Vamos falar de metadados?

Nas últimas semanas, o país político e mediático acordou surpreendido com i) a constatação que a "lei dos metadados" de 2008, por transposição de uma diretiva comunitária conhecida por "diretiva da retenção de dados", de 2006, as quais regulam a recolha massiva e guarda preventiva de dados de comunicações eletrónicas, violará a Constituição da República Portuguesa; e ii) o facto de a confirmação feita pelos juízes do Palácio Ratton do que há muito era sabido poder vir, aparentemente, a fazer cair uma série de investigações cuja matéria probatória estará suportada, de forma significativa, nesses ditos metadados.


Sim: do que há muito era sabido. Quem acompanha estes temas sabe que há vários anos, no plano técnico-jurídico, é razoavelmente pacífico que a famosa "lei dos metadados" é, pelo menos, desconforme com o direito europeu. A polémica é antiga, fruto da própria diretiva ter nascido com a marca do "pecado original", logo no momento da sua aprovação, em 2006. Na verdade, sendo a diretiva da retenção de dados uma iniciativa legislativa justificada politicamente numa declaração expressa do Conselho Europeu de Londres, de 13 de Julho de 2005, onde os vários Estados-membros entenderam ser necessário reforçar os meios de investigação face ao aumento da ocorrência de ataques terroristas e da criminalidade organizada, ela mereceu um impulso inicial bastante consensual e uma aprovação célere. A sua redação concreta, porém, levantou inúmeras reservas, logo no momento da sua aprovação, porquanto vários Estados-membros consideraram excessiva a previsão legal que abria espaço a um armazenamento em massa dos dados de tráfego e de localização de todos os utilizadores de comunicações eletrónicas ("retenção massiva"), em vez de limitar a conservação desses mesmos dados aos cidadãos que demonstrassem algum indício de atividade ou associação criminosa (processo conhecido por "preservação de dados"). Vários países como a Alemanha, Áustria, República Checa, Roménia ou Suécia viram as suas leis nacionais de retenção de dados revogadas pelos respetivos tribunais superiores logo nos anos subsequentes. A Alemanha, por exemplo, onde a cultura de privacidade e proteção de dados está fortemente enraizada no funcionamento democrático e das instituições, foi um dos primeiros Estados-membros a invalidar a lei. Na sequência de queixas de mais de 35 mil cidadãos, o Tribunal Constitucional alemão derrubou a lei, logo em 2010, por considerar excessiva uma retenção de dados pessoais, por seis meses, e por entender que o armazenamento de dados não era seguro o suficiente.


Não espanta, por isso, que o Tribunal de Justiça da União Europeia (TJUE) tenha vindo em 2014 declarar a invalidade da diretiva da retenção de dados, num famoso Acórdão conhecido por Digital Rights Ireland Ltd e outros (C-293/12 e C-594/12). O Acórdão – que para muitos pecou por ser tardio – veio clarificar definitivamente as questões levantadas por vários Estados-membros e cidadãos europeus, pelo que, pelo menos desde esta data, se exigia dos poderes públicos respostas consistentes aos problemas levantados pelo TJUE. Neste Acórdão os juízes do TJUE vieram declarar que, não obstante a recolha e conservação de metadados relativos ao tráfego e de localização gerados no contexto de comunicações eletrónicas e sua posterior transmissão às autoridades competentes para efeitos de investigação, deteção e repressão de crimes graves serem, em si mesmas, operações de tratamento legítimas e adequadas ao fim visado, a forma como a diretiva da retenção de dados as enquadrou, ainda assim, é excessiva, não justificando o sacrífico desproporcionado de direitos fundamentais previstos na "Carta" (Carta dos Direitos Fundamentais da União Europeia), no caso, o respeito pela vida privada e familiar e a protecção de dados pessoais. Traduzindo para uma linguagem mais comum, o TJUE considerou que se estaria a querer matar formigas com granadas.


Se o Acórdão Digital Rights Ireland Ltd abriu a frente da invalidade da diretiva da retenção de dados, o TJUE, em novo Acórdão, de 21 de dezembro de 2016, conhecido por "Tele2 Sverige e Watson" (C-203/15 e C-698/15), decidiu "cavar mais fundo", clarificando que qualquer legislação nacional que preveja a conservação de dados terá necessariamente de incluir disposições relativas ao acesso, por parte das autoridades nacionais competentes, aos dados que sejam conservados pelos prestadores de serviços de comunicações eletrónicas. Dito de outra forma, o TJUE veio clarificar que uma conservação generalizada e indiferenciada de todos os dados de tráfego e dos dados de localização de todos os cidadãos que utilizem comunicações eletrónicas, sem limitar as circunstâncias e as situações em que opera o acesso por parte dos órgãos de investigação criminal, é incompatível com o direito da união europeia, violando sem margem para dúvidas o disposto na Carta.


Acontece que, como muito bem enfatiza o Tribunal Constitucional no famoso Acórdão da polémica do momento, "a antinomia entre normas nacionais e europeias não provoca a invalidade das primeiras (determinando-se, ao invés, a sua desaplicação ao caso)", ou seja, caberá a todas as entidades a quem compete aplicar as normas, naquilo que se revelar incompatível, fazer "atuar o princípio do primado do direito da união europeia, desaplicando a norma nacional no caso concreto". É neste contexto que a CNPD, em 2017, deu nota que iria desaplicar a lei dos metadados (cf. Deliberação 1008/2017) nas situações em que fosse chamada a pronunciar-se, no que deveria ter sido acompanhada por inúmeras entidades em Portugal, as quais teriam necessariamente de assumir comportamento idêntico. Só que não foi.


Assim, a origem fundamental do problema que vivemos hoje resulta do facto de várias entidades, em Portugal, terem insistido na aplicação da lei nacional, ignorando as decisões do TJUE, levantando graves problemas de legalidade na sua atuação, e que a falta de resposta, desde 2014, só veio agudizar. E do facto de os poderes legislativos não terem tido, pelo menos desde 2014, qualquer iniciativa no sentido de corrigir os problemas levantados pela lei dos metadados, algo que estarão, agora, a tentar fazer.


Por isso, há que dizer, sem pruridos de linguagem, que o problema não é de natureza constitucional, ou antes, que não é na Constituição que residem as dificuldades que agora ganharam dimensão mediática e política. Ou dito doutro modo, não se vê como é que em 2022, alterações constitucionais poderão dar legitimidade a normas nacionais que, na sua génese, resultam da transposição de direito europeu considerado inválido pelo TJUE. Aliás, tão pouco se vê como será possível encontrar redações alternativas aos artigos da Constituição sob tensão (recorde-se, o princípio da proporcionalidade na restrição dos direitos à reserva da intimidade da vida privada e familiar e os direitos ao sigilo das comunicações e a uma tutela jurisdicional efetiva) que tornem compatíveis e válidas as normas visadas da lei dos metadados. Vivemos hoje indignação e espanto por haver o risco de vários processos poderem estar supostamente em causa face à decisão do Tribunal Constitucional, quando – importa dizer – todos estes processos já estão feridos de invalidade, desde que, em 2014, o TJUE se pronunciou, no Acórdão Digital Rights Ireland Ltd, questionando a diretiva da retenção de dados, algo que deveria estar a ser levado a sério há muito pelos nossos poderes executivo, legislativo e judicial.


É deveras alarmante que só em 2022 uma lei tão polémica tenha ganho espaço na esfera pública e preocupação das instituições que asseguram os três pilares da separação de poderes em Portugal, e apenas quando o Tribunal Constitucional veio a terreiro afirmar o que há muito era óbvio. Tudo isto deverá levar os cidadãos a perguntar-se – mais uma vez – por que razão é tão difícil no nosso país afirmar o cumprimento efetivo das leis, desde logo por parte daqueles a quem compete ser os garantes fundamentais do Estado de Direito.


Importa ainda recordar que a diretiva da retenção de dados nasceu e beneficiou de um processo de aprovação célere por ser politicamente considerada uma resposta ao aumento de ações terroristas na sequência dos atentados de Londres, Madrid e Paris. Hoje, constatamos que tinham razão os que alertavam, há quase duas décadas, para os riscos resultantes da recolha massiva e da conservação generalizada e indiferenciada de todos os dados de tráfego e de localização associados às comunicações eletrónicas, quando verificamos que os mesmos estarão a ser usados, sem cobertura legal, não como forma de combater a criminalidade grave, como, por exemplo, crimes de terrorismo, criminalidade violenta, criminalidade altamente organizada, sequestro, rapto e tomada de reféns, mas para investigações de criminalidade que aparentam ser de criminalidade comum, como as fraudes no MB Way, e outras da mesma natureza. Por isso, são mais do que válidas as preocupações do TJUE quando nos diz que é urgente delimitar, de forma clara, em que situações pode haver acesso aos metadados, sendo manifestamente excessivo que tal possa operar em situações de criminalidade que não seja tida como grave, como parece estar a ocorrer.


Não está em causa o interesse relevante do combate à criminalidade e a utilidade que certos dados pessoais têm para a investigação, mas sim o carácter excessivo da retenção de dados, ainda por cima por períodos longos, em detrimento de outras alternativas tidas como mais válidas, como é o caso da preservação de dados a pedido. Não faltam no contexto da União Europeia bons exemplos a seguir. Países como a Alemanha, por exemplo, optaram por restringir o período de retenção, de seis meses (em Portugal o legislador fixou em um ano), para apenas dez semanas (ainda que não seja líquido que tal previsão venha a ser considerada válida no plano constitucional, face à lei fundamental alemã). Já a Suécia, desde 2006 que tem levantado inúmeras resistências à aplicação dos princípios da diretiva da retenção de dados, ao ponto de terem sido multados, em Maio de 2013, por iniciativa da Comissão Europeia, pelo atraso na sua transposição. Mas também Áustria, Roménia, República Checa, entre outros, têm procurado encontrar soluções compatíveis, que equilibrem o interesse na repressão do crime com a salvaguarda da proteção da esfera dos cidadãos contra os perigos que resultam da promoção de "Big Brothers".


É que o carácter excessivo da retenção de dados é ainda agravado quando é sabido que a diretiva da retenção de dados e a lei dos metadados são bastante omissas na definição de exigências claras e escrutináveis em matéria de segurança e proteção dos dados conservados, incluindo a proibição expressa de transferência dos mesmos para países terceiros, e as fórmulas da sua destruição (numa altura em que tantos questionam o que significa, verdadeiramente, "apagamento", face à proliferação que os registos têm em distintos sistemas de armazenamento, assentes na redundância e na replicação). Na verdade, pensar que muitos destes dados poderão estar a ser conservados em jurisdições onde a partilha por parte dos operadores com serviços e agências de informações é legalmente obrigatória [pense-se no caso da Secção 702 do FISA e da Executive Order 12333, leis americanas que conduziram o TJUE a considerar inválido, em julho de 2020, o acordo de transferência de dados pessoais celebrado entre a Europa e os EUA ("Privacy Shield"), num Acórdão que ficou conhecido por "Schrems II"], é em si mesmo um problema que carece de solução urgente.


Todas as tecnologias têm em si latente um enorme potencial totalitário, sendo a lei a primeira camada de defesa dos cidadãos contra a capacidade intrusiva que as mesmas possibilitam, quando colocadas nas mãos do Estado. Cabe aos Estados e à união europeia, agora, encontrar soluções legais e tecnologias polidas pela lei, construídas by design, capazes de responder ao equilíbrio que as nossas sociedades democráticas exigem, entre segurança e liberdades fundamentais. Precisamos de uma lei que seja menos preguiçosa, que restrinja a recolha indiscriminada, reduza o tempo de conservação e aposte mais na preservação de dados de cidadãos indiciados, seja exigente em matéria de segurança e clara na impossibilidade de exportação de dados para fora da União Europeia. Precisamos, ainda, de melhores tecnologias, que sejam desenhadas para atenuar o potencial intrusivo, dando mais garantias aos cidadãos. Nem tudo aquilo que a tecnologia patrocina deve ser visto como de adoção inevitável, e com a revolução digital é importante que, mais do que os Estados, os cidadãos estejam vigilantes: na defesa e conservação dos seus direitos fundamentais, conquistados a pulso ao longo de várias gerações. Tenham sempre medo, sejamos sempre exigentes com aqueles que nos querem vigiar, argumentando que o fazem para o nosso Bem. Foi sempre por aqui que se alimentaram os inimigos da liberdade. E, por favor, deixem a Constituição quietinha. Não façam dela o bode expiatório da inércia dos poderes legislativo, executivo e judicial.

Rodrigo Adão da Fonseca h 1 mês