avançada, como também, a disseminação de
infrações terroristas, inclusive no ambiente virtual. Com o crescimento dessa criminalidade
adveio, como contrapartida, a inovação de mecanismos pro-ativos e de prevenção para seu
combate. É nesta atmosfera que surgem os dados PNR, que são dados pessoais,
obrigatoriamente, transmitidos pelas companhias aéreas às unidades de informação de
passageiros dos estados-membros da união europeia, para o acesso das polícias, autoridades
judiciais e serviços de informação desses países, como mais uma forma de intelligence
criminal no combate à criminalidade grave e ao terrorismo. Sendo assim, o presente relatorio
abordará a questão da ilegitimidade da recolha, conservação e transmissão obrigatórias desses
dados PNR( passenger name record) por essas transportadoras aéreasàs autoridades policiais,
judiciárias e serviços de informação dos estados-membros da união europeia, como também,
dos países terceiros, para fins de prevenção, deteção, investigação e repressão criminal,
abordando-se a dicotomia segurança versus privacidade, a partir da análise do sistema de
proteção de dados existente na UE, do ordenamento jurídico internacional que orienta as
questões jurídicas no espaço europeu e a mais recente Diretiva 2016/681, denominada
Diretiva PNR, que vai reger tais transmissões às UIPs (unidade de informação de passageitos)
e, sobretudo, em constraste à mais recente jurisprudência do tribunal de justiça da união
européia.
ABSTRACT
Technological developments have brought the growth of cross-border, more organized and
technologically more advanced crime, as well as the spread of terrorist offenses, including in
the virtual environment. With the growth of this crime, as a counterpart, the innovation of
proactive and preventive mechanisms to combat it. It is in this atmosphere that the PNR data,
which are personal data, necessarily transmitted by the airlines to the passenger information
units of the member states of the European Union, appear for the access of the police and
information services of these countries as one more form criminal intelligence in combating
serious crime and terrorism. Accordingly, this report will address the issue of illegality or
illegality of the collection, maintenance and mandatory transmission of such PNR (passenger
name record) data by those air carriers to the police authorities and information services of the
member states of the European Union for the purpose of prevention , investigation and
criminal prosecution, addressing the security versus privacy dichotomy from the analysis of
the existing data protection system in the EU, the international legal order that guides legal
issues in the European area and the most recent Directive 2016/681 , called the PNR
Directive, which will govern such transmissions to the UIPs (Passengers Information Unit)
and, above all, in line with the most recent case law of the European Union Court of Justice.
1
INTRODUÇÃO
Sempre há uma tensão inevitável quando o combate à criminalidade alcança o núcleo
essencial dos direitos fundamentais. Os poderes de segurança quando aplicam a lei, buscam
cumprir suas tarefas, porém, o exercício de tais poderes pode interferir no exercício de alguns
direitos fundamentais, como, por exemplo, o direito à vida privada, bem como, o direito à
proteção dos dados pessoais de um indivíduo, implicando a necessidade que o exercício de
tais poderes seja pautado, fundamentalmente, pela proporcionalidade de suas ações no
objetivo que buscam atingir.
É neste horizonte que surge a questão sobre o passenger name record, o conjunto de
dados pessoais coletados de cada passageiro aéreo antes de suas viagens para fins de
investigação e repressão do terrorismo e da alta criminalidade transfronteiriça no espaço
europeu. Em contrapartida à esta situação, a EU está empenhada em assegurar um elevado
nível de proteção desses dados, como se pode inferir do art.16 do tratado de funcionamento da
União Européia e dos artigos 7º e 8º da Carta Europeia dos Direitos Fundamentais. Este
direito à proteção de dados pessoais é corolário do direito à privacidade, um valor
fundamental em sociedades democráticas européias, já tendo sido reconhecido na Convenção
Européia dos Direitos Humanos de 1950 (CEDH).
No dia 4 de maio houve a publicação da Diretiva 2016/681 da UE, de 27 de abril de
2016, relativa à utilização dos dados dos registros de identificação dos passageiros (PNR)
para efeitos de prevenção, deteção, investigação e repressão das infrações terroristas e da
criminalidade grave, fechando um processo legislativo longo que começou com o Programa
de Estocolmo do Conselho Europeu - “Uma Europa aberta e segura que sirva e proteja o
cidadão” (2010/C 115/01, de 4 de maio de 2010) , o qual resultou na Proposta de Diretiva
relativa à utilização dos dados dos registros de identificação dos passageiros para efeitos de
prevenção, deteção, investigação e repressão das infrações terroristas e da criminalidade grave
(COM(2011) 32 final, 4 de fevereiro de 2011), que ficou pelas Comissões do Parlamento
Europeu sem nada efetivo até então.
Este tema só foi reaberto com a Resolução do Parlamento Europeu sobre as medidas
de luta contra o terrorismo, de 11 de fevereiro de 2015, que teve como fonte próxima o
massacre do Charlie Hebdo, de 7 de janeiro, tal como a Agenda Europeia para a Segurança
(COM (2015) 185, de 28 de abril de 2015), sendo a sua adoção precipitada pelos atentados de
Paris, de 13 de novembro desse mesmo ano, com a Declaração Conjunta dos Chefes de
Estado e de Governo e dos Presidentes das Instituições da UE, de 14 de novembro e, em 2 de
dezembro, deu-se o acordo no triálogo sobre a Proposta de Diretiva PNR, com tais
precedentes: a Proposta de Decisão-Quadro relativa à utilização dos dados do Registro de
Identificação de Passageiros (Passenger Name Record – PNR) para efeitos de aplicação da lei
para fins de combate ao terrorismo e à criminalidade organizada (COM(2007) 654 final, de 6
de novembro de 2007.
Finalmente, assente no Art.º 16 do Tratado sobre o Funcionamento da UE e nos
Artigos 7 e 8 da Carta dos Direitos Fundamentais da União Europeia, desde o Tratado de
Lisboa, de 2007 e 2009 surgiu o Regulamento (UE) 2016/679, de 27 de abril de 2016, relativo
à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre
circulação desses dados e que revoga a Diretiva 95/46/CE (Regulamento geral de proteção de
dados),a Diretiva (UE) 2016/680, de 27 de abril de 2016, relativa à proteção das pessoas
singulares no que diz respeito ao tratamento de dados pessoais pelas autoridades competentes
para efeitos de prevenção, investigação, deteção ou repressão de infrações penais ou execução
2
de sanções penais, e à livre circulação desses dadose, por último, surge a Diretiva (UE)
2016/681 de 27 de abril de 2016 relativa à utilização dos dados dos registros de identificação
dos passageiros (PNR) para efeitos de prevenção, deteção, investigação e repressão das
infrações terroristas e da criminalidade grave. Por fim, ainda na análise deste relatório temos a
lei 21 de 2019 que transpôs para o direito português a diretiva 2016/681 sobre dados PNR.
É no contexto do microssistema de proteção de dados (Regulamento 2016/679 ,
Diretiva 2016/680 ), mais a Diretiva 2016/681 e a lei 21/2019, com enfoque nestes dois
diplomas, que se dará a discussão sobre a legitimidade ou não da utilização dos dados PNR
para fins de prevenção, investigação, deteção e repressão de infrações penais ou execução de
sanções penais pelos órgãos policiais e judiciários dos Estados membros da UE, a partir da
análise da jurisprudência do Tribunal de Justiça Europeu, trazendo à baila os acórdãos Digital
rights ireland, Schrems e Tele 2 Sverige, como também, o ordenamento jurídico norteador
dessas decisões.
3
1. BREVES CONSIDERAÇÕES SOBRE O PNR:

1.1 Conceito de PNR:
A expansão das tecnologias da comunicação e informação (TICs) e
adesterritorialização do crime são fenômenos que têm alçadouma crescente preocupação por
parte dos países, já que conforme bem nos ensina Ulrick Beck1 a sociedade de risco nos
assegura o progresso tão salutar para a evolução humana, mas também traz a reboque, uma
série de desvantagens que lhe são inerentes, impondo aos homens o enorme desafio de, ao
mesmo tempo, impulsionar a evolução tecnológica e tentar conter seus impactos negativos.
A universalização dos fenômenos globais trouxe o que podemos identificar como uma
“globalização do crime”, ou seja, a criminalidade não tem mais, unicamente, o semblante
nacional, muito pelo contrário, passandoa ser um problema transfronteiriço.
É neste contexto que se insere o Passenger Name Record. Tal designação se refere à
base de dados utilizada pelascompanhias aéreas e agências de viagens, através do registro das
viagens feitas por umapessoa, ou melhor, são os dados pessoais fornecidos pelos passageiros a
essas companhias, antes de suas viagens, e que ficam guardados por um certo período de
tempo. Conforme se depreende da própria Diretiva 2016/681:
Art.º 3º, 5 da Diretiva 2016/681: “um registo das formalidades
de viagem impostas a cada passageiro que contém as informações
necessárias para permitir o tratamento e o controlo das reservas feitas
pelas transportadoras aéreas participantes relativamente a cada viagem
reservada por uma pessoa ou em seu nome, quer o registo conste dos
sistemas de reserva, dos sistemas de controlo das partidas utilizado para
efetuar o controlo dos passageiros embarcados nos voos, ou de sistemas
equivalentes que ofereçam as mesmas funcionalidades”
Os dados são recolhidos de diversas formas, como, por exemplo, através de
reservasque podem ser criadas por organizações internacionais de vendas – global
distribution systems (GDS) que são tipos decomputer reservation systems (CRS), isto é,
umsistema informatizado de reservas com detalhes importantes do passenger name record
que em seguidasão transmitidos à respectiva transportadora aérea.
Os sistemas de reservas por computador (computer reservation system, CRS), são
sistemas informatizados cujo principal objetivo é gerir e armazenar as transações (ou
reservas) relacionadas com as viagens dos cidadãos. Originalmente desenvolvidos e utilizados
pelas companhias aéreas, mais tarde, seriam também adotados pelas agências de viagens
como principal meio de vendas.2
Global Distribution System (GDS) caracteriza-se por ser um sistema informatizado
global que possibilita todo um conjunto de transações e operações de consulta de
disponibilidade, tarifas e reservas entre os principais fornecedores de um determinado
produto/serviço e as agências de viagens e operadores turísticos. As agências de viagem e os
operadores turísticos apoiam-se nesta ferramenta como meio para construir e disponibilizar ao
consumidor final os seus produtos e serviços, viagem de avião, hotel, city break, excursão
1
BECK, Ulrich. Sociedade de Risco: rumo a uma outra modernidade. Tradução de Sebastião Nascimento. São
Paulo: Editora 34, 2010, p.101.
2
BRANCO, Margarida Lopes. A importância da criação da base de dados Passenger Name Record ( PNR) como
meio de investigação criminal na União Europeia. Dissertação de mestrado – Faculdade de Direito da
Universidade Autõnoma de Lisboa. Lisboa, 2016, p..39.
4
organizada, pacote de cruzeiro, entre outros. Os GDS mais conhecidos são o Galileu,
Amadeo, Sabre e Worldspan.3
Estes dados respeitam ao nome completo do passageiro; à sua data de nascimento;
àmorada de casa e do trabalho; ao seu número de telefone; ao seu endereço de e-mail;
àinformação que consta do passaporte; bem como do seu cartão de crédito ou à forma como
iráproceder ao pagamento da compra do bilhete; aos nomes e à informação pessoal dos
contactosde emergência e, ainda, quanto à data da viagem, o itinerário da mesma, a agência de
viagens através da qual o voo foi reservado e, também, quanto à preferência por uma outra
refeição que não aquela que será servida durante a viagem, ou até mesmo, quanto à
preferência do lugar no avião e também informações respeitantes à bagagem.
Para além destas, existem outras informações, também definidas no manual
IATA(Associação internacional de transporte aéreo), que podem ser incluídas no PNR, como
é o caso dos “serviços solicitados”, isto é, das necessidades alimentares e médicas especiais,
de informações relativas a menor não acompanhado e, até, quanto a pedidos de
assistência.Existem, ainda, informações que podem ser acrescentadas pelos agentes
dascompanhias aéreas, no campo “Observações Gerais” e que podem ser, igualmente,
armazenadas na base de dados PNR.4
Além disso, tanto o número como a natureza dessas informações do PNR varia se o
sistema de reservas for o utilizado durante a reserva inicial ou se for utilizado outro
mecanismo de recolha de dados, como é, por exemplo, o caso do – DCS –Departure Control
Systems. 5
Este sistema de controle de partida (DCS) é basicamente desenvolvido para a operação
de gerenciamento de aeroporto da Companhia Aérea. Ele gerencia as informações
relacionadas ao aeroporto da companhia aérea. Inclui a gestão do check-in no aeroporto,
impressão de cartões de embarque, aceitação de bagagem, embarque, etc. Mantém as reservas
do sistema de reservas de computador de uma companhia aérea para passageiros, que são
apresentadas no Passenger Name Record - PNR6
No DCS, as informações sobre os passageiros e sobre os próprios voos ficam apenas
disponíveis a partir do momento em que o voo é “aberto” para o check-in, isto é, até 48 horas
antes da partida, sendo que, as informações de controlo da partida para um voo
serãofinalizadas somente após o encerramento desse voo e podem permanecer disponíveis
entre 12 a 24 horas, após a chegada do voo ao seu destino.7
Cabe, ainda, referir que a base de dados PNR não inclui informações que indicam,
diretamente, a origem racial ou étnica, as opiniões políticas, as crenças religiosas ou
filosóficas do indivíduo, a sua filiação sindical, informações quanto à sua saúde ou, até
mesmo, informações respeitantes à sua vida sexual.
As informações do PNR são recolhidas em sistemas de reservas, dias, meses ou
mesmo um ano antes da data do voo. Desta forma, as informações dos sistemas de reserva são
dinâmicas, uma vez que a sua alteração se pode verificar a qualquer momento e,
continuadamente, a partir do momento em que o voo está aberto para reserva.
3
Ibidem, p.40.
4
Ibidem
5
Ibidem
6
Ibidem
7
Ibid, pág 41.
5
As informações da base de dados PNR ajudam os oficiais da Alfândega e Proteção de

Fronteiras a determinar quais os passageiros que representam risco e que, por isso, devem ser
sujeitos a uma inspeção adicional no local de partida ou de chegada e são eles os principais
utilizadores dessas informações, como também, os órgãos de segurança interna do país e as
suas autoridades judiciárias.
É, por isso, particularmente, importante que as informações sejam protegidas,
especialmente, quando um Estado obtém informações PNR, devendo limitar ao máximo a
utilização desses dados, para o efeito para o qual foram recolhidos; deve, igualmente,
restringir o acesso a tais dados; limitar o período de armazenamento dos mesmos, de acordo
com os fins para os quais os mesmos são transferidos; garantir que as pessoas possam solicitar
correções ou anotações quanto aos seus dados, caso seja necessário e, por último, assegurar
que os protocolos de transferência de dados e sistemas automatizados se encontram no local
apropriado para aceder ou receber os dados de acordo com as diretrizes próprias.
Devem, ainda, ser tomadas precauções contra o mau uso dos dados ou contra o abuso
na sua utilização por parte das autoridades estatais.
Para se evitar a divulgação não autorizada, cópia ou, até mesmo, utilização ou
alteração dos dados fornecidos a um Estado, o Estado receptor deve restringir o acesso a essa
informação e utilizar mecanismos de segurança reconhecidos, como por exemplo, através de
senhas de acesso, criptografia, entre outras, de modo a impedir o acesso não autorizado aos
dados PNR contidos nos seus sistemas de computadores e redes.
Atualmente encontram-se disponíveis dois sistemas possíveis de transferência de
dados PNR e são eles, o sistema de importação “pull”, segundo o qual as autoridades públicas
estatais, que solicitam os dados, podem aceder ao sistema de operador de aeronaves e extrair –
“pull”- uma cópia dos dados necessários através do banco de dados e o sistema de exportação
“push”, de acordo com o qual os operadores de aeronaves transmitem - “push” –, os dados de
PNR solicitados, para o banco de dados da autoridade requerente.8
Mais informações serão abordadas no tópico sobre o sistema europeu PNR, quando se
estudará a diretiva 2016/681 e a lei que a transpôs para o direito português, a lei 21/2019.
1.2 API
Segundo Constança Urbano de Souza os dados PNR são as informações fornecidas
pelos passageiros quando fazem uma reserva de um bilhete de avião, sendo recolhidos pelas
transportadoras para gerirem as reservas e o embarque. Incluem informações muito diversas
como datas e itinerário da viagem, contactos, agente de viagem onde o bilhete foi comprado,
número do lugar no avião ou os dados do pagamento. Distinguem-se dos dados API
(Advanced Passenger Information) contidos no passaporte, como nome, residência, local de
nascimento e nacionalidade de uma pessoa e que são disponibilizados às autoridades
europeias competentes em matéria de controlo de fronteiras e combate à imigração ilegal, nos
termos da Diretiva API9.
Podemos dizer que a análise e conservação sistemática dos dados PNR podem ser
utlizadas para fins de prevenção, deteção e investigação e repressão do terrorismo e da
criminalidade grave transnacional, já os dados API consubstanciam-se num meio de
8
Id. Ibid
9
SOUSA, Constança Urbano de. Segurança versus Privacidade: Breves Notas a propósito do Acordo UE-EUA
sobre a transmissão de dados PNR. In: Themis: Revista da Faculdade de Direito da Universidade Nova de
Lisboa, A.12 , nº22/23 (2012). Almedina: Lisboa, 2012, p.52.
6
identificação de passageiros e de controle de fronteiras.

Os dados PNR “quando são utilizados em tempo real e de forma pró-ativa são um
instrumento de “intelligence criminal”, que permite prevenir e detetar crimes, mediante uma
avaliação do risco dos passageiros, identificando “pessoas desconhecidas”, até ao momento
insuspeitas, mas que podem, pelo seu padrão de comportamento, estar a praticar um crime,
justificando assim a sua submissão a um controlo de segunda linha. Para esta finalidade, os
dados PNR são comparados com indicadores de risco, bem como com outras bases de dados.
Trata-se de uma avaliação de risco baseada no profiling.” (Constança Urbano de Sousa, 2014,
p. 54).
O Advanced Passenger Information (API) envolve a captura de dados biográficos dos
passageiros, bem como outros detalhes do voo, por parte da transportadora aérea antes da
partida, e que, posteriormente, os transmitirá, através de meios electrónicos, para as agências
de controle de fronteiras do país de destino.
São dados muito mais simples que os dados PNR no sentido da identificação dos
passageiros, por isso a Diretiva 2016/681 não se limitou à recolha apenas do API, incluindo o
PNR .
1.3 PNR: Meio de prova, meio de obtenção de prova, política criminal ou intelligence
criminal?
No entendimento de Aury Lopes Jr.10, a prova possui a função de convencimento do
magistrado, através de elementos de reconstrução do fato criminoso que criam condições para
“a atividade recognitiva do juiz acerca de um fato passado”.
Meios de prova são os meios utilizados pelas partes no processo para o convencimento
do juiz, que remontem à formação do fato criminoso, isto é, à sucessão de acontecimentos,
demonstrada dentro uma linha cronológica, referente ao delito cometido; esses elementos
probatórios servirão de base para a decisão que será tomada pelo magistrado. (Lopes Jr. 2008,
p.351).
Assim, os meios de prova podem ser considerados como a prova em si, aquela
produzida para remontar a história do cometimento da infração penal e para que a defesa ou a
acusação possa persuadir o juiz da “história contada” por cada um.
Meios de obtenção de prova são os meios que objetivam adquirir a prova em si,
servindo de instrumentos para o alcance desta; desse modo não são empregados para o
convencimento do magistrado, pois não são, como explica Lopes Jr. (2018, p.352), “fontes de
conhecimento”, mas sim “caminhos para chegar-se à prova”.
O PNR, por sua vez, consubstancia-se num conjunto de dados de identificação dos
passageiros aéreos, conforme se depreende da própria conceituação da diretiva 2016/681 em
seu artigo 3º, 5:
“Registo de identificação dos passageiros ou «PNR» (Passenger
Name Record), um registo das formalidades de viagem
impostas a cada passageiro que contém as informações
necessárias para permitir o tratamento e o controlo das reservas
feitas pelas transportadoras aéreas participantes relativamente a
cada viagem reservada por uma pessoa ou em seu nome, quer o
10
LOPES Jr., Aury. Direito Processual Penal. 13. Ed. São Paulo : Saraiva, 2016, pp. 197 e 198.
7
registo conste dos sistemas de reserva, dos sistemas de controlo

das partidas utilizado para efetuar o controlo dos passageiros
embarcados nos voos, ou de sistemas equivalentes que ofereçam
as mesmas funcionalidades”;
Esses dados podem ser considerados como dados informáticos, segundo a lei
109/2009 em seu artigo 2º:11
“Dados informáticos» qualquer representação de factos,
informações ou conceitos sob uma forma susceptível de
processamento num sistema informático, incluindo os
programas aptos a fazerem um sistema informático executar
uma função.
Ao longo desta mesma lei podemos diferenciar três modalidades de dados
informáticos: Os dados de base, os dados de tráfego e os dados de conteúdo. Os dados de
tráfego são os únicos definidos na lei, em seu artigo 2º, c:
“Dados de tráfego» os dados informáticos relacionados com
uma comunicação efectuada por meio de um sistema
informático, gerados por este sistema como elemento de uma
cadeia de comunicação, indicando a origem da comunicação, o
destino, o trajecto, a hora, a data, o tamanho, a duração ou o
tipo de serviço subjacente.
Quanto aos dados de conteúdo a mesma lei em seu artigo 16º, n.º 3 determina que:
“Dados ou documentos electrónicos cujo conteúdo seja
susceptível de revelar dados pessoais ou íntimos, que possam
por em causa a privacidade”
Os dados PNR são dados informáticos de conteúdo, pois veiculam informações de
cunho pessoal, pertinentes ao âmbito privado ou íntimo dos indivíduos, colocando em causa
a privacidade destes. Porém, estes mesmos dados podem vir a ser meios de provas e podem
ser admitidos como tal no processo penal. Esta prova digital entra no processo, se for
admitida, como prova documental para posterior valoração.
Por prova digital Silva Rodrigues entende como “qualquer tipo de informação, com
valor probatório, armazenada em repositórios eletrónico-digitais de armazenamento, ou
transmitida em sistemas e redes informáticas ou redes de comunicações eletrónicas, privadas
ou, publicamente, acessíveis, sob a forma binária ou digital”12
Por sua vez, Dias Ramos apresenta uma noção mais simples, classificando-a como
uma informação passível de ser extraída de um dispositivo eletrônico (local, virtual ou
remoto) ou de uma rede de comunicações. Pelo que esta prova digital, para além de ser
admissível, deve ser também autêntica, precisa e concreta13
Os dados PNR são dados de conteúdo criados em ambiente digital, ou seja, a recolha
desses dados pode ser utilizada para fins de investigação como prova digital produzida e que
11
Lei 109/2009 - Lei do Cibercrime
1211
RODRIGUES, Benjamim Silva, Direito Penal Parte Especial, Tomo I, Direito Penal Informático-
Digital (…), Coimbra, 2009, p. 722.
1312
RAMOS, Armando Dias, A Prova Digital em Processo Penal, Chiado Editora, 1.º ed. Novembro
2014, p. 86.
8
entra no processo como prova documental.

Segundo a Diretiva 2016/681, 6: “A utilização eficaz de dados PNR,
nomeadamente, mediante a sua comparação com várias bases de dados sobre as
pessoas e os objetos procurados a fim de obter provas e, se for caso disso, detetar
cúmplices de criminosos e desmantelar redes criminosas, é necessária para prevenir, detetar,
investigar e reprimir infrações terroristas e a criminalidade grave e, assim, reforçar a
segurança interna.”
Sendo assim, podemos concluir que da própria diretiva se pode depreender que os
dados de identificação dos passageiros recolhidos, pelas transportadoras aéreas ao tempo das
suas reservas e conservados durante determinado tempo, para fins de investigação criminal,
podem configurar meio de prova, como também, propiciar a identificação de eventuais
suspeitos de crimes, antes mesmo que qualquer crime ocorra.
Logo, além de poderem configurar meio de prova, os dados PNR são também
considerados meio de investigação ou instrumento de inteligência policial. O que vem a ser
inteligência policial?
São muitos os conceitos que envolvem a “atividade de inteligência”, os quais se
diferenciam pelo tipo de ação – se é mais estratégico ou operacional, ou pela doutrina
utilizada e o foco da instituição.
A maioria das acepções possui em comum a abordagem de determinados aspectos que
caracterizam a atividade, como o assessoramento ao poder decisório nos níveis estratégico,
tático e operacional; a produção de conhecimento; a proteção como forma de viabilizar o
assessoramento eficaz e eficiente e a busca de dados que possam ser utilizados para a
prevenção de fatos ou situações que, potencialmente, configuram uma ameaça.14
Segundo Brandão e Cepik15 a doutrina americana utiliza a expressão Intelligence
Criminal ou Law Enforcement Intelligence (Inteligência Criminal ou Inteligência para a
Imposição da Lei), o que nós denominamos de inteligência policial.
A polícia federal americana – Federal Bureau of Investigation (FBI) – define, de modo
mais estratégico e genérico, inteligência como aquela informação que foi, devidamente,
analisada e aperfeiçoada, com o objetivo de ser útil para os decisores políticos nas tomadas
de decisão.16
Já a Nacional Crime Agency (NCA), agência inglesa cuja missão é o combate às
organizações criminosas, conceitua inteligência como a informação recebida ou coletada em
resposta a perguntas específicas sobre quem, o que, onde, quando, como e por que o crime
organizado opera no Reino Unido17
Não podemos também nos furtar à conclusão de que a recolha e a conservação desses
14
CURADO, Henrique Os sistemas de inteligência num contexto de Homeland Defence e a tutela da
privacidade / Henrique Curado Segurança e defesa, Loures, n.17(Abr.-Jun. 2011), pp.32-37.
15
BRANDÃO, P., & Cepik, M. (Coord.). Inteligência de segurança pública: teoria e prática no
controle da criminalidade - Niterói, Rio de Janeiro: Editora Impetus, 2013, p. 120.
16
Federal Bureau of Investigation (FBI). Disponível em: https://www.fbi.gov/about/leadership-
andstructure/intelligence-branch. Acesso em 14 de maio de 2019.
17
Nacional Crime Agency. Disponível em: https://translate.google.com.br/translate?
hl=ptBR&sl=en&u=http://www.nationalcrimeagency.gov.uk/&prev=search. Acesso em 14 de maio de
2019.
9
dados PNR para fins de prevenção, investigação, prevenção e repressão criminal pelas
autoridades policiais e judiciárias dos Estados membros se inseriu na política criminal dos
órgãos decisórios da UE. Esta é uma legislação fruto do ambiente de terror que existia, de
certa maneira, na Europa em 2015 e 2016, após os ataques ocorridos em França. 18
Ricardo Rodrigues de Oliveira entende que apesar do nível de violência em solo
europeu não ser comparável a regiões em conflito, como o Oriente Médio, por exemplo, ou
com relevante presença de agentes e organizações terroristas, a intensidade das transmissões
destes fenômenos na Europa, pelos meios de comunicação social, os sentimentos de
proximidade e vizinhança e, talvez, o estranhamento de ver surgir o fenômeno do terrorismo
em solo ocidental têm influenciado fortemente as políticas nacionais e européias no seu
combate.19
É até razoável afirmar que, em circuntâncias normais, esta legislação, diretamente, tão
invasiva da intimidade dos cidadãos não passaria no crivo da proporcionalidade e da
necessidade nas discussões legislativas das instituições européias. Tal atmosfera fez com que
o PNR se inserisse na política criminal dos estados europeus no combate à criminalidade
grave e ao terrorismo.20
2. O Atual Tratamento dos Dados PNR no Ordenamento Europeu
2.1 Diretiva 2016/681
Esta diretiva foi publicada em 27 de abril de 2016, após muitas pressões e
negociações com os EUA, e avanços legislativos concernentes ao uso dos dados PNR no
combate à criminalidade terrorista e grave. Ela trata da recolha, conservação, tratamento e
posterior transmissão dos dados PNR pelas companhias aéreas aos órgãos policiais e
judiciários dos países membros da UE, como também, para terceiros países.21
Citaremos aqui algumas das inovações trazidas por essa Diretiva:
A primeira delas está disposta no Considerando 7, que prevê a defesa do uso dos
dados PNR para fins policiais, ou seja, a utilização de tais dados na identificação de suspeitos
de infrações terroristas ou criminalidade grave, antes mesmo que pratiquem o ato criminoso.
Porém, tal utilização não poderá ultrapassar os objetivos dispostos na própria diretiva.
Assim, no art. 1.º prevê-se que as transportadoras aéreas deverão transmitir os dados
do PNR de voos extra-UE e que estes dados serão recolhidos, tratados, utilizados e
conservados pelos Estados-Membros, que deverão trocar entre si informações dos resultados
obtidos.
Importa ainda verificar que, no art. 2.º, a Diretiva não afasta a obrigação de
transferência de dadosdo PNR também de voos intra-UE, sob notificação prévia por escrito
dos Estados-Membros à Comissão.
Nos termos do art. 4.º, estabelece-se que cada Estado-Membro deverá criar ou
1817
NINO, Michele. The protection of personal data in the fight against terrorism: New perspectives of
PNR European instruments in the light of the treaty of Lisbon, Utrecht Law Review, volume 6, Issue 1
(january), 2010, p. 63.
19
OLIVEIRA, Ricardo Rodrigues de. Birds flying high: A Diretiva (UE) 2016/681 e a proposta de Lei
137/XIII da Presidência do Conselho de Ministros, p.173.
20
Ibidem
21
Diretiva 2016/681 de 27 de abril de 2016. Disponível em: >https://eur-lex.europa.eu/eli/dir/2016/681/oj<
Acesso em: 29 de abril de 2019.
10
designar uma autoridade capaz de cumprir com os objetivos da Diretiva, a qual será nomeada
de “Unidade de Informações de Passageiros” (UIP).
A constituição da UIP, que poderá representar um ou mais estados-membros, deverá
ser notificada à Comissão no prazo de um mês após a sua constituição. Um responsável de
proteção de dados será designado pela UIP, tendo como competência o controlo do tratamento
dos dados do PNR e a aplicação das salvaguardas relevantes durante a atuação da Unidade.
Segundo o artigo 12º da diretiva, os Estados-Membros devem assegurar que os dados
PNR, fornecidos pelas transportadoras aéreas à UIP, sejam conservados numa base de dados
dessa UIP, por um prazo de cinco anos, contados a partir da sua transferência para a UIP do
Estado-Membro em cujo território o voo aterre ou de cujo território descole. Decorrido um
prazo de seis meses após a transferência dos dados PNR, todos os dados PNR são
anonimizados, mediante mascaramento.
Segundo o Considerando 16, os Estados-Membros adotam as medidas necessárias para
assegurar que as transportadoras aéreas transfiram, pelo método de exportação (push), os
dados PNR, enumerados no anexo I, na medida em que já tenham recolhido esses dados no
exercício normal das suas atividades, para a base de dados da UIP do Estado-Membro, em
cujo território, o voo aterrará ou do qual descolará.
O artigo 8º dispõe que as transportadoras aéreas devem transferir os dados PNR por
via eletrónica, utilizando protocolos comuns e formatos de dados reconhecidos, adotados pelo
procedimento de exame a que se refere o artigo 17º, nº2, ou, em caso de avaria técnica, por
quaisquer outros meios apropriados, que assegurem um nível adequado de segurança dos
dados: 24 a 48 horas antes da hora programada da partida do voo; e, imediatamente, após o
encerramento do voo, ou seja, logo que os passageiros se encontrem a bordo do avião
preparados para partir e o embarque ou desembarque já não seja possível.
No art.13, nº3 há a previsão de que diretiva não deve prejudicar a aplicabilidade da
Diretiva 95/46/CE do Parlamento Europeu e do Conselho ao tratamento dos dados pessoais
pelas transportadoras aéreas, em especial as suas obrigações de tomarem as medidas técnicas
e organizativas adequadas para proteger a segurança e confidencialidade dos dados pessoais.
No nº4 há a proibição do tratamento de dados PNR que revelem a raça ou origem
étnica da pessoa, as suas opiniões políticas, religião ou convicções filosóficas, filiação
sindical, saúde, vida ou orientação sexual, devendo as UIPs que os receberem apagarem
imediatamente.
2.2 Lei 21/2019 (Portugal)
Esta lei foi publicada em 25 de fevereiro de 2019 e transpôs a Diretiva 2016/681,
regulando a transferência, pelas transportadoras aéreas, dos dados dos registos de
identificação dos passageiros, bem como o tratamento desses dados e procedendo também à
terceira alteração à Lei n.º 53/2008, de 29 de agosto, que aprova a Lei de Segurança Interna.22
Além da previsão da execução das medidas previstas na Diretiva 2016/681, esta lei
traz a criação do Gabinete de Informações de Passageiros (GIP), dispondo, minuciosamente,
sobre suas funções, instalação, componentes etc. O GIP é a unidade nacional de informações
de passageiros, no Ponto Único de Contacto para a Cooperação Policial Internacional (PUC-
CPI).
22
Lei 21/2019 de 25 de fevereiro de 2019. Disponível em: >
https://dre.pt/home/-/dre/120108010/details/maximized< Acesso em: 03 de maio de 2019.
11
Esse gabinete é responsável pela recolha dos dados PNR junto das transportadoras
aéreas, pela conservação e pelo tratamento desses dados, bem como pela sua transferência ou
pela transferência dos resultados do seu tratamento às autoridades competentes, como também
pelo intercâmbio desses dados com outras UIPs de outros Estados-membros ecom a Europol.
Esta lei ainda prevê uma gradação de coimas às transportadoras aéreas que infringirem
s imposições nela previstas, coimas essas que vão de dez mil a cem mil euros.
3. Jurisprudência do Tribunal de Justiça da União Europeia
1º) O Acórdão Digital Rights Ireland:23
Na esteira das Diretivas 95/46/CE, 97/66/CE e 2002/58/CE, a Diretiva 2006/24 foi
aprovada com o intuito de consagrar a obrigação de os fornecedores de serviços de
comunicações eletrônicas publicamente disponíveis ou das redes públicas de comunicações
conservarem determinados dados por eles gerados ou tratados. Dados de tráfego ou de
localização (não de conteúdo), bem como, dados conexos necessários para identificar o
assinante ou utilizador dos serviços de comunicações eletrônicas por um período entre 6 e 24
meses, com vista a conservar tais dados para efeitos de investigação, deteção e repressão de
crimes graves, tal como definidos no direito nacional de cada Estado-Membro.24
Dos Fatos:
A Digital Rights Ireland Ltda, sociedade comercial de responsabilidade limitada, cujo
objeto estatutário é a promoção e a proteção dos direitos cívicos e dos direitos do homem, em
especial no universo das tecnologias de comunicação modernas, interpôs um recurso contra
dois ministros do Governo irlandês, The Minister for Communications, Marine and
NaturalResources e The Minister for Justice, Equality and Law Reform, o chefe da Polícia
irlandesa (The Commissioner of the Garda Síochána), a Irlanda, bem como contra o Attorney
General do Estado irlandês, no âmbito do qual alegou, no essencial, ser proprietária de um
telefone móvel, registrado em 3 de junho de 2006, que utilizava desde essa data, tendo as
autoridades irlandesas tratado, conservado e controlado, ilegalmente, os dados referentes às
suas comunicações.25
Consequentemente, a DRI pede, por um lado, a anulação dos diferentes atos de
direito interno que habilitaram as autoridades irlandesas a adotar medidas que
impunhamaos fornecedores de serviços de telecomunicação conservarem os dados de
telecomunicação, por entender que eram incompatíveis com a Constituição irlandesa e
com o direito da União. Por outro lado, pôs em causa a validade da Diretiva 2006/24, à
luz da Carta dos Direitos Fundamentais e/ou da Convenção Europeia para a Proteção
dos Direitos do Homem e das Liberdades Fundamentais esolicitou que o órgão
jurisdicional de reenvio submetesse ao Tribunal de Justiça diversas questões
prejudiciais para apreciação da validade da referida diretiva.26
Iremos aqui transpor as passagens mais importantes da decisão do TJUE, reproduzidas
do próprio acórdão estudado:
23
Acórdão Digital Rights (C-293/12). Disponível em:> http://curia.europa.eu/juris/liste.jsf?
language=pt&num=C-293/12< Acesso em 04 de maio de 2019.
24
RAMALHO, David Silva; COIMBRA, José Duarte. Declaração de invalidade da diretiva 2006/24/CE:
Presente e futuro da regulação sobre conservação de dados de tráfego para fins de investigação, deteção e
repressão de crimes graves. In Liber amicorum Manuel Simas Santos, 2016, p. 346.
25
Acórdão Digital Rights Ireland Ltda (C-293/12). Disponível em: http://curia.europa.eu/juris/liste.jsf?
language=pt&num=C-293/12< Acesso em 04 de maio de 2019.
26
Ibidem
12
Do Direito:
A High Court, considerando que não pode dirimir as questões relativas ao direito nacional
que lhe foram submetidas sem que a validade da Diretiva 2006/24 tenha sido apreciada,
decidiu suspender a instância e submeter ao Tribunal de Justiça as seguintes questões
prejudiciais:
1) A restrição dos direitos da recorrente, no que respeita à utilização da rede telefónica
móvel, resultante das exigências dos artigos 3.°, 4.° e 6.° da Diretiva 2006/24/CE é
incompatível com o artigo 5º, n.4, TUE, na medida em que é desproporcionada e
desnecessária ou inadequada para alcançar os objetivos legítimos de:
a) Assegurar que determinados dados sejam disponibilizados para efeitos de
investigação, deteção e repressão de crimes graves? e/ou
b) Assegurar o funcionamento adequado do mercado interno da União
Europeia?
1) Concretamente,
a) A Diretiva 2006/24/CE é compatível com o direito dos cidadãos de
circularem e permanecerem livremente no território dos Estados-Membros,
consagrado no artigo 21.o TFUE?
b) A Diretiva 2006/24/CE é compatível com o direito ao respeito pela vida
privada, consagrado no artigo 7º da Carta dos Direitos Fundamentais da União
Europeia e no artigo 8º da CEDH?
c) A Diretiva 2006/24/CE é compatível com o direito à proteção dos dados
pessoais, consagrado no artigo 8.o da Carta?
d) A Diretiva 2006/24/CE é compatível com o direito à liberdade de expressão,
consagrado no artigo 11º da Carta e no artigo 10º da CEDH?
e) A Diretiva 2006/24/CE é compatível com o direito a uma boa administração,
consagrado no artigo 41º da Carta?
27
Diretiva 2006/24 CE Artigo 3.o
Obrigação de conservação de dados
1. Em derrogação aos artigos 5º, 6º e 9º da Directiva 2002/58/CE, os
Estados-Membros devem tomar medidas para garantir a conservação,
em conformidade com as disposições dapresente directiva, dos dados
especificados, no artigo 5º da presente directiva, na medida em que
sejam gerados ou tratados no contexto da oferta dos serviços de
comunicações em causa por fornecedores de serviços de comunicações
electrónicas, publicamente, disponíveis ou de uma rede pública de
comunicações quando estes fornecedores estejam sob a sua jurisdição.
2. A obrigação de conservação de dados imposta no nº1 inclui a
conservação dos dados especificados no artigo 5ºA relativos a
27
Diretiva 2006/24 CE de 15 de março de 2006. Disponível em: > https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=CELEX%3A32006L0024< Acesso em 08 de maio de 2019.
13
chamadas telefónicas falhadas, quando gerados ou tratados, e

armazenados (no caso de dados telefónicos) ou registados (no caso de
dados da internet) por fornecedores de serviços de comunicações
electrónicas publicamente disponíveis, ou de uma rede pública de
comunicações, que estejam sob a jurisdição do Estado-membro em
questão, no contexto da oferta de serviços de comunicação. A presente
directiva não estabelece a conservação de dados relativos a chamadas
não estabelecidas.
Artigo 4.o
Acesso aos dados
Os Estados-Membros devem tomar medidas para assegurar que os
conservados em conformidade com a presente directiva só sejam
transmitidos às autoridades nacionais competentes em casos específicos
e de acordo com a legislação nacional. Os procedimentos que devem
ser seguidos e as condições que devem ser respeitadas para se ter
acesso a dados conservados de acordo com os requisitos da necessidade
e da proporcionalidade devem ser definidos por cada Estado-
Membro no respectivo direito nacional, sob reserva das disposições
pertinentes do Direito da União Europeia ou do Direito Internacional
Público, nomeadamentea CEDH na interpretação que lhe é dada pelo
Tribunal Europeudos Direitos do Homem.
Artigo 6.o
Períodos de conservação
Os Estados-Membros devem assegurar que as categorias de dadosno
artigo 5º sejam conservadas por períodos não inferiores a seis meses
e não superiores a dois anos, no máximo,a contar da data da
comunicação.
Após oito anos de vigência da Diretiva 2006/24, o tribunal de justiça da união
europeia decidiu invalidá-la, integralmente, com efeitos ex tunc, com base,
principalmente, no princípio da proporcionalidade, à luz dos artigos 7º, 8º e nº1do artigo
52 da Carta dos Direitos Fundamentais da União Europeia.
É à luz do princípio da proporcionalidade, no apontado segmento, que, no nº 65 do
Acórdão, se afirma que a Diretiva 2006/24 não estabelece regras claras e precisas que regulem
o alcance da ingerência nos direitos fundamentais consagrados nos artigos 7.° e 8.° da Carta.
Impõe-se pois concluir que esta diretiva comporta uma ingerência nestes direitos
fundamentais, de grande amplitude e particular gravidade na ordem jurídica da União, sem
que essa ingerência seja enquadrada com precisão por disposições que permitam garantir que
se limita efetivamente ao estritamente necessário» (nºs. 7 a 7.3 do corpo da alegação).28
Fundamentos da Decisão:29
28
Acórdão C-293/12 de 8 de abril de 2014 ( Digital Righs Ireland). Disponível em:> Acórdão Digital Rights
(C-293/12). Disponível em:> http://curia.europa.eu/juris/liste.jsf?language=pt&num=C-293/12< Acesso em 04
de maio de 2019.
29
Ibidem
14
Quanto ao Direito Fundamental à Privacidade

No item 72 da decisão os juízes entenderam que manter múltiplos dados em
gigantescas bases de dados, gerados ou tratados na maior parte das comunicações eletrônicas
dos cidadãos da União, constitui uma ingerência enorme na sua vida privada, apesar de serem
um controle retrospectivo, ameaçando assim, a privacidade dos cidadãos enquanto durar a
conservação de tais dados, propiciando, assim, um sentimento difuso de vigilância
permanente.
No item 74 da decisão, por sua vez, os juízes entenderam que os dados em causa não
são dados pessoais na acepção clássica do termo, referentes a informações pontuais sobre a
identidade das pessoas, mas dados pessoais, por assim dizer, qualificados, cuja exploração
pode permitir a cobertura cartográfica fiel e exaustiva de uma parte importante dos
comportamentos de uma pessoa abrangidos estritamente pela sua vida privada, ou até um
retrato completo e preciso da sua identidade privada.
Quanto à proporcionalidade na aceção do artigo 52.°, n.° 1 da Carta Fundamental dos
Direitos Fundamentais da UE
No item 133, os juízes entenderam que o artigo 52.°, n.° 1, da Carta exige, não apenas
que qualquer restrição ao exercício de direitos fundamentais seja prevista por lei, mas também
que esta se verifique no estrito respeito ao princípio da proporcionalidade. Esta exigência de
proporcionalidade, como já salientamos, adquire, no contexto da Carta, uma força especial,
que não tem no âmbito do artigo 5.°, n.° 4, TUE. Com efeito, aqui o pressuposto não é a
proporcionalidade enquanto princípio geral da atuação da União mas, muito mais
especificamente, a proporcionalidade enquanto requisito constitutivo de qualquer
restrição dos direitos fundamentais.
(141) O artigo 6.° da Diretiva 2006/24 fixa um dos elementos fundamentais da
conservação de dados que esta harmoniza ou, consoante o caso, institui o seu âmbito temporal
limitado. Com efeito, todos os dados conservados devem, em princípio, desaparecer com o
tempo, esclarecendo-se que não poderia ser de outro modo. Contudo, diversamente, do
princípio estabelecido pela Diretiva 2002/58, cujo artigo 6.°, n.° 1, prevê que os dados de
tráfego tratados e armazenados devem ser eliminados ou tornados anónimos quando deixem
de ser necessários para efeitos da transmissão de uma comunicação (107), a obrigação de
garantir o desaparecimento destes dados não se impõe de uma forma praticamente imediata,
mas apenas depois de decorrido um determinado lapso de tempo. Os Estados-Membros
devem assegurar a conservação dos dados recolhidos durante um período que, em caso
nenhum, pode ser inferior a seis meses e que, com a ressalva da derrogação prevista no
artigo 12.° da Diretiva 2006/24, não pode ser superior a dois anos, cabendo aos
legisladores nacionais a fixação concreta desta duração.
No item 144 houve o entendimento de que a acumulação de dados em locais
indeterminados do ciberespaço, como a que está em causa, que se refere sempre a pessoas
concretas e determinadas, tende, independentemente, da sua duração, a ser interpretada como
uma anomalia. Esse tipo de retenção de dados da vida privada nunca deveria existir e, a
existir, deveria ser apenas para tomar em consideração outros imperativos da vida social. Uma
situação como esta só pode ser excecional e, neste sentido, não se pode prolongar no tempo
mais do que o indispensável.
No item 146 o Tribunal entendeu que seria útil recordar que o ser humano vive a sua
existência num tempo por definição limitado para o qual convergem quer o passado, a sua
15
própria história e, definitivamente, a sua memória, quer o presente, o que é vivido de maneira
mais ou menos imediata, e a consciência do que está vivendo (109). Ainda que seja difícil de
definir, há uma linha que separa o passado do presente, seguramente diferente para cada
pessoa. O que se afigura pouco discutível é a possibilidade de fazer uma distinção entre a
perceção do tempo presente e a perceção do tempo passado. Em cada uma destas perceções
pode intervir a consciência da sua própria vida, particularmente da «vida privada», como vida
«registada». E existe uma diferença consoante essa «vida registada» seja aquela que
consideramos como presente ou aquela que vivemos como a nossa própria história.
No item 149 o Tribunal citou a diferença entre vida presente e vida registrada
afirmando que a necessidade da ingerência na dimensão do tempo presente parecia
suficientemente justificada, porém, o que não havia quanto à vida registrada, já que não havia
nenhuma justificação para uma ingerência que se devesse estender ao tempo histórico. O
tribunal ressaltou também que existiam atividades criminais preparadas com muito tempo de
antecedência, mas que apenas esse argumento não era suficiente como defesa da
proporcionalidade do artigo 6.° da Diretiva 2006/24, ou seja, não havia nenhuma justificação
suficiente para que a duração da conservação de dados a fixar pelos Estados-Membros se
prolonga-se para além do limite de um ano.
Tendo assim, o tribunal concluído no item 152 que o artigo 6.° da Diretiva 2006/24
seria incompatível com artigos 7.° e 52.°, n.° 1, da Carta Fundamental na medida em que
impôs aos Estados-Membros que garantissem que os dados referidos no seu artigo 5.° fossem
conservados durante um período que poderia atingir até dois anos.
Conclusão30:
A Diretiva 2006/24/CE do Parlamento Europeu e do Conselho, de 15 de março de
2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços
de comunicações eletrónicas publicamente disponíveis ou de redes públicas de comunicações,
e que altera a Diretiva 2002/58/CE, é, no seu conjunto, incompatível com o artigo 52.°, n.° 1,
da Carta dos Direitos Fundamentais da União Europeia, na medida em que as restrições ao
exercício dos direitos fundamentais que comporta, devido à obrigação de conservação de
dados que impõe, não são acompanhadas pelos princípios indispensáveis que devem reger as
garantias necessárias para regular o acesso aos referidos dados e a sua exploração.
2) O artigo 6.° da Diretiva 2006/24 é incompatível com os artigos 7.° e 52.°, n.° 1, da
Carta dos Direitos Fundamentais da União Europeia, uma vez que impõe aos
Estados-Membros que garantam que os dados referidos no seu artigo 5.° sejam conservados
por um período cujo limite máximo é fixado em dois anos.
2º O Acórdão Shrems31
Decisão Porto Seguro:
No contexto das decisões de adequação da Comissão Europeia sobre a adequação do
nível de protecção de dados assegurado por um país terceiro, uma das mais relevantes foi a
Decisão 520/2000/CE32, designada como Decisão “Porto Seguro” (Safe Harbour Decision, no
30
Ibidem
31
Acordão Schrems (C-362/14) de 06 de outubro de 2015. Disponível em: > https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=CELEX%3A52015DC0566< Acesso em: 15 de maio de 2019.
32
Decisão 520/2000/CE (Decisão Porto Seguro)de 26 de julho de 2000. Disponível em :> https://eur-
lex.europa.eu/eli/dec/2000/520/2000-08-25?eliuri=eli%3Adec%3A2000%3A520%3A2000-08-25&locale=pt<
Acesso em 15 de maio de 2019.
16
original).
Adotada em 26 de Julho de 2000, reconhece, no seu art. 1º, n.º 1, que os princípios de
“porto seguro”, quando aplicados em conformidade com a orientação proporcionada pelas
questões mais frequentes (FAQ) emitidas pelo Departamento do Comércio dos EUA em 21
de Julho de 2000, conferem um nível de protecção adequado às transferências de dados
pessoais da UE para as organizações estabelecidas nos EUA.
Por força da decisão, foi permitido o livre fluxo de informações pessoais dos Estados-
Membros da UE para empresas estabelecidas nos EUA quando estas subscreviam os
princípios do “porto seguro” (art. 1.º, n.º 3).
Se tal não acontecesse, a transferência não se operaria por não respeitar as normas
europeias em termos da adequação do nível de protecção de dados, devido às diferenças
existentes entre EUA e a UE. De referir que, embora a assinatura dos compromissos que
constituiam a Decisão “Porto Seguro” fosse voluntária, as regras aí consagradas eram
vinculativas para todas as empresas que actuassem ao abrigo do mecanismo do “porto
seguro”.
Tal decisão é corolária da ausência de lei federal americana que harmonizasse a
transferência de dados pessoais da UE para os EUA, estes dependendo, unicamente, da quarta
emenda da Constituição americana que ficou incipiente diante das inúmeras inovações
tecnológicas.
A Questão Fática:
O Acórdão Schrems veio impedir que a Decisão “Porto Seguro” servisse de base legal
para a maioria das transferências de dados pessoais da UE para os EUA, ao declará-la
inválida por não oferecer garantias de protecção dos dados pessoais e garantias de meios em
caso de lesão dos dados pessoais.
Maximillian Schrems tornou-se conhecido por ter fundado, em 2011, a organização
não-governamental Europe versus Facebook, que se dedica a divulgar e a contestar as
práticas mais controversas, em matéria de protecção de dados pessoais e de respeito pela
privacidade dos seus utilizadores, da maior rede social a nível internacional, com cerca de 2
234 milhões de usuários activos e 25% de quota de mercado: o Facebook.33
O grupo surgiu quando, no decurso de uma investigação para um trabalho académico,
Schrems descobriu que o Facebook armazenava e utilizava os dados pessoais dos seus
utilizadores, inclusive informações que estes pensavam ter eliminado.
Posteriormente, e após tomar conhecimento que a empresa possibilitava aos cidadãos
europeus o exercício do direito de acesso às informações que lhes dissessem respeito e que
estivessem na posse do Facebook, tal como era imposto pela Decisão “Porto Seguro”,
Schrems avançou com um pedido à empresa norte-americana, para que esta lhe enviasse uma
cópia de todos os dados que possuísse sobre si.34
Em resposta, foram-lhe entregues, em formato de CD, mais de 1.200 páginas, com a
descrição detalhada de todos os seus movimentos no Facebook desde da sua adesão em 2008.
33
CHAFREY, Dave, “Global social media research summary 2016”, Smart Insights, 8 de Agosto de 2016.
Disponível em >http://www.smartinsights.com/social-media-marketing/social-media-strategy/new-global-social-
media-research/< Acesso em 27 de maio de 2019.
34
EUROPE VERSUS FACEBOOK, “Legal Procedure against “Facebook Ireland Limited”. Disponível em
>http://europe-v-facebook.org/EN/Complaints/complaints.html< Acesso em 28 de maio de 2019.
17
Entre as informações recolhidas ao longo dos anos, constavam todas as amizades

feitas e desfeitas, todos os eventos a que tinha sido convidado e as respostas que deu, os
endereços dee-mails de contactos dos seus amigos que não tinham sido obtidos por si e todas
as conversas e mensagens, inclusive as que tinha apagado.
Uma vez que é na Irlanda que está localizada a filial europeia do Facebook, Schrems
decidiu denunciar a situação ao Data Protection Commissioner irlandês (Comissário irlandês
para a Protecção de Dados), acusando a empresa norte-americana de reter os dados que os
seus utilizadores tinham eliminado e de não lhe ter enviado todas as informações que
detinham sobre ele.
Schrems apresentou vinte e três queixas ao Comissário irlandês para a Protecção de
Dados (doravante, “Comissário”) em que questionava a política de privacidade do Facebook
Inc. Por não serem financeiramente viáveis e pela morosidade em obter uma decisão do
Comissário, o activista austríaco optou por desistir de vinte e duas das queixas que tinha
formulado.35
Na única que manteve, Schrems alegava que a Agência de Segurança Nacional norte-
americana (National Security Agency (NSA)) tinha acesso generalizado aos dados pessoais
dos cidadãos europeus que estavam na posse do Facebook Inc, após terem sido transferidos
pelo Facebook Ireland, no âmbito de um programa designado “PRISM”, onde o acesso em
massa a esses dados, por razões de espionagem, segurança nacional e outros assuntos e sem
que houvesse um motivo plausível, era consentido. 36 Será precisamente essa queixa que deu
origem ao Acórdão Schrems.
Em 25 de junho de 2013, Shrems apresentou queixa junto do Comissário irlandês para
a Protecção de Dados para que este, exercendo as suas competências estatutárias, proibisse a
filial Facebook Ireland de transferir os seus dados pessoais para a sede, Facebook Inc., que
ficava nos EUA. O comissário, por sua vez, entendeu por arquivar a queixa com base na
ausência de provas de que a NSA tivesse tido acesso aos dados pessoais de Schrems.37
Após isso, Schrems interpôs recurso ao High Court (Supremo Tribunal de Justiça
Irlândes), o qual entendeu que a Constituição irlandesa qualificava como contrário ao
princípio da proporcionalidade e aos direitos e liberdades fundamentais o acesso massivo e
indiscriminado a dados pessoais, salvo se o acesso fosse seletivo com base em interesse de
defesa nacional ou no combate à criminalidade, com garantias adequadas.
O High Court entendeu também que qualquer solução do caso passava pela
apreciação do direito da UE, designadamente dos arts. 7.º, 8.º e 47.º da Carta e dos arts. 25.º,
n.º 6, e 28.º da Diretiva 95/46, tendo em conta a decisão do acórdão Digital Rights Ireland.
Sendo assim, o High Court suspendeu a instância e enviou os autos ao TJUE.38
A Decisão
O TJUE constatou que os princípios de “porto seguro” eram apenas aplicáveis às
empresas norte-americanas auto certificadas que recebessem dados pessoais da UE, não
estando as autoridades públicas americanas sujeitas ao cumprimento desses princípios.
35
Ibidem
36
SCHREMS, Maximilian, “Complaint against Facebook Ireland Ltd – 23 “PRISM””, Viena, 25 de junho, 2013.
Disponível em >http://www.europe-v-facebook.org/prism/facebook.pdf/< Acesso em 28 de maio de 2019.
37
SILVA, Heraclides Sequeira dos Santos. A proteção de dados pessoais na era global: O caso Schrems.
Dissertação de mestrado na Universidade Nova de Lisboa. Lisboa, 2017, p. 37
38
Ibidem, p. 38
18
Observou ainda que, nessa decisão, não se encontravam referências suficientes à

forma como os EUA garantiam um nível de protecção adequado, por força da sua legislação
interna ou dos seus compromissos internacionais. Além disso, o parágrafo 4º do Anexo I da
decisão Porto Seguro previa a possibilidade de restringir a aplicabilidade dos princípios
mencionados por questões de segurança nacional, interesse público ou execução da lei.39
Portanto, quando constavam na legislação norte-americana, requisitos de segurança
nacional, interesse público ou execução da lei, que fossem incompatíveis com a aplicação dos
princípios de “porto seguro”, as organizações norte-americanas auto certificadas que
recebessem dados pessoais da EU, estavam obrigadas a favorecer a aplicação das regras
internas, afastando-se dos princípios conflitantes que constassem na Decisão “Porto
Seguro”.40
Por força da consagração do primado desses requisitos sobre os princípios de “porto
seguro”, gera-se a possibilidade de eventuais ingerências, fundadas nesses requisitos, nos
direitos fundamentais dos cidadãos europeus cujos dados tenham sido ou possam ser
transferidos para os EUA, não havendo na decisão Porto Seguro qualquer previsão legal, no
ordenamento americano, de limitação dessas ingerências pelas autoridades americanas.41
Diante de todos esses argumentos o TJUE entendeu por bem invalidar toda a Decisão
Porto Seguro.
3º) O Acórdão Tele 2 Sverige42
Foi uma decisão do Tribunal de Justiça da UE de 21 de dezembro de 2016 que
abordou questões prejudiciais concernentes à Diretiva 2002/58 ( dispõe sobre o tratamento
dos dados pessoais e a privacidade nos serviços de telecomunicações), já que a Diretiva
2006/24 teria sido invalidada por esse mesmo tribunal no acórdão digital rights Ireland.
Questões essas levantadas pelos tribunais nacionais sueco ( Tribunal Administrativo
de Segunda Instância de Estocolmo, Suécia) e inglês ( Court Appeal).
Partes: Tele2 Sverige AB contra Post-och telestyrelsen e Secretário de Estado do
Ministério do Interior contra Tom Watson e o. (Processos apensos C-203/15 e C-698/15).
Houve dois pedidos de consideração de questões prejudiciais ao tribunal de Justiça da
União europeia, com base no que dispõe o artigo 267º do tratado de funcionamento da união
europeia, com relação à interpretação do acórdão Digital Rights Ireland que invalidou a
diretiva 2006/24(DRI).
O primeiro caso judicial cujas questões prejudiciais foram levadas ao TJUE foi o caso
da Tele2 Sverige AB (fornecedor sueco de serviços de comunicações eletrônicas) contra a
Post-och telestyrelsen (Autoridade Sueca de Correios e Telecomunicações - autoridade
administrativa sueca organizada sob o Ministério das Empresas - autoridade do setor no
domínio das comunicações eletrônicas e dos serviços postais), tendo aquela empresa se
recusado de continuar a conservar os dados das comunicações eletrónicas, após a constatação
da DRI de que a Diretiva 2006/24 relativa à conservação de dados era inválida. 43
39
Ibidem, p. 46
40
Ibidem, p.48
41
Ibidem, p. 51
42
Acórdão Tele 2 Sverige de 21 de dezembro de 2016. Disponível em: > http://curia.europa.eu/juris/liste.jsf?
num=C-203/15< Acesso em 16 de maio de 2019.
43
LYNSKEY, Orla. Tele2 Sverige AB and Watson et al: Continuity and Radical Change . Disponível em >
https://europeanlawblog.eu/2017/01/12/tele2-sverige-ab-and-watson-et-al-continuity-and-radical-change/ <
19
Seguiu-se um litígio sobre a interpretação da DRI e o Ministro da Justiça sueco

encomendou um relatório para avaliar a compatibilidade da lei sueca com a legislação da UE
e a CEDH. Este relatório concluiu que a DRI não poderia ser interpretada como uma
proibição de retenção geral e indiscriminada de dados por uma questão de princípio, ou como
estabelecendo critérios - os quais deveriam ser cumpridos para que a legislação fosse
considerada proporcional. 44
Pelo contrário, considerou-se que era necessário proceder a uma avaliação de todas as
circunstâncias para determinar a compatibilidade da legislação sueca com o direito da UE. A
Tele2 Sverige sustentou, por sua vez, que o relatório se baseava numa má interpretação da
DRI. Tendo em conta estas diferentes perspetivas, o órgão jurisdicional de reenvio solicitou
ao Tribunal de Justiça que se pronunciasse sobre se a conservação geral e indiscriminada dos
dados das comunicações eletrônicas seria, per se, incompatível com os artigos7. °,8. ° e 52. °,
n. ° 1 da Carta Fundamental dos direitos da EU.45
O segundo caso judicial tem como partes o Secretário de Estado do Ministério do
Interior versus Tom Watson e outros. Watson e outros recorreram ao Tribunal de Recurso
pedindo a revisão judicial do DRIPA (Acto de Retenção e Investigação de Dados do Reino
Unido), alegando que este Acto era incompatível com a Carta da UE e com a CEDH. 46
Houve a discussão no tribunal nacional se a DRI estabeleceu «requisitos obrigatórios
da legislação da UE» que a legislação nacional em matéria de retenção e acesso a dados de
comunicações deveria respeitar. A corte de apelação britânica sugeriu que era correto
distinguir entre a legislação que regia a retenção e a legislação que regia o acesso. Para o
tribunal nacional a DRI limitou-se a uma avaliação do primeiro, ao avaliar a validade da
Diretiva de Retenção de Dados (2006/24), que excluía as disposições relativas ao acesso a
dados. Estas últimas, disposições relativas ao acesso a dados, segundo o tribunal deveriam ser
submetidas a uma avaliação de validade distinta, tendo em conta os diferentes contextos e
objetivos. 47
No entanto, o Tribunal de Recurso não considerou a resposta a esta questão óbvia,
uma vez que seis tribunais noutros Estados-Membros da UE tinham declarado a legislação
nacional inválida com base na DRI. Por conseguinte, reenviou algumas questões prejudiciais
ao Tribunal de justiça da UE e solicitou que este analisasse se, em primeiro lugar, a DRI
estabeleceria requisitos obrigatórios que a legislação dos estados-membros deveria seguir no
tocante ao regime que rege o acesso a dados retidos a nível nacional. Também perguntou se a
DRI expandiu o âmbito dos direitos da Carta à proteção de dados e à privacidade para além do
âmbito do artigo 8.º da CEDH. 48
Tendo sido invalidada a Diretiva 2006/24 pelo acórdão Digital Rights Ireland, a
análise do Tribunal de Justiça quanto à legislação nacional se faria em relação à Diretiva
2002/58 vigente.
O Tribunal entendeu assim que o objetivo geral da Directiva da Privacidade
Electrônica era oferecer aos utilizadores de serviços de comunicações electrônicas proteção
contra os riscos para os direitos fundamentais provocados pelos avanços tecnológicos, apesar
Acesso em 30 de maio de 2019, p.1.

44
Ibidem
45
Ibidem
46
Ibidem
47
Ibidem
48
Ibidem
20
de no seu art.15, nº1 ela ter previsto exceções, como a segurança nacional e a prevenção,
deteção, investigação e repressão de crimes. Confidencialidade dos dados seria a regra e não
a exceção. A Diretiva abarcava não só a retenção, como também, o acesso aos dados dos
serviços de comunicação.49
O Tribunal de Justiça entendeu que as legislações nacionais não se coadunavam com a
proteção dos dados prevista pela diretiva 2002/58 quanto às limitações ao exercício destes
direitos da Carta Fundamental. Sobretudo, ao direito à privacidade, o que se pode evidenciar
do considerando 11 desta diretiva que estabelece que as medidas derrogatórias dos seus
princípios devem ser estritamente proporcionais ao objetivo pretendido, enquanto o próprio
artigo 15.º, n.º 1, especifica que a retenção deve ser "justificada" e ter um "período
limitado”.50
Embora o Tribunal de Justiça tivesse reconhecido que a luta contra a criminalidade
grave poderia depender de técnicas modernas de investigação para a sua eficácia, este
objetivo não justificaria a necessidade de uma legislação geral e indiscriminada para a
retenção de dados nesta luta contra a criminalidade. Observou, em particular, que tal
legislação se aplicava a pessoas para as quais “não havia provas capazes de sugerir que o
seu comportamento poderia ter uma conexão, mesmo indireta ou remota, com graves
infrações penais” e que nenhuma exceção fora feita para aqueles cujas comunicações
estavam sujeitas ao sigilo profissional. Em resultado destas falhas, o Tribunal considerou que
a legislação nacional excedia os limites do estritamente necessário e não poderia ser
considerada justificada ao abrigo do artigo 15.º, n.º 1, da diretiva 2002/58, à luz da Carta
Fundamental.51
O Tribunal de Justiça da UE não considerou, propriamente, que toda a retenção de
dados fosse ilegal. Salientou que o n.º 1 do artigo 15.º da diretiva 2002/58 não impedia que
um Estado-Membro introduzisse legislação que facilitasse a retenção orientada de dados de
tráfego e de localização para efeitos preventivos de combate a criminalidade grave. Essa
legislação deveria, porém, limitar-se ao estritamente necessário em termos das
categorias de dados retidos; os meios de comunicação afetados, as pessoas e o período de
tempo em questão. Em particular, tal legislação deveria indicar em que circunstâncias e
em que condições uma medida de conservação de dados poderia ser adotada como
medida preventiva.52
O Tribunal de Justiçada UE salientou ainda que, embora os contornos precisos
pudessem variar, a retenção de dados deveria obedecer a critérios objetivos que
estabelecessem uma ligação entre os dados a conservar e o objetivo buscado.
Consequentemente, a legislação nacional deveria basear-se em provas e estas provas
objetivas deveriam permitir identificar um público cujos dados pudessem revelar uma
ligação, pelo menos indireta, com infrações penais graves.53
Diretiva 2002/58/CE Artigo 15, nº1:54
Aplicação de determinadas disposições da Directiva 95/46 / CE
49
Ibidem
50
Ibidem
51
Ibid., p.2.
52
Ibidem
53
Ibid., p.3.
54
Diretiva 2002/58/CE de 12 de julho de 2002. Disponível em: > https://eur-lex.europa.eu/legal-
content/PT/TXT/?uri=CELEX%3A32002L0058< Acesso em 17 de maio de 2019.
21
1. Os Estados-Membros podem adoptar medidas legislativas para

limitar o âmbito de aplicação dos direitos e obrigações previstos
no artigo 5.º, no artigo 6.º, nos n.os 1, 2, 3 e 4 do artigo 8.º e no
artigo 9.º da presente directiva. quando tais restrições constituam
uma medida necessária, adequada e proporcionada numa
sociedade democrática para salvaguardar a segurança nacional
(ou seja, a segurança do Estado), a defesa, a segurança pública e a
prevenção, investigação, deteção e repressão de infrações penais
ou do uso não autorizado das comunicações eletrónicas (…)
3.4 Principais conclusões inferidas dos acórdãos comentados:

Diante da análise das três decisões do Tribunal de Justiça da União Europeia podemos
inferir que em todas as decisões do Tribunal o tema da retenção e acesso a dados pessoais era
a questão central.
No acórdão Digital Rights Ireland houve a revogação da Diretiva 2006/54 por ser esta
no seu conjunto incompatível com o artigo 52.°, n.° 1, da Carta dos Direitos Fundamentais da
União Europeia, na medida em que as restrições ao exercício dos direitos fundamentais que
comporta, como a conservação de dados que impõe, não são acompanhadas pelos princípios
indispensáveis que devem reger as garantias necessárias para regular o acesso aos referidos
dados e a sua exploração.
No Schrems houve o cancelamento da decisão “Porto Seguro” por não oferecer
garantias de protecção dos dados pessoais e de meios em caso de lesão dos dados pessoais.
No acórdão Tele 2 Sverige também houve a determinação de que as legislações dos
Estados-membro no tocante à retenção de dados devessem obedecer a critérios objetivos que
estabelecessem uma ligação entre os dados a conservar e o objetivo buscado, explicitando
quais seriam as condições e circunstâncias precisas que poderia haver a retenção dos dados
pessoais, e, sobretudo, a determinação de um prazo limitado para esta conservação.
A discussão nos três leading cases gira em torno da ideia central de não observância
pelas diretivas ou legislações nacionais do princípio da proporcionalidade e dos direitos e
liberdades fundamentais, devido ao acesso massivo e indiscriminado de dados pessoais sem
qualquer seletividade baseada numa suspeita ou cometimento de um crime concretos.
A decisão Digital rights Ireland foi um marco para os outros dois acórdãos, os quais
só fizeram aprofundar ainda mais as questões pertinentes ao respeito às garantias
fundamentais dos cidadãos, como o direito de privacidade, frente à intromissão cada vez
maior das autoridades públicas nos seus dados pessoais, ingerências estas, baseadas na defesa
nacional. Porém, sem haver uma comprovação efetiva de que o acesso massivo e
indiscriminado desses dados pessoais tivesse qualquer relação efetiva com sujeitos suspeitos
de crimes ou com crimes já ocorridos.
4.Análise sobre a legitimidade da obrigatoriedade na recolha, conservação e posterior
transmissão dos dados PNR pelas companhias aéreas às autoridades policiais e aos
serviços de informação para fins de prevenção, deteção, investigação e repressão
criminal segundo à mais recente jurisprudência do tribunal de justiça da EU
A história recente da União Europeia tem demonstrado a prevalência, em certos
períodos, da reserva da intimidade da vida privada e da proteção dos dados pessoais e, em
22
outros períodos, da utilização desses mesmos dados pessoais para fins de prevenção,
investigação e repressão criminal.
Esta oscilação decorre da presença, ou não, de momentos em que a tranquilidade
social está ameaçada por acontecimentos que fragilizam a ideia de segurança e paz social,
como as infrações terroristas ou a criminalidade grave transfronteiriça. Quando tais momentos
de fragilidade social ocorrem, os interesses da comunidade se sobrepõe, sobremaneira, aos
interesses do indivíduo, sendo a presença do Estado requisitada nas questões de segurança.55
Segundo David da Silva Ramalho, as críticas ao texto da atual Diretiva 2016/681 já
vinham das redações e discussões anteriores, já que a aprovação da Diretiva PNR não deveu a
sua entrada na ordem jurídica da União Europeia apenas por ter se aproveitado da aprovação
do pacote de proteção de dados na mesma altura. A Diretiva PNR é uma legislação produto do
ambiente de terror existente na Europa em 2015 e 2016.56
Apesar do nível de violência em solo europeu não ser comparável a regiões em
conflito ou com relevante presença de agentes e organizações terroristas, a intensidade das
transmissões destes fenômenos na Europa pelos meios de comunicação social, os sentimentos
de proximidade e vizinhança e, talvez, a estranheza causada pelo terrorismo no Ocidente, inter
alia, têm condicionado fortemente as políticas nacionais e europeias no seu combate.57
É até razoável afirmar que, em circunstâncias distintas, esta legislação, diretamente,
tão intrusiva da intimidade dos cidadãos não passaria no crivo da proporcionalidade e da
necessidade nas discussões legislativas das instituições europeias. Aliás, a reprovação de 2013
é espelho disso mesmo.
Esta é uma legislação que dá um passo, extremamente, expressivo na monitorização
dos movimentos dos cidadãos europeus, possivelmente lesando as liberdades de circulação de
maneira contrária ao Direito da União supra-legal. Conforme pode se depreender do
considerando da Diretiva 2016/68158:
(7) A avaliação dos dados PNR permite identificar pessoas
insuspeitas de envolvimento em infrações terroristas ou
criminalidade grave antes de tal avaliação e que deverão ser
sujeitas a um controlo mais minucioso pelas autoridades
competentes. Através da utilização dos dados PNR é possível
fazer face à ameaça que representam as infrações terroristas e a
criminalidade grave numa perspetiva diferente da do tratamento
de outras categorias de dados pessoais. Contudo, a fim de
assegurar que o tratamento de dados PNR continue a restringir o
necessário, a fixação e a aplicação de critérios de avaliação
deverão limitar-se a infrações terroristas e à criminalidade grave
para as quais a utilização de tais critérios seja relevante. Além
55
SIEBER, Ulrich. International cooperation against terrorist use of the Internet. Revue internationale de droit
pénal, Toulouse, Nouvelle série a.77(3-4trimetres2006), p. 395
56
RAMALHO, David da Silva, Coimbra, José Duarte. A Declaração de invalidade da Diretiva 2006/24/CE:
Presente e futuro da regulação sobre conservação de dados de tráfego aéreo para fins de investigação, deteção e
repressão de crimes graves. Liber Amicorum Manuel Simas Santos, p.345
57
SIEBER, Ulrich. International cooperation against terrorist use of the Internet. Revue internationale de droit
pénal, Toulouse, Nouvelle série a.77(3-4trimetres2006), p.396
58
Acesso em: 06 de junho de 2019.
23
disso, os critérios de avaliação deverão ser definidos de modo a

reduzir ao mínimo o número de pessoas inocentes
incorretamente identificadas pelo sistema.
Esta legislação é um mecanismo que possibilita a transmissão
dos dados pessoais dos passageiros de transporte aéreo (por
agora) de voos extra-UE (por agora) por parte de UIPs para
autoridades competentes nos diversos Estados-Membros em
todos os voos para que se faça uma “avaliação dos passageiros
antes da sua chegada prevista (...) ou da sua partida prevista
(...), a fim de identificar as pessoas que, pelo facto de
poderem estar implicadas numa infração terrorista ou
numa forma de criminalidade grave, devem ser sujeitas a
um controlo mais minucioso” ou, caso a caso, através de
“pedidos, devidamente, fundamentados, baseados em motivos
suficientes (...) para fornecer e tratar dados PNR, em casos
específicos, para efeitos de prevenção, deteção, investigação e
repressão de infrações terroristas ou da criminalidade grave”
fora do âmbito restrito de uma investigação judiciária
autorizada ou mandatada por um tribunal ou órgão judicial
independente.
Não parece ser, totalmente, conducente com as “medidas
adequadas” de controlo que assegurem a “livre circulação de
pessoas” previstas nos termos do n.º 2 do art. 3º do Tratado de
Lisboa, nem com o direito de “qualquer cidadão da União (...)
de circular e permanecer livremente no território dos Estados-
membros” expresso no n.º 1 do art. 45º da CDFUE.
Para além destes “pedidos, devidamente, fundamentados,
baseados em motivos suficientes”, poderem redundar em
solicitações pró-forma das entidades nacionais — que poderão
nem sequer ser OPCs — justificadas em razões de natureza
investigatória que não são passíveis de controlo e verificação ex
ante pelas UIPs, pelas autoridades nacionais responsáveis pela
proteção de dados ou por um tribunal, esta legislação apresenta
ainda um risco potencial de contágio. O medo que infetou a sua
gênese já levou alguns Estados-Membros a aprovar legislação
PNR para outros meios de transporte e alguns países já
notificaram a Comissão quanto a quererem incluir os voos intra-
UE nas suas legislações internas.
A juntar aos riscos para a proteção das informações pessoais que representam aqueles
pedidos sem ‘fiscalização’, a verdade é que o sistema PNR não pode ser, em boa verdade,
imposto em todos os meios de transporte pelo que a eficiência e eficácia deste sistema, de um
ponto de vista global, estarão sempre comprometidas. Basta pensar nas inúmeras ligações
ferroviárias locais ou regionais que não requerem qualquer informação pessoal dos
passageiros para pensar em uma, de muitas, formas dos terroristas ou criminosos escaparem
totalmente a este sistema.
E mesmo que se impusesse esta medida a esses outros meios, seria (praticamente)
24
impossível processar os dados de todos os utentes em tempo útil.

De facto, será que colocar um manto de suspeição sobre todos os passageiros é a
forma mais adequada de combater o terrorismo e a criminalidade grave? Serão realmente úteis
os dados de milhares de não suspeitos para as potenciais investigações criminais que se
preveem, especialmente quando o sentido de oportunidade e a celeridade são, por vezes,
essenciais ao sucesso investigatório? As razões por detrás deste meio de obtenção de dados
estão truncadas pelo fumus de que há uma vontade de monitorização dos cidadãos por detrás
de tudo isto.
Aliás, nem sequer há relatórios públicos de proporcionalidade que demonstrem a
adequação de se impôr um sistema PNR em certos meios de transporte, quanto mais na
aviação civil (o meio de transporte já mais controlado e, quiçá, seguro que existe na
atualidade, deste ponto de vista), através do balanço entre a intrusão nos dados pessoais e os
efeitos, de facto, produzidos em termos de combate à criminalidade.
A proteção dos meios utilizados na aviação, nomeadamente os espaços aeroportuários
e as aeronaves, não é o objetivo específico desta legislação, ao contrário de outras normas
relacionadas.
A Diretiva não se restringe ao combate aos crimes praticáveis no e contra o airside
(espaço restrito) dos aeroportos e contra os aviões, mas a diversos tipos de criminalidade
grave e terrorismo. Ou seja, a ligação à aviação civil é meramente instrumental, sendo esta um
meio relativamente inócuo de obter grandes quantidades de dados pessoais. Inócuo no sentido
de que as rotinas de segurança que se desenvolveram ao longo dos anos em torno do
transporte aéreo, pela sua natureza, crescentemente, intrusiva, ‘entorpeceram’ a sensibilidade
tanto de viajantes como de políticos na balança entre a privacidade individual e o bem de
interesse público que é a segurança.
Donde, os dados PNR serão, provavelmente, encarados pela opinião pública, de forma
incorreta, como um mal necessário que deve ser acolhido sem relevante oposição ou
consternação, como se de mais um controlo se tratasse.
4.1) Constitucionalização da Proteção dos Dados
A constitucionalização da proteção dos dados verifica-se em Portugal no artigo 35 da
Constituição Portuguesa e na União Europeia está prevista no artigo 16 do Tratado de
funcionamento da União Europeia e no artigo 8º da Carta Fundamental.
Numa sociedade em rede, o equilíbrio entre os poderes e as liberdades passam pela
consideração da autodeterminação informacional, ou seja, a proteção dos dados alçou status
constitucional no ordenamento europeu, o que implica a extrema importânia dessa proteção
quando se pensa em mitigá-la por interesses securitários, o que implica lançar-se mão da
proporcionalidade entre a defesa desse direito fundamental e a gravidade de sua ingerência.
O que se deve compreender é que as questões sobre fins e meios devem estar sempre
em foco na análise da mitigação dos direitos fundamentais em um Estado de Direito.
As ações de prevenção e investigação devem ser legitimadas de acordo com a
observância dos direitos fundamentais dos investigados e arguidos, tendo sempre como
referência o princípio da proporcionalidade como vetor de possíveis mitigações.
4.2) Princípio da proporcionalidade na conservação dos dados, direito fundamental à
privacidade e presunção de inocência:
25
Para que possamos abordar o tema dos dados PNR, sobretudo, para discutirmos a
legitimidade da sua recolha, conservação e transmissão, para fins de prevenção, investigação,
deteção e repressão criminal, às autoridades policiais, judiciárias e serviços de informação dos
Estados-membros europeus e de terceiros países, teremos que fazer um pequeno tour pelos
princípios constitucionais que são alcançados por esse meio invasivo de obtenção de dados
informáticos, que são os princípios da proporcionalidade e o da privacidade.
O princípio da proporcionalidade vem consagrado no artigo 52 da Carta dos direitos
fundamentais da União Europeia, como também no artigo 18, nº2 in fine, da Constituição
Portuguesa.
Artigo 52
Âmbito e interpretação dos direitos e dos princípios
1. Qualquer restrição ao exercício dos direitos e liberdades
reconhecidos pela presente Carta deve ser prevista por lei e
respeitar o conteúdo essencial desses direitos e liberdades. Na
observância do princípio da proporcionalidade, essas
restrições só podem ser introduzidas se forem necessárias e
corresponderem efetivamente a objetivos de interesse geral
reconhecidos pela União, ou à necessidade de proteção dos
direitos e liberdades de terceiros.
Artigo 18º, nº2, in fine:
(Força jurídica)
1. Os preceitos constitucionais respeitantes aos direitos,
liberdades e garantias são directamente aplicáveis e vinculam as
entidades públicas e privadas.
2. A lei só pode restringir os direitos, liberdades e garantias nos
casos expressamente previstos na Constituição, devendo as
restrições limitarem-se ao necessário para salvaguardar
outros direitos ou interesses constitucionalmente protegidos.
3. As leis restritivas de direitos, liberdades e garantias têm de
revestir carácter geral e abstracto e não podem ter efeito
retroactivo, nem diminuir a extensão e o alcance do conteúdo
essencial dos preceitos constitucionais.
O objetivo fundamental da Diretiva 2016/681 consiste em passar a ter à disposição das
polícias, autoridades judiciárias e serviços de Informação, bases de megadados, por longo
prazo, que permitam prevenir mais até do que reprimir, atos terroristas ou de criminalidade
grave, sobretudo, de origem internacional, por pessoas ainda não identificadas, nem sequer
como suspeitas (Considerandos 7 e 25 e Art.ºs 6.º e 12.º da Diretiva) o que se alcançará
criando uma base única nacional , gerida por uma Unidade de Informação de Passageiros e o
intercâmbio dos dados com outros Estados membros, diretamente ou através de Europol
(Art.ºs 4º e 10º) assim, poder-se-ão criar perfis de todos os passageiros de voos extra UE,
26
além de os correlacionar, inclusive, com outras bases de dados (Art.º 6.º n.º 3 alínea a).59
Essa conservação indiscriminada de dados por longo prazo de dados pessoais de todos
os cidadãos, sem distinção ou critério, independentemente, destes praticarem ou serem
suspeitos da prática de qualquer infração penal, transformando assim todos os indivíduos em
potenciais suspeitos da prática de crimes de terrorismo ou de outro tipo de criminalidade
grave está consentânea com o princípio da proporcionalidade e com o direito fundamental à
privacidade?
Segundo Robert Alexy60 tal como o subprincípio da adequação, o subprincípio da
necessidade refere-se à otimização das possibilidades factuais. A otimização das
possibilidades fácticas consiste em evitar os custos que podem ser evitados. Este princípio
exige que, entre dois meios igualmente aptos ou adequados a promover P1, se adote o que é
menos nocivo para P2, então a posição de P1 pode ser otimizada sem custos para P2.
Logo, para alexy aqui estar-se-ia tratando do subprincípio da necessidade, não
havendo necessidade da conservação indiscriminada de dados pessoais de todos os cidadãos,
por longo prazo, pois, esta alternativa não seria a menos custosa em relação a outras que
poderiam melhor satisfazer o objetivo da norma.61
Segundo Tiago Rolo Martins62, um crítico da teoria Alexyana, tanto a norma da
adequação, como a norma da necessidade são tautológicas, pois que tanto a adequação, como
a necessidade se impõem a si mesmas, independentemente, das suas prescrições.
Sendo assim, segundo este autor, o princípio da proporcionalidade centra-se no
princípio da proporcionalidade em sentido estrito que para evitar redundância, passa a
designar-se somente por princípio da proporcionalidade. A norma da proporcionalidade
prescreve que na prevalência de uma norma sobre outra, a satisfação da norma prevalecente
deve ser razoável perante a afectação que cria na norma preterida, ou seja, quanto maior for o
grau de não realização ou de afetação de um princípio, maior deve ser a importância da
realização do princípio colidente.63
Sendo assim, justifica-se através da argumentação jurídica essa grave interferência na
privacidade como ocorre no tratamento dado pela Diretiva 2016/681 a dados pessoais que
serão recolhidos, indiscriminadamente, e conservados por um elevado lapso temporal?
Acreditamos que não, já que a recolha e posterior conservação de todos esses dados
não se adequa a critérios de proporcionalidade, pois a conservação por um lapso de tempo
demasiado não leva em consideração os riscos que resultam de determinadas pessoas ou
situações.
Recolher e conservar dados pessoais de pessoas que nem suspeitas são de qualquer
crime, apenas para fins de análises preditivas ou de correlação com outros dados, fere,
gravemente, não só a privacidade, como também, a presunção de inocência daqueles que
forneceram tais dados sem nem saberem para que fins o fizeram. Tal interferência grave
nesses direitos fundamentais não implica, em contrapartida, uma maior realização da
59
60
ALEXY, Robert. Direitos fundamentais e princípio da proporcionalidade. In: O direito, A. 146, nº 4, 2014, p.
821
61
Ibidem
62
MARTINS, Tiago Rolo. A configuração do princípio da proporcionalidade. Revista jurídica AAFDL, nº30.
Livraria AAFDL. Lisboa. 2016, p.440.
63
Ibidem, p.441.
27
preservação da segurança da sociedade.

No tocante à privacidade existe uma série de expressões e de dimensões de sua
vivência , variando seus conteúdos, culturalmente, como também, evoluindo, historicamente.
Sendo assim, pode-se dizer que na atualidade há uma verdadeira confusão entre os
campos privado e público, ou seja, o que era tido como público, hoje não o é mais e vice
versa, podendo-se, porém, evidenciar, com nitidez uma crescente publicização da esfera
privada, o que se denomina de “constitucionalização do direito privado”64.
Daniel Sarmento entende que com o surgimento do Estado social multiplicou-se a
intervenção do legislador no campo privado, assim como, a edição de normas de ordem
pública que limitam a autonomia privada dos sujeitos de direito em prol dos interesses
coletivos.65
Mesmo sendo a esfera privada de difícil conceituação, há meio que um consenso, pelo
menos no Ocidente, de um núcleo que possa ser certificado como tal que são: a informação
(proteção de dados), comunicação (inviolabilidade de correspondência, postal, informática e
de telefonemas), privacidade territorial (proteção contra invasão do lar, do escritório, etc.) e
intimidade corporal.
Em suma, privacidade é todo o conjunto de informações acerca do indivíduo, que ele
pode decidir manter sob seu exclusivo controle ou comunicar, decidindo a quem comunicar,
quando, como e onde. A privacidade significa a proteção de dados que tem a ver com
sentimentos e convicções pessoais , desde que não sejam prejudiciais para a sociedade. A
proteção de dados e a autodeterminação informativa não são mais que uma nova aplicação
jurídica do direito à privacidade.66
A recolha indiscriminada de dados pessoais, conforme prevêm a Diretiva 2016/681 e a
lei 21/2019 do sistema português, fere, claramente, esse direito fundamental.
A presunção de inocência é um princípio transversal e estruturante do processo penal.
Encontra-se na base do Direito Processual Penal tal como o conhecemos, coexistindo sobre o
mesmo uma abordagem, puramente, processual com outra, intrinsecamente, ligada à
dignidade da pessoa humana perante o poder punitivo do Estado.
A máxima que, processualmente, se identifica com a presunção de inocência
corresponde à declaração de que todos os cidadãos são considerados inocentes até que se
prove a sua culpa e tem como corolário que esta prova cabe à acusação e não ao visado.
Poderá procurar-se a origem remota desta máxima processual no Direito Romano,
com as regras probatórias que constam do Digesto - Ei incumbit probatio qui dicit, non qui
negat “ ou “ Semper in dubiis benigniora praeferenda sunt.”, na Bíblia - Livro de
Deuterónimo e no Direito Comum medieval. Porém, a sua consagração explícita num texto
legal apenas foi conseguida com a Revolução Francesa de 1789, na Declaração dos Direitos
do Homem e do Cidadão, que no seu art. 9.º refere, expressamente, que todo o homem é
considerado inocente até que seja declarada a sua culpa, não devendo ser utilizada a detenção
64
CORREIA, Victor.Sobre o direito à privacidade in O Direito, Edições Almedina, ano 146. Coimbra. 2014,
p.10.
65
SARMENTO, Daniel. Interesses públicos versus interesses privados: desconstruindo o princípio da
supremacia do interesse público. 2006, p. 49.
66
CORREIA, Victor.Sobre o direito à privacidade in O Direito, Edições Almedina, ano 146. Coimbra. 2014, p.
11.
28
para além do, estritamente, necessário a assegurar a sua presença perante a Justiça.67
Na Diretiva 216/681 há a previsão no Considerando 7 da defesa do uso dos dados
PNR para fins policiais, ou seja, a utilização de tais dados na identificação de suspeitos de
infrações terroristas ou criminalidade grave, antes mesmo que pratiquem o ato criminoso.
Porém, tal utilização não poderá ultrapassar os objetivos dispostos na própria diretiva.
Gavin Robinson68 critica o uso de dados do PNR para os fins supra identificados, pois
permitem criar perfis e aplicar processos de data mining, que não identificam criminosos ou
terroristas, mas apenas antecipam possíveis ações criminosas, que podem não ter relação
com o terrorismo ou a criminalidade grave.
No que se refere ao equilíbrio entre privacidade e segurança, Georgio Nouskalis 69
chama a atenção para a mitigação do princípio da presunção de inocência, analisando o facto
de que a partir da Diretiva UE-PNR, a maioria das pessoas poderá ser considerada suspeita
de crimes, o que permitirá um contínuo Estado de Exceção, cujo fundamento seria a luta
contra o terrorismo.
Esta previsão ilimitada de recolha de dados pessoais de toda e qualquer pessoa que
tenha acesso a voos extra ou intra União Europeia, disposta na Diretiva 2016/681 e
reproduzida na lei 21/2019, vai de encontro ao princípio da presunção de inocência disposto
na Carta dos direitos fundamentais da União Europeia no seu artigo 48, como também, na
Convenção Europeia dos direitos humanos, artigo 6º, nº2.
4.3 Pseudoanonimização dos dados PNR
Na Diretiva 2016/681 o código de identificação do registo PNR não consta dos dados
a anonimizar, o que facilitaria muito a indexação.
A anonimização não é uma ferramenta eficaz no tocante à proteção dos dados pessoais
recolhidos e conservados numa base de dados conforme prevê a Diretiva PNR.
As razões que identificam esta ineficácia estão dispostas no Parecer 05/2014 do Grupo
do Artigo 29, de 10 de abril de 2014 que trata das regras técnicas de anonimização de
dados.70
Existem diferentes técnicas e práticas de anonimização, com graus variáveis de
robustez. O presente ponto incide sobre os principais elementos a considerar pelos
responsáveis pelo tratamento de dados na sua aplicação, tendo em conta, nomeadamente, a
garantia possível oferecida por determinada técnica atendendo ao estado da tecnologia atual
e tendo em conta três riscos que são fundamentais para a anonimização:71
• Identificação, que corresponde à possibilidade de isolar alguns ou todos os registos
que identifiquem uma pessoa num conjunto de dados;
67
PINA, Claudia Marina Verdial. A Presunção de inocência nas fases preliminares do processo penal:
Tramitação e actos decisórios. Dissertação de mestrado apresentada na Faculdade de Direito da Universidade
Nova de Lisboa. Lisboa. 2015, p. 4.
68
Robinson, Gavin. “Data protection reform, passenger name record and telecommunications data retention: –
Mass Surveillance Measures in the E. U. and the Need for a Comprehensive Legal Framework”, Critical
Quarterly for Legislation and Law/Revue critique trimestrielle de jurisprudence et de législation, vol. 95, n.º 4,
2012, pp. 394-416.
69
Nouskalis, Georgio. “Biometrics, e-identity, and the balance between security and privacy: case study of the
passenger name record (PNR) system”, ScientificWorldJournal, n.º 11, 2011 march 1, pp. 474-477.
70
Parecer 5/2014 do grupo de trabalho 29, p.12
71
Ibidem
29
• Possibilidade de ligação, que representa a capacidade de ligar pelo menos dois

registos sobre a mesma pessoa ou um grupo de pessoas em causa (tanto na mesma base de
dados, como em duas bases de dados diferentes). Se um intruso conseguir estabelecer (por
exemplo, através da análise de correlação) que dois registos se encontram atribuídos a um
mesmo grupo de pessoas, mas não conseguir selecionar pessoas desse grupo, a técnica
fornece resistência contra «identificação», mas não contra a possibilidade de ligação;
• Inferência, que é a possibilidade de deduzir, com uma probabilidade significativa, o
valor de um atributo a partir dos valores de um conjunto de outros atributos.
Assim, uma solução contra estes três riscos seria robusta face a uma reidentificação
efetuada pela via mais provável e razoável passível de ser utilizada pelo responsável pelo
tratamento de dados e por terceiros.
O grupo de trabalho salienta, a este respeito, que as técnicas de desidentificação e
anonimização ainda estão a ser objeto de investigação e que esta investigação tem vindo a
mostrar sistematicamente que nenhuma técnica é, por si só, desprovida de lacunas. Em
termos gerais, existem duas abordagens distintas de anonimização de dados pessoais: a
primeira tem por base a aleatorização, enquanto a segunda se baseia na generalização. O
parecer também aborda outros conceitos, como a utilização de pseudónimos, privacidade
diferencial, l-diversidade e t-proximidade. 72
Além dessas questões fulcrais que foram analisadas pelo Tribunal de Justiça da União
Europeia nos leading cases já supra citados e estudados, há ainda outras questões de difícil
resolução que são a exclusão dos “ dados sensíveis ”, já que a Diretiva apenas se refere aos
diretos, sem ter em atenção aos dados que constam das “ observações gerais ” nem aos que
se inferem facilmente ( Art.ºs 6.º n.º 1 in fine e 13.º n.º4).73
Outra questão é a revisão dos resultados positivos que, por si só, não constitui uma
garantia real, atendendo ao modus operandi das Policias e da Intelligence, como nem sequer
está garantida a eliminação dos falsos positivos (Art.º 6.º n.ºs 4 e 5) e, por último, a questão
perigosa da desnecessidade de determinação por autoridade judicial ou por outra autoridade
nacional competente ao acesso completo dos dados (Art.º 3.º 10) e Art.º 12.º n.ºs 2 e 3), pois
as ferramentas de Big Data o possibilitam imediatamente.74
4.5 Invalidade da Diretiva 2016/681e necessidade da observância da Convenção do
cibercrime e da lei 109/2009 para a admissibilidade da prova digital no processo penal
(impossibilidade de análises preditivas)
O TJUE ainda não se deparou com as questões controvertidas pertinentes à Diretiva
2016/681, as quais poderão ser questionadas judicialmente num futuro próximo. Porém, a
partir da análise da jurisprudência mais recente deste tribunal, podemos arriscar a dizer que tal
Diretiva, quando confrontada, terá grandes chances de ser declarada inválida por todas as
questões já repisadas neste breve trabalho.
Ainda que não se tenha tal declaração de invalidade pelo TJUE, entendemos que
diante das incongruências existentes na própria Diretiva 2016/681, a melhor solução para se
assegurar um tratamento consentâneo com a Carta dos direitos fundamentais e com a
Convenção Europeia dos direitos humanos é a aplicação pelo sistema português da lei
72
Ibidem, p.13
73
74
Ibidem
30
109/2009, a lei do cibercrime no tocante a situações específicas e determinadas, através da

conservação expedita de dados e/ou busca e apreensão de dados armazenados e não,
genericamente ou indiscriminadamente, como o quer a Diretiva.
A lei 109/2009 no seu artigo 1º estabelece as disposições penais materiais e
processuais, bem como as disposições relativas à cooperação internacional em matéria penal,
relativas ao domínio do cibercrime e da recolha de prova em suporte electrónico, transpondo
para a ordem jurídica interna a Decisão Quadro n.º 2005/222/JAI, do Conselho, de 24 de
Fevereiro, relativa a ataques contra sistemas de informação, e adaptando o direito interno à
Convenção sobre Cibercrime do Conselho da Europa.75
Com a jurisprudência mais recente do TJUE, como oAcórdão Tele2 Sverige (Processo
C 203/15) sobre os poderes legislativos dos Estados membros , no que se refere aos
metadados relativos a comunicações eletrónicas, dando continuidade e aprofundando os
Acórdãos Digital RightsIreland e Schrems, o tribunal de Luxemburgo rejeitou uma releitura
política securitária das normas dos Tratados, incluindo a da Carta dos Direitos Fundamentais,
reiterando que a conservação de todos os dados não se adequa a critérios de proporcionalidade
,isto é, sem ter em consideração os riscos que resultam de determinadas pessoas ou situações
determinadas. Sendo assim, se infere desses julgados a restrição efetiva das possibilidades de
receber, conservar e tratar dados PNR, conforme prevê a Diretiva 2016/681, já que tais
possibilidades foram limitadas por critérios objetivos e quase sem utilidade para dar lugar a
análises preditivas nas restantes situações.
É aí que se devem invocar as previsões da lei do cibercrime, devendo as Polícias dos
Estados membros utilizar os instrumentos legais previstos, como a conservação expedita de
dados informáticos armazenados e/ou a busca e apreensão de dados informáticos
armazenados, artigos 16.º e 19.º, com as correspondentes garantias (artigo 15º), o que
permitiria apreender os dados conservados pelas companhias aéreas e os GDS , com pouca
utilidade para realizar análises preditivas.
CONCLUSÕES
Neste trabalho tratamos do tema dos dados PNR, que são aqueles dados pessoais que
as companhias aéreas são obrigadas a reter e transferir às autoridades públicas determinadas,
de acordo com a Diretiva 2016/681. Dados estes diferentes do API, sendo aqueles muito mais
completos quanto à individualização dos sujeitos que se submetem a fornecê-los.
Buscou-se evidenciar a questão polêmica que gira em torno das restrições que os
direitos fundamentais sofrem quando está em voga a questão da segurança pública e defesa
nacional. Os poderes de segurança ao aplicarem a lei podem influir no pleno exercício de
direitos fundamentais e princípios, tais como, o direito de privacidade, direito de proteção de
dados, os princípios da proporcionalidade e o da presunção de inocência.
É neste contexto que surgiram os dados PNR, como mais uma ferramenta das
modernas tecnologias, na busca de minimizar os riscos que as sociedades sofrem com os
crimes transnacionais. Percorreu-se desde a conceituação desses dados pessoais, a sua
comparação com os dados API e a sua natureza jurídica de meio de prova, mais,
especificamente, uma prova digital que entra no processo penal como prova documental.
Pretendeu-se aqui forncecer um quadro, o mais completo possível, do tratamento
75
Lei 109/2009
31
desses dados no ordenamento europeu, a partir da Diretiva 2016/681 e da lei 21/19, que é a
lei portuguesa que a transpôs.
O interesse maior desse estudo foi tentar demonstrar, de acordo com a jurisprudência
mais recente do Tribunal de Justiça da União Europeia, mais especificamente, os acórdãos
Digital Right Ireland, Shrems e Tele 2 Sverige, uma possível invalidade da nova Diretiva
2016/681, a diretiva que trata dos dados PNR, por esta ir de encontro ao que determinou o
Tribunal europeu e por estar a EU empenhada em assegurar um elevado nível de proteção
desses dados, como se pode inferir do art.16 do tratado de funcionamento da União Européia
e dos artigos 7º e 8º da Carta Europeia dos Direitos Fundamentais.
Este direito à proteção de dados pessoais é corolário do direito à privacidade, um
valor fundamental em sociedades democráticas européias, já tendo sido reconhecido na
Convenção Européia dos Direitos Humanos de 1950 (CEDHs.
A legitimidade, ou não, da utilização dos dados PNR para fins de prevenção,
investigação, deteção e repressão de infrações penais ou execução de sanções penais pelos
órgãos policiais e judiciários dos Estados membros da UE, a partir da análise da
jurisprudência do Tribunal de Justiça Europeu, trazendo à baila os acórdãos Digital rights
ireland, Schrems e Tele 2 Sverige, como também, o ordenamento jurídico norteador dessas
decisões foi o ponto central do trabalho, tendo-se chegado à conclusão de que a recolha e
posterior transferência para tratamento com fins de investigação, deteção e repressão pelas
autoridades determinadas pela Diretiva e pela lei que a transpôs, não é legítima nos moldes de
como é prevista.
A conclusão pela ilegitimidade e provável declaração de invalidade da Diretiva
2016/681, num eventual julgamento pelo Tribunal de Justiça, foi embasada não só pela
jurisprudência mais recente desse tribunal, que invocou a proteção do direito à privacidade e
ao princípio da proporcionalidade, no tocante à recolha massificada e indiscriminada de dados
que serão armazenados por um periodo de tempo desproporcional, mas também, pela questão
duvidosa que gira em torno da pseudonimização dos dados, processo este que não nos confere
uma certeza absoluta de que tais dados serão inutilizados, definitivamente, após seu uso.
Desta feita, entendemos pela invalidade da Diretiva 2016/681, devendo as autoridades
portuguesas lançarem mão da conservação expedita de dados informáticos armazenados,
como também, da busca e apreeensão de dados informáticos armazenados, artigos 16 e 19,
respectivamente, da lei do cibercrime quando se depararem com casos que envolvam a
recolha e acesso a esses dados pessoais.
REFERÊNCIAS
ALEXY, Robert. Direitos fundamentais e princípio da proporcionalidade. In: O direito, A.

146, nº 4, 2014.
BATISTI, Leonir. Presunção de inocência: apreciação dogmática e nos instrumentos

internacionais e constituições do Brasil e Portugal. Tese, 2007.
CARUANA, Mireille M : A reforma da proteção de dados da EU - enquadramento no
contexto do sector da justiça criminal da polícia e harmonização, o escopo, a supervisão e
32
fiscalização. Revista Internacional de Direito, Informática e Tecnologia, DOI: 10,1080

/13600869.2017.1370224Acesso online desse artigo
http://dx.doi.org/10.1080/13600869.2017.137022/ consulta em 18 de abril de 2019.
CORREIA, Victor.Sobre o direito à privacidade in O Direito, Edições Almedina, ano 146.
Coimbra. 2014.
CURADO, Henrique. Os sistemas de inteligência num contexto de Homeland Defence e a
tutela da privacidade / Henrique Curado Segurança e defesa, Loures, n.17(Abr.-Jun. 2011),
p.32-37.
DUARTE, Jorge Silva Sampaio. Proportionality in law: an analytical perspective . Ed. lit. ,
2018
GUERRA, Sidney. O direito à privacidade na internet: Uma discussão da esfera privada no
mundo globalizado. Tese, 2004.
GUIMARÃES, Claúdio Alberto Gabriel e Silva, Quezia Jemima Custódio Neto da. O
princípio da presunção de inocência como pressuposto básico de vigência do Estado
democrático de direito. In: O direito no século XXI: estudos em homenagem ao ministro
Edson Vidigal. Analítico, 2008.
LYNSKEY, Orla. Tele2 Sverige AB and Watson et al: Continuity and Radical Change .
Acesso online desse artigo https://europeanlawblog.eu/2017/01/12/tele2-sverige-ab-and-
watson-et-al-continuity-and-radical-change/ consulta em 30 de maio de 2019.
MARTINS, Tiago Rolo. A configuração do princípio da proporcionalidade e a sua
aplicação na ponderação de normas de direitos fundamentais / a fórmula da
proporcionalidade. In: Revista Jurídica da Associação Académica da Faculdade de Direito
de Lisboa, nº 30, 2016.
NOUSKALIS, G., “Biometrics, e-Identity, and the Balance between Security and Privacy:
Case Study of the Passenger Name Record (PNR) System”, in The Scientific World
Journal, 2011.
OLIVEIRA, Ricardo Rodrigues de, Birds flying high: A Diretiva (UE) 2016/681 e a
proposta de Lei 137/XIII da Presidência do Conselho de Ministros. PP. 173-200.
PAIS, Sofia Oliveira, Direito da União Europeia, Legislação e Jurisprudência
Fundamentais,2ª Edição, Lisboa: QuidJuris, 2013.
PAPAKONSTANTINOU, Vagelis; Hert, Paul de, “The PNR
Agreementandtransatlanticanti-terrorismco-operation: no firmHumanRights Framework
oneithersideoftheAtlantic”, Common Market Law Review, 46, Issue 3, pp. 885-919, 2009.
RAMALHO, David da Silva, Coimbra, José Duarte. A Declaração de invalidade da
Diretiva 2006/24/CE: Presente e futuro da regulação sobre conservação de dados de
tráfego aéreo para fins de investigação, deteção e repressão de crimes graves. Liber
Amicorum Manuel Simas Santos. Pag.345-393.
RODRIGUEZ, Vergara Diaz, Á: 2006, Derechos Fundamentales, lucha antiterrorista y
espacio europeo de libertad, seguridad y justicia (de nuevo em torno de las listas
antiterroristas y la intimidad de los usurarios de líneas aéreas), Revista de Derecho de la
Unión Europea, n.10 1er semestre 2006. PP. 223-229.
33
SARMENTO, Daniel. Interesses públicos versus interesses privados: desconstruindo o

princípio da supremacia do interesse público. 2006.
SIEBER, Ulrich. Instruments of International Law: Against Terrorist Use of the Internet.
Sieber, Ulrich. War on Terror? 2010, p171-219.
SIEBER, Ulrich. International cooperation against terrorist use of the Internet. Revue
internationale de droit pénal, Toulouse, Nouvelle série a.77(3-4trimetres2006), p.395-451
SILVA, Heraclides Sequeira dos Santos. A proteção de dados pessoais na era global: O
caso Schrems. Dissertação de mestrado na Universidade Nova de Lisboa. Lisboa, 2017.
SOUZA, Constança Urbano de. Segurança Versus Privacidade: Breves notas a propósito do
acordo UE-EUA sobre a transmissão de dados PNR (PassengerName Record), Coimbra:
Almedina, 2013;
SYLVESTRE, FabioZech. O direito à privacidade em face do interesse público: uma
análise sob a perspectiva da teoria geral dos direitos fundamentais. Tese, 2011.
VAZ, Ana. Segurança da informação, proteção da privacidade e dos dados pessoais / Ana
Vaz - Nação e defesa, Lisboa, n.117(Verão2007), p.35-63.
• Legislação:
1. Carta Fundamental da UE- arts.7º e 8º
2. Tratado de Lisboa
3. Tratado de funcionamento da UE – art.16º, art.82 e art.87
4. Convenção do cibercrime (Budapeste)
5. Lei 109/2009
5. Diretiva 2016/680
6. Diretiva 2016/681
7. Lei 21/2019
• Jurisprudência: TJUE
1. Acórdão de 8 de abril/2014 que invalidou a Diretiva 2006/24/CE- Acórdão Digital
RightsIreland (processos apensos: C293/12 e C594/12)
2. Acórdão de 6 de outubro/2015 que invalidou a Decisão 2000/500/CE – Caso
Schrems
6. Acórdão Tele2 Sverige (Processo C-203/15), de 21 de dezembro de 2016.

Relatório de Processo Penal

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Relatório de Processo Penal

Enviado por

Direitos autorais:

Formatos disponíveis

MESTRADO BOLONHA EM CIÊNCIA JURÍDICA

ESPECIALIDADE EM DIREITO PENAL E CIÊNCIAS CRIMINAIS

ROSEANE MIRANDA REZENDE DE BRITTO

A Ilegitimidade do acesso pelas autoridades policiais, judiciárias e serviços

Lisboa, outubro de 2019

RELATÓRIO DE PROCESSO PENAL

A Ilegitimidade do acesso pelas autoridades policiais, judiciárias e serviços

Aluna: Roseane Miranda Rezende de Britto

Lisboa, outubro de 2019

3.4 Conclusões dos acórdãos comentados………………………………………………...21

A evolução tecnológica trouxe a reboque o crescimento de uma criminalidade transfronteiriça,

1. BREVES CONSIDERAÇÕES SOBRE O PNR:

As informações da base de dados PNR ajudam os oficiais da Alfândega e Proteção de

identificação de passageiros e de controle de fronteiras.

registo conste dos sistemas de reserva, dos sistemas de controlo

entra no processo como prova documental.

chamadas telefónicas falhadas, quando gerados ou tratados, e

Quanto ao Direito Fundamental à Privacidade

Entre as informações recolhidas ao longo dos anos, constavam todas as amizades

Observou ainda que, nessa decisão, não se encontravam referências suficientes à

Seguiu-se um litígio sobre a interpretação da DRI e o Ministro da Justiça sueco

Acesso em 30 de maio de 2019, p.1.

1. Os Estados-Membros podem adoptar medidas legislativas para

3.4 Principais conclusões inferidas dos acórdãos comentados:

disso, os critérios de avaliação deverão ser definidos de modo a

impossível processar os dados de todos os utentes em tempo útil.

preservação da segurança da sociedade.

• Possibilidade de ligação, que representa a capacidade de ligar pelo menos dois

109/2009, a lei do cibercrime no tocante a situações específicas e determinadas, através da

ALEXY, Robert. Direitos fundamentais e princípio da proporcionalidade. In: O direito, A.

BATISTI, Leonir. Presunção de inocência: apreciação dogmática e nos instrumentos

fiscalização. Revista Internacional de Direito, Informática e Tecnologia, DOI: 10,1080

SARMENTO, Daniel. Interesses públicos versus interesses privados: desconstruindo o

Você também pode gostar