Metadados, a lei que nem sabias que existia e uma questão de privacidade

14-05-2022

“GANHÁMOS!!!” – foi de forma entusiasmada que a Associação de Defesa dos Direitos Digitais (D3) anunciou na sua conta de Twitter o chumbo do Tribunal Constitucional às normas daquilo a que apelidaram de “Lei dos Metadados”. A notícia correu todos os órgãos de comunicação social, como sempre que uma determinação do Constitucional abana a ordem das coisas, e gerou reações tanto de louvor como de repúdio à decisão da mais importante instituição da justiça portuguesa. Em causa está mais um daqueles dilemas legais próprios de uma sociedade hiper-conectada e visões distintas sobre liberdade e legalidade com implicações sérias. De resto, o caso português só difere de uma série de outros países pela demora na tomada de decisão que lá fora já precipitou o debate há alguns anos.

Para melhor entender a implicação da decisão judicial, é preciso começar por perceber o que deliberavam as normas contestadas pela Associação dos Direitos Digitais (D3), primeira requerente do pedido de verificação constitucional, a que a provedora da justiça, Maria Lúcia Amaral, deu seguimento; o que são, afinal, metadados — o elemento central de toda a discórdia, e o que foi agora declarado inconstitucional. 

O processo que está longe de ser linear — ou de ter esgotado para já todas as suas repercursões — iniciou-se por volta de 2017, quando a referida associação fez a primeira exposição à provedora pedido o envio do documento para o Constitucional. Antes de o fazer, a provedora recomendou ao governo, na figura do Ministério da Justiça encabeçado por Francisca Van Dunem, que procedesse à alteração da Lei n.º 32/2008, de 17 de julho, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações.

Podia ler-se no comunicado publicado no site da Provedoria que alertava para a dissonância da lei com a jurisprudência europeia que “(…) melhor será que o legislador previna a sua invalidação por intermédio da competência estritamente cassatória do Tribunal Constitucional, adequando-o desde já à exigências decorrentes dos direitos fundamentais.” Foi só perante a recusa do governo em acatar a recomendação da provedora que o caso seguiu para o Tribunal Constitucional – corria o ano de 2019 – que gizou agora, em 2022, a decisão há muito aguardada. 

O Tribunal Constitucional declarou inconstitucionais as normas da chamada “Lei dos metadados”, uma decisão que segue a mesma lógica aplicada por outros países europeus, e não só, considerando que a lei previa uma violação desproporcional dos direitos dos cidadãos. Agora, e como seria de prever, surgem as questões sobre as consequências que a revogação da lei trazem, sobretudo no que concerne a investigação criminal — um debate que também está longe de ser um exclusivo nacional, e que nos dá o mote para perceber o que são e porque importam os metadados. 

Os Dados sobre Dados

A 4 de Julho de 2013, o Le Monde lançava um sonante artigo em que denunciava o Big Brother Francês. Em causa estava um esquema de retenção dos metadados que permitia às autoridades do país reter os dados das comunicações entre qualquer utilizador das redes francesa. A denúncia foi feita com aparato, valendo-se da comparação do sistema com o mal afamado PRISM — sistema de vigilância da NSA denunciado pelo denunciante Edward Snowden, anos antes. Contudo, a diferença entre o PRISM e o sistema francês era substancial. Ao invés de agregar dados e metadados como os programas da agência norte-americana, o programa francês incidia especificamente sobre metadados, tal como no caso português. 

“Metadados são os chamados ‘dados sobre dados’, ou seja, todos os dados relativos a uma comunicação, com excepções do conteúdo” — diz-nos Eduardo Santos, advogado e Presidente da D3, numa explicação sobre o caso português mas válida para outros contextos. ”Dados sobre com a quem telefonámos, quantas vezes, a que horas, por quanto tempo, dados da pessoa responsável pelo contrato do número que efectua e do número que recebe a chamada, etc.” — exemplifica. 

Ao contrário de sistemas de vigilância que captem e retenham objectivamente o conteúdo das comunicações, os sistemas de vigilância em questão — legal, ilegalmente, ou actuando num vazio legal — focam-se nos dados sobre dados como acima descrito. A captação deste tipo de informação, apesar de não prover um acesso ao conteúdo, permite aos serviços de investigação perceber padrões de comportamento, traçar gráficos sociais passíveis de revelar contactos ou outras relações entre qualquer cidadão. 

No caso português (tal como no francês) é a forma indiscriminada como o processo é conduzido que vale o repúdio dos activistas – e, em última instância, também dos tribunais. Assim, os metadados sobre todas as comunicações de todos os portugueses eram passíveis de ser retidos pelas operadoras para que pudessem posteriormente ser acedidos e analisados pelas autoridades, sem que os visados fossem alertados ou pudessem contestar a recolha. E sem que fosse necessária a aprovação de um juiz, como é para outros procedimentos de investigação criminal como buscas ou escutas. 

Apesar da especificidade do caso nacional, este é um exemplo das normas processuais da União Europeia (UE), e mostra como funciona a relação entre o poder político e legislativo no espaço da UE em matérias em que há necessidade de uma consolidação jurídica entre os vários estados membros. A revogação constitucional, neste momento, é um exclusivo nacional, mas o enquadramento em vigor era resultado da transposição de uma Directiva Europeia de 2006, altamente disputada pelo European Data Protection Supervisor.

“A directiva é de 2006, e foi uma resposta muito clara aos atentados terroristas de Madrid e Londres, em 2004 e 2005. (…) O ‘European Data Protection Supervisor’ considerou esta directiva como ‘o instrumento mais invasor da privacidade alguma vez adoptado pela UE em termos de escala e de número de pessoas que afecta’”, explica Eduardo Santos. 

Foi em resultado desta disputa — e por de fiscalização do Tribunal Superior [High Court] irlandês, e do Tribunal Constitucional austríaco [Verfassungsgerichtshof] – que, em 2014, o Tribunal de Justiça da União Europeia declarou em acórdão que a retenção de metadados prevista na directiva de 2006 era inválida. Apesar de considerar as motivações da proposta — combater o terrorismo e o crime organizado — válida, o Tribunal deliberou que a Directiva “excedeu os limites impostos pela necessidade de cumprimento com o princípio da proporcionalidade”.

“Embora a conservação de dados exigida pela directiva possa ser considerada adequada para alcançar o objectivo proposto, a ampla e, particularmente grave, interferência da directiva com os direitos fundamentais em questão, não está suficientemente circunscrita para garantir que essa interferência se limita, de facto, ao estritamente necessário”, lê-se no acórdão europeu.

Perante isto, se os governos de cada país tinham a opção de alterar as leis de modo a tornarem-se conformes com a deliberação judicial, alguns decidiram não o fazer. O caso português é exemplo paradigmático, mas não é caso único. “O poder legislativo, o Governo, e as diversas entidades ligadas à administração da Justiça, preferiram enterrar a cabeça na areia, já desde o primeiro acórdão do TJUE, em 2014”, refere Eduardo Santos. Sem explicação oficial dos motivos da inércia na transposição, o activista sugere que provavelmente os governos esperavam que o tribunal voltasse atrás com a sua decisão, o que acabou por não acontecer. Assim, é fruto da rejeição do poder executivo em preparar alternativas à norma existente e da declaração de inconstitucionalidade agora revelada, que surgem as notícias sobre o hipotético comprometimento de investigações criminais em curso. 

A decisão do Tribunal Constitucional, sublinhe-se, justifica-se essencialmente em 3 pontos paralelos à deliberação pelo Tribunal Europeu, como se lê no comunicados sobre a decisão: “ao não prever que o armazenamento desses dados ocorra num Estado-Membro da União Europeia, põe-se em causa o direito de o visado controlar e auditar o tratamento dos dados a seu respeito, bem como a efetividade da garantia constitucional de fiscalização por uma autoridade administrativa independente”, “por outro lado, entendeu o Tribunal Constitucional que uma obrigação indiferenciada e generalizada de armazenamento de todos os dados de tráfego e localização relativos a todas as pessoas (…) restringe de modo desproporcionado os direitos à reserva da intimidade da vida privada e à autodeterminação informativa”.

Acrescenta-se ainda que “ao não se prever tal informação às pessoas atingidas, os visados ficam privados de exercer controlo efetivo sobre a licitude e regularidade daquele acesso, em violação dos direitos à autodeterminação informativa (na dimensão de controlo do acesso de terceiros a dados pessoais) e do direito a uma tutela jurisdicional efetiva“.

Resumidamente, mesmo depois de TJUE determinar inválida a directiva, Portugal manteve-a em vigor e as autoridades portuguesas continuaram a recorrer aos metadados para processos de investigação. Agora, perante a declaração da inconstitucionalidade surgem vozes do lado da investigação criminal, nomeadamente o director nacional da Polícia Judiciária, Luís Neves, que referiu recentemente, num seminário sobre cibersegurança, que o seu trabalho implica “recolha sólida e incontestável de informações técnicas baseadas em indícios digitais, incluindo os metadados, os famosos metadados esta quarta-feira colocados em causa por uma decisão do Tribunal Constitucional”.

Já o gabinete da Ministra da Justiça, pela porta-voz de Catarina Sarmento e Castro, revelou que a PJ está ainda a analisar em profundidade as consequências da mudança legal e reconhece um possível “impacto na investigação, detecção e repressão de crimes graves”.  E num dos últimos desenvolvimentos do caso, o Ministério Público anunciou que não irá protestar a decisão uma vez que por ter sido corroborada por 11 dos 12 juízes do TC, uma maioria substancial que inviabiliza a reclamação.

Para Alípio Ribeiro, antigo diretor da Polícia Judiciária, ouvido pelo DN, corre-se agora o risco de perder vários anos de investigação por não se ter desenhado um novo enquadramento legislativo que permitisse um equilíbrio entre as duas partes da equação, como em outros países onde existem por exemplos restrições ao tempo de retenção dos dados. A título de exemplo, note-se que a Alemanha é um desses onde teoricamente se podem reter dados durante 10 semanas mas onde a aplicação dessa norma da lei está suspensa por decisão dos tribunais administrativos.

Já o novo ministro da Justiça alemão, Marco Buschmann retomou a discussão propondo uma solução diferente e a revogação da lei que permite a retenção de dados sem qualquer motivo. Para Buschmann, a recolha e retenção deve ser feita de forma ad hoc e em sequência de pedidos judiciais e suspeitas de crimes graves, e não de forma indiscriminada, como disse no final de dezembro do ano passado em entrevista.

Um debate continuado mas pouco participado

“Parece que o poder legislativo recusa simplesmente aceitar as decisões do poder judicial”, resume Eduardo Santos, da D3, ao analisar o estado de coisas que tem observado nos últimos anos, no que toca à legislação europeia e às transposições que vão sendo feitas para a lei de cada país. O activista alerta ainda para o facto de este não ser um caso único: “Infelizmente, a desconsideração dos direitos fundamentais dos cidadãos começa a ser um tema transversal a demasiada legislação europeia. Pense-se, por exemplo, no tema da transferência internacional de dados.”

Dá como nota positiva o trabalho feito pelo Tribunal de Justiça da União Europeia: “Felizmente, apesar de a agenda securitária ter o poder legislativo bem dominado, não é prevalecente no poder judicial — que é o que tem valido aos direitos fundamentais dos cidadãos.”

Sobre a participação pública nestes debates, Eduardo Santos refere que dada a sua natureza complexa nem sempre são fáceis para o cidadão comum de entender. Referindo-se concretamente à questão dos metadados, o presidente da D3 relembra que a maioria das pessoas nem sabe ao certo o que são, e que para o explicar é preciso muito tempo e muita dedicação. Com este desfecho que consideram uma vitória vêm sublinhada a sua importância no panorâma global mas continuam conscientes que sendo uma associação assente em trabalho voluntário a sua acção é bastante limitada. 

Ainda que este tema ainda possa vir a fazer correr muita tinta, a associação já tem necessariamente outros em mãos, nomeadamente no que toca à transferência de dados, mais um tema demonstrativo do carácter moroso e burocrático de todo o processo legislativo — e da tensão entre as partes envolvidas. “Pense-se, por exemplo, no tema da transferência internacional de dados. O TJUE anulou o Safe Harbor com o acórdão Schrems I. A UE anunciou o Privacy Shield, que foi anulado pelo TJUE com o acórdão Schrems II. Agora, a UE anunciou novo acordo com os EUA para as transferências de dados. Mas nada mudou realmente nas práticas de vigilância massiva efectuadas pelos EUA, pelo que é de adivinhar o acórdão Schrems III. E o IV, V, VI, por aí fora. É algo absurdo, parece que o poder legislativo recusa simplesmente aceitar as decisões do poder judicial.” – conclui.

(Shifter)

Desenvolvido por: Suporte Informatica