Ir para conteúdo

APLICAÇÃO DO QUADRO NORMATIVO


Na prática dos tribunais


Tribunal de Justiça da União Europeia

A jurisprudência do TJUE sobre matérias atinentes à cibersegurança – prova digital, comunicações eletrónicas e proteção de dados pessoais – foi fundada pelo acórdão Digital Rights Ireland, de 8 de abril de 2014 (26), que declarou a invalidade da Diretiva 2006/24/CE, transposta para a ordem jurídica portuguesa pela Lei n.º 32/2008, de 17 de julho. Em resposta a pedidos de decisão prejudicial endereçados pela High Court irlandesa e pelo Verfassungsgerichtshof austríaco, o TJUE concluiu que a Diretiva era incompatível com os artigos 7.º e 8.º da CDFUE, por implicar uma ingerência de “grande amplitude” e “particularmente grave” nos direitos ao respeito pela vida privada e familiar e à proteção de dados pessoais.

O Tribunal notou que os dados de tráfego e de localização eram “suscetíveis de permitir tirar conclusões muito precisas sobre a vida privada das pessoas cujos dados foram conservados, como os hábitos da vida quotidiana, os lugares onde se encontram de forma permanente ou temporária, as deslocações diárias ou outras, as atividades exercidas, as relações sociais e os meios sociais frequentados”. Apesar de reconhecer que a Diretiva prosseguia um objetivo de interesse geral da União Europeia, i.e. o de “contribuir para a luta contra a criminalidade grave e, assim, em última análise, para a segurança pública”, o Tribunal entendeu que os termos adotados não respeitavam o princípio da proporcionalidade, por as obrigações de conservação abarcarem todos os meios de comunicação eletrónica e todos os assinantes e utilizadores registados, sem qualquer diferenciação, limitação ou exceção em função do objetivo de luta contra as infrações graves, o que representava uma ingerência nos direitos fundamentais de quase toda a população europeia. Segundo o Tribunal, a Diretiva pecava ainda por não conter critérios objetivos que limitassem o acesso e utilização dos dados pelas autoridades nacionais competentes, nem as condições materiais e processuais em que isso deveria ocorrer, e por não prever critérios objetivos para a determinação do período de conservação dos dados.

Dois anos mais tarde, o TJUE teve oportunidade de voltar a debruçar-se sobre esta matéria no acórdão Tele2 Sverige AB, de 21 de dezembro de 2016, na sequência de dois pedidos de decisão prejudicial formulados pelo Kammarrätten i Stockholm (Suécia) e pelo Court of Appeal (Reino Unido), onde se pergunta, inter alia, se: “É compatível com o artigo 15.º, n.º 1, da Diretiva 2002/58/CE, à luz dos artigos 7.º, 8.º e 52.º, n.º 1, da Carta, uma obrigação geral de conservar dados de tráfego relativos a todas as pessoas, a todos os meios de comunicação eletrónica e a todos os dados de tráfego, sem quaisquer distinções, limitações ou exceções, para efeitos do objetivo de combate à criminalidade” (27).

O TJUE retomou algumas das considerações já tecidas em Digital Rights Ireland sobre a natureza dos dados emcausa, acrescentando que os dados fornecem os meios para determinar o perfil das pessoas em causa, “informação tão sensível, à luz do direito ao respeito da privacidade, como o conteúdo das próprias comunicações”. Também aqui o Tribunal entendeu que a conservação e acesso a estes dados constituía uma ingerência ampla e particularmente grave nos direitos consagrados pelos artigos 7.º e 8.º da CDFUE, para além de poder ter impacto sobre o exercício da liberdade de expressão previsto no artigo 11.º da CDFUE. O Tribunal concluiu que o artigo 15.º, n.º 1, da Diretiva 2002/58/CE, deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que preveja, para efeitos de luta contra a criminalidade, uma conservação generalizada e indiferenciada de todos os dados de tráfego e dados de localização de todos os assinantes e utilizadores registados em relação a todos os meios de comunicação eletrónica. Acrescentou, em todo o caso, que o mesmo artigo 15.º não se opõe a uma “conservação seletiva dos dados de tráfego e dos dados de localização, para efeitos de luta contra a criminalidade grave, desde que a conservação dos dados seja limitada ao estritamente necessário, no que se refere às categorias de dados a conservar, aos equipamentos de comunicação visados, às pessoas em causa e à duração de conservação fixada”.

Decorre igualmente deste acórdão que o artigo 15.º, n.º 1, da Diretiva 2002/58/CE, “deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que regula a proteção e a segurança dos dados de tráfego e dos dados de localização, em especial, o acesso das autoridades nacionais competentes aos dados conservados, sem limitar, no âmbito da luta contra a criminalidade, esse acesso apenas para efeitos de luta contra a criminalidade grave, sem submeter o referido acesso a um controlo prévio por parte de um órgão jurisdicional ou de uma autoridade administrativa independente, e sem exigir que os dados em causa sejam conservados em território da União”.

Em 2 de outubro de 2018, no acórdão Ministerio Fiscal, o TJUE respondeu a um pedido de decisão prejudicial em que se questionava quais os critérios a adotar para determinar a gravidade dos crimes em que se torna possível, para a sua investigação criminal, recorrer ao acesso a dados de tráfego (28). O TJUE reiterou a posição assumida nos acórdãos anteriores, mas notou que, enquanto uma ingerência grave só pode ser justificada, em matéria de prevenção, de investigação, de deteção e de repressão de infrações penais, por um objetivo de luta contra a criminalidade grave, uma ingerência não grave pode ser justificada por um objetivo de prevenção, de investigação, de deteção e de repressão de infrações penais em geral. Como no processo em apreço apenas estavam em causa dados que permitiam “identificar os titulares dos cartões SIM ativados durante um período de 12 dias, com o código IMEI do telemóvel roubado”, o TJUE entendeu que a ingerência nos direitos consagrados nos artigos 7.º e 8.º da CDFUE não deveria ser considerada grave, pelo que esse acesso não devia ser limitado à luta contra a criminalidade grave.

O TJUE voltou a pronunciar-se sobre a Diretiva 2002/58/CE, no acórdão Privacy International, de 6 de outubro de 2020, na sequência de um pedido de decisão prejudicial formulado pelo Investigatory Powers Tribunal do Reino Unido, no âmbito de processo em que é parte a Privacy International, uma organização não-governamental, contra o Ministro dos Negócios Estrangeiros e da Commonwealth, o Ministro da Administração Interna e serviços de segurança e de informações como o GCHQ, o MI5 e o MI6 (29).

Uma das questões dirigidas ao TJUE foi a de saber se “o artigo 15.º, n.º 1, da Diretiva 2002/58, lido à luz do artigo 4.º, n.º 2, TUE, e dos artigos 7.º, 8.º e 11.º e do artigo 52.º, n.º 1, da Carta, deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que permite a uma autoridade estatal impor aos prestadores de serviços de comunicações eletrónicas, para efeitos da salvaguarda da segurança nacional, a transmissão generalizada e indiferenciada de dados de tráfego e de dados de localização aos serviços de segurança e de informações”. O TJUE recordou que as limitações aos direitos consagrados nos artigos 7.º, 8.º e 11.º da CDFUE devem obedecer ao requisito de proporcionalidade, o que exige que as regulamentações nacionais neste domínio prevejam normas claras e precisas e imponham requisitos mínimos, “de modo que as pessoas cujos dados foram conservados disponham de garantias suficientes que permitam proteger eficazmente os seus dados pessoais contra os riscos de abuso”.

Segundo o TJUE, a transmissão de dados de tráfego e de localização realizada de modo generalizado e indiferenciado é suscetível de gerar “no espírito das pessoas em causa a sensação de que a sua vida privada é objeto de constante vigilância” e “tem por efeito tornar na regra a derrogação à obrigação de princípio de garantir a confidencialidade dos dados, ao passo que o sistema instituído pela Diretiva 2002/58 exige que essa derrogação continue a ser a exceção”. Para além disso, a “mera conservação dos referidos dados pelos prestadores de serviços de comunicações eletrónicas comporta riscos de abuso e de acesso ilícito”. Tudo somado, o Tribunal concluiu que “o artigo 15.º, n.º 1, da Diretiva 2002/58, lido à luz do artigo 4.º, n.º 2, TUE, e dos artigos 7.º, 8.º e 11.º e 52.º, n.º 1, da Carta, deve ser interpretado no sentido de que se opõe a uma regulamentação nacional que permite a uma autoridade estatal impor aos prestadores de serviços de comunicações eletrónicas, para efeitos da salvaguarda da segurança nacional, a transmissão generalizada e indiferenciada de dados de tráfego e de dados de localização aos serviços de segurança e de informações”.

Em matéria de proteção de dados pessoais, são ainda relevantes os acórdãos Schrems I, de 2015, e Schrems II, de 2020. No acórdão Schrems I, o TJUE declarou inválida a Decisão 2000/520/CE da Comissão, de 26 de julho de 2000, que considerara que os Estados Unidos da América asseguravam um nível adequado de proteção dos dados pessoais transferidos a partir da CE, e acrescentou que, em qualquer caso, uma decisão deste tipo não obsta a que uma autoridade de controlo de um Estado Membro examine o pedido de uma pessoa relativo à proteção dos seus direitos e liberdades em relação ao tratamento de dados pessoais que lhe dizem respeito que tenham sido transferidos de um Estado Membro para o país terceiro em causa, quando essa pessoa alega que o direito e as práticas em vigor neste último não asseguram um nível de proteção adequado (30). No acórdão Schrems II, o TJUE voltou a invalidar uma Decisão da Comissão sobre o nível de proteção nos Estados Unidos da América, neste caso, a Decisão de Execução (UE) 2016/1250, de 12 de julho, relativa ao nível de proteção assegurado pelo Escudo de Proteção da Privacidade UEEUA. O TJUE notou que o RGPD abrange a transferência de dados pessoais efetuada para fins comerciais por operador económico estabelecido num Estado Membro para outro operador económico estabelecido num país terceiro, “não obstante o facto de, no decurso ou na sequência dessa transferência, esses dados serem suscetíveis de ser tratados pelas autoridades do país terceiro em causa para efeitos de segurança pública, de defesa e de segurança do Estado”, o que implica que os direitos das pessoas cujos dados pessoais são transferidos beneficiam de um nível de proteção substancialmente inferior ao garantido na União pelo RGPD lido à luz da CDFUE. Assim sendo, a menos que exista uma decisão de adequação validamente adotada pela Comissão Europeia, a autoridade de controlo competente está obrigada a suspender ou a proibir uma transferência de dados para um país terceiro, fundada em cláusulastipo de proteção de dados adotadas pela Comissão, se considerar que essas cláusulas não são ou não podem ser respeitadas no país terceiro e que a proteção dos dados transferidos exigida pelo Direito da União não pode ser assegurada por outros meios (31).

Tribunais portugueses

Na prática judicial portuguesa, têm surgido dúvidas a respeito da articulação entre a Lei do Cibercrime e o Código de Processo Penal. Como referido no capítulo anterior, as disposições processuais sobre prova digital não estão, na sua grande maioria, incorporadas no Código de Processo Penal, mas antes na Lei do Cibercrime. O problema reside no facto de o artigo 189.º do Código de Processo Penal estender o regime das escutas telefónicas (artigos 187.º e 188.º do Código) às “conversações ou comunicações transmitidas por qualquer meio técnico diferente do telefone, designadamente correio eletrónico ou outras formas de transmissão de dados por via telemática, mesmo que se encontrem guardadas em suporte digital, e à interceção das comunicações entre presente”, e estabelecer que “a obtenção e junção aos autos de dados sobre a localização celular ou de registos da realização de conversações ou comunicações só podem ser ordenadas ou autorizadas, em qualquer fase do processo, por despacho do juiz, quanto a crimes previstos no n.º 1 do artigo 187.º e em relação às pessoas referidas no n.º 4 do mesmo artigo”. O artigo 189.º do Código de Processo Penal incide, deste modo, sobre algumas das realidades concretas que a Lei do Cibercrime veio regular, como são as cobertas pelos artigos 17.º (apreensão de correio eletrónico e registos de comunicações de natureza semelhante) e 19.º (interceção de comunicações).

Sendo a Lei do Cibercrime posterior ao Código de Processo Penal, as decisões judiciais neste domínio tendem a sustentar uma revogação implícita ou tácita, pelo menos parcial, do artigo 189.º do Código de Processo Penal. Emblemático é, a este respeito, a acórdão do Tribunal da Relação de Évora, de 6 de janeiro de 2015, onde se lê que as “Leis n.º 32/2008, de 17-07 e 109/2009, de 15-09 (Lei do Cibercrime) revogaram a extensão do regime das escutas telefónicas, previsto nos artigos 187.º a 190.º do Código de Processo Penal, às áreas das ‘telecomunicações electrónicas’, ‘crimes informáticos’ e ‘recolha de prova electrónica’” (32). No mesmo sentido vai uma decisão mais recente do mesmo tribunal, de 8 de outubro de 2019, segundo a qual “o regime processual das comunicações telefónicas previsto nos artigos 187.º a 190.º do Código de Processo Penal deixou de ser aplicável por extensão às ‘telecomunicações eletrónicas’, ‘crimes informáticos’ e ‘recolha de prova eletrónica (informática)’ desde a entrada em vigor da Lei n.º 109/2009, de 15.09 (Lei do Cibercrime), como regime regra” (33).

Mais complexa é a questão de saber qual a validade jurídica da Lei n.º 32/2008, de 17 de julho, que transpôspara a ordem jurídica portuguesa a Diretiva 2006/24/CE. A obrigatoriedade de conservação generalizada de dados de tráfego e de localização tem sido posta em causa pela sua possível incompatibilidade com o Direito da União Europeia, depois de a Diretiva 2006/24/CE ter sido declarada inválida pelo TJUE no acórdão Digital Rights Ireland, de 8 de abril de 2014, analisado antes. A Comissão Nacional de Proteção de Dados, que é a entidade responsável pela tramitação dos processos contraordenacionais decorrentes de violações da Lei n.º 32/2008, emitiu a Deliberação n.º 641/2017 onde, invocando os acórdãos Digital Rights Ireland e Tele2, recomendou a revisão da lei e, pouco tempo depois, a Deliberação n.º 1008/2017, onde anunciou que deixaria de aplicar a Lei n.º 32/2008 devido à incompatibilidade deste diploma com a CDFUE e com a Constituição da República Portuguesa (CRP). O Gabinete Cibercrime da Procuradoria-Geral da República, por seu turno, tem por adquirido que a Lei n.º 32/2008 permanece válida, uma vez que o legislador nacional fora “muito para lá das exigências da Diretiva” e considerara no Direito interno “a maior parte das exigências que vieram a ser feitas” pelo TJUE (Nota Prática n.º 7/2015, de 30 de dezembro).

Em 22 de janeiro de 2019, a Provedora de Justiça, Maria Lúcia Amaral, recomendou à Ministra da Justiça que “promova a alteração à Lei n.º 32/2008, de 17 de julho, a fim de que o regime nela inscrito se venha a conformar com as exigências decorrentes da Carta dos Direitos Fundamentais da União Europeia, tal como foram tais exigências interpretadas pela jurisprudência pertinente do Tribunal de Justiça”. O Ministério da Justiça, em resposta à solicitação da Provedora de Justiça, transmitiu a convicção de que a Lei n.º 32/2008 oferece as garantias suficientes para se darem por respeitados os direitos fundamentais que aqui poderiam ser postos em causa, nomeadamente porque o acesso aos dados de tráfego e de localização só é autorizado por despacho fundamentado do juiz instrução, mediante requerimento do Ministério Público, e em relação a um catálogo de crimes previamente definido.

Em 26 de agosto de 2019, a Provedora de Justiça requereu ao Tribunal Constitucional a fiscalização abstrata da constitucionalidade da Lei n.º 32/2008, “por violação do princípio da proporcionalidade na restrição dos direitos à reserva da intimidade da vida privada e familiar (artigo 26.º, n.º 1) e ao sigilo das comunicações (artigo 34.º, n.º 1) e por violação do direito a uma tutela jurisdicional efetiva (artigo 20.º, n.º 1)”. O Tribunal Constitucional ainda não se pronunciou sobre este requerimento, mas já teve oportunidade para se pronunciar sobre casos em que a Lei n.º 32/2008 foi chamada à colação.

O acórdão n.º 420/2017, de 13 de julho, proferido no âmbito do processo n.º 917/16, apreciou a validade do indeferimento de um pedido formulado pelo Ministério Público para aceder a dados de base, no âmbito de uma investigação criminal da prática de crime de pornografia de menores (34). A 1.ª Secção de Instrução Criminal da Instância Central da Comarca de Lisboa havia indeferido o pedido com o argumento de que o artigo 6.º da Lei n.º 32/2008 estaria ferido da inconstitucionalidade, por violar os artigos 18.º e 34.º, n.º 4, da CRP. Tendo o Ministério Público interposto recurso desta decisão para o Tribunal Constitucional, o Tribunalconstatou que “não é correto basear a invalidade da lei nacional numa transposição do juízo efetuado pelo Tribunal de Justiça sobre a globalidade do texto da diretiva que esta transpõe, sem proceder a uma análise específica e autónoma da norma nacional que esteja em causa e, no presente caso, sem atender à natureza dos dados de base”. Atendendo ao facto de se tratarem de dados de base, o Tribunal entendeu que o princípio da proporcionalidade estava integralmente cumprido: “a medida em causa cumpre os requisitos de idoneidade, pois a conservação de dados de base é uma medida adequada para permitir a identificação do utilizador registado, a quem o endereço do protocolo IP estava atribuído, suspeito de autoria de um dos crimes graves referidos, e de necessidade, na medida em que não é possível configurar um meio menos restritivo para as autoridades competentes procederem à referida identificação”. O Tribunal Constitucional decidiu, por isso, que a obrigatoriedade de conservação de dados de base, prevista no artigo 6.º e no artigo 4.º da Lei n.º 32/2008, não era inconstitucional, no que se manteve coerente com a jurisprudência firmada nos acórdãos n.os 486/2009 e 403/2015.

O Tribunal Constitucional ainda não se pronunciou, no entanto, especificamente sobre a conservação e transmissão de dados de tráfego e localização. No acórdão n.º 464/2019, o Tribunal reconheceu que, apesar de a declaração da invalidade da Diretiva 2006/24/CE não pôr imediatamente em causa a Lei n.º 32/2008, isso não obsta a que se considere imperativo avaliar a conformidade desta com o Direito da União Europeia, em especial com a CDFUE, ainda que tenha acabado por não fazer esta avaliação nesse processo, uma vez que o problema da validade da Lei n.º 32/2008 à luz da CRP não havia sido suscitado (35).


Figura 1
classroom_meet_1
No que respeita à prática de cibercrimes, os dados da Direção-Geral de Política da Justiça indicam que os cibercrimes registados sofreram um crescimento acentuado desde a entrada em vigor da Lei do Cibercrime, na ordem dos 600%, o que facilmente se explica pela digitalização crescente das atividades humanas e maior acesso e utilização da Internet e sistemas de informação. O número total de cibercrimes registados pelas autoridades policiais em 2019 foi 18.158, o que corresponde a 5.41% do total de crimes registados no território nacional nesse mesmo ano.

Quanto aos tipos de cibercrimes registados em 2019, segundo a mesma fonte, o crime de burla informática é o mais frequente (16.310, correspondentes a 89,22%), seguido pelos crimes de acesso e de interceção ilegítimos, que, em conjunto, chegam a 617 (34,0% do total dos cibercrimes), conforme a tabela que se segue (36).

Tipo de crime (nível 1) Tipo de crime (nível 2) Tipo de crime (nível 3) 2019
(CP) Contra as pessoas Contra reserva da vida privada Devassa p/meio de informática 529
(CP) Contra o património Contra o património em geral Burla informática/comunicações 16310
Legislação avulsa Informáticos Reprodução programa protegido 8
Acesso/interceção ilegítimos 617
Viciação/destruição/dano relativo a dados/ programas 28
Falsidade informática 346
Sabotagem informática 273
Outros informáticos 47
Informáticos Total   1319
Total Geral   18158
A evolução do número de cibercrimes registados pelas autoridades nacionais confirma a ideia de que não estamos perante um fenómeno de reduzida importância ou meramente transitório. É antes um tipo de criminalidade cujo crescimento acompanha a maior digitalização da nossa sociedade. Por isso se percebe que, no âmbito da política criminal, o legislador português tenha destacado a cibercriminalidade como uma das áreas de prevenção prioritária – artigo 4.º, alínea d), da Lei n.º 55/2020, de 27 de agosto – e de investigação prioritária – artigo 5.º, alínea e), do mesmo diploma.

Na prática administrativa


Processos contraordenacionais

Cabe ao CNCS instruir os processos de contraordenação por incumprimento dos deveres impostos pelos artigos 12.º e seguintes da Lei n.º 46/2018 e aplicar as respetivas coimas. Não existem, até ao momento, registos de processos de contraordenação instruídos pelo CNCS, o que se explica pelo facto de ainda não ter sido adotada a legislação que há de definir os requisitos de segurança e os requisitos de notificação de incidentes cujo incumprimento importará responsabilidade contraordenacional.

A CNPD tem competências de fiscalização e sanção ao abrigo do RGPD e exerceu-as, pela primeira vez em 2018 (Deliberação n.º 984/2018) (37), quando ainda não tinha sido adotada a Lei n.º 58/2019 que veio assegurar a execução do RGPD na ordem jurídica portuguesa. Perante a alegação de que estaria a arrogar-se uma condição que ainda não lhe pertencia, violando o princípio da legalidade, a CNPD invocou o estatuto de autoridade nacional com a atribuição de controlar e fiscalizar o cumprimento das disposições legais e regulamentares em matéria de proteção de dados pessoais que lhe advinha do artigo 22.º, n.º 1, da Lei n.º 67/98, de 26 de outubro, notando que o RGPD não trouxera novidades relevantes para os seus poderes. O caso versava, no essencial, sobre a existência, num centro hospitalar, de uma política de atribuição de credenciais de acesso que permitira a funcionários do grupo funcional “técnico/a” usufruir do nível de acesso reservado ao grupo funcional “médico”, o que se traduzira “na possibilidade indiscriminada de consulta de processos clínicos de todos os utentes do hospital”. A CNPD considerou terem sido praticadas três contraordenações – violação do princípio da minimização dos dados, violação do princípio da integridade e confidencialidade, incapacidade do responsável pelo tratamento em assegurar a confidencialidade, integridade, disponibilidade e resiliência permanente dos sistemas e serviços de tratamento – a que fez corresponder três coimas, num valor global de quatrocentos mil euros.

Em 2019, a CNPD concluiu quatro processos contraordenacionais. Os textos das deliberações disponíveis no site da CNPD estão anonimizados, o que não permite determinar o perfil dos arguidos. A Deliberação n.º 21/2019 aplicou uma coima no valor de vinte mil euros, em razão da violação do direito de acesso do titular aos respetivos dados, nos termos do artigo 83.º, n.º 3, do RGDP (38). A Deliberação n.º 207/2019 aplicou uma coima no valor de dois mil euros, por violação do direito de informação, resultante de a arguida ter realizado um tratamento de dados não assegurando a informação sobre este aos titulares, e por violação de direito dos titulares no quadro do RGPD (39). A Deliberação n.º 222/2019 aplicou uma coima no valor de dois mil euros, em razão da violação do direito de informação aos titulares acerca do tratamento de dados pessoais (40). A Deliberação n.º 297/2019 aplicou oitenta e seis coimas, num valor global de cento e sete mil euros, pela prática de contraordenações resultantes do envio de comunicações não solicitadas, com fins de marketing direto e publicidade, sem prévio consentimento do destinatário (41).

Como referido no capítulo anterior, em 2017, a CNPD deliberou desaplicar a Lei n.º 32/2008 nas situações de tratamento de dados pessoais a apreciar daí em diante, por considerá-la incompatível com a CDFUE e com a CRP (Deliberação n.º 1008/2017). Em 2019, a CNPD adotou uma deliberação de sentido semelhante, desta feita a respeito de algumas disposições da Lei n.º 58/2019, diploma que, como vimos, veio assegurar a execução do RGPD na ordem jurídica portuguesa. Recordando o seu Parecer n.º 20/2018, de 2 de maio, sobre a então Proposta de Lei n.º 120/XIII/3.ª, a CNPD notou que o legislador português havia decidido manter algumas das normas aí assinaladas como violadoras do Direito da União e disse não ser possível salvá-las através de uma interpretação corretiva, por ser insuprível a antinomia com as normas do RGPD e da CDFUE (42).

Também em 2019, a CNPD recebeu de várias entidades públicas o pedido de dispensa de aplicação de coimas durante três anos, ao abrigo do disposto nos artigos 44.º, n.º 2, e 59.º da Lei n.º 58/2019, sem que contra elas estivesse a decorrerum processo de natureza contraordenacional. Com a Deliberação n.º 495/2019, a CNPD esclareceu que a dispensa prevista na lei só pode ser requerida pelas entidades públicas e decidida após a notificação da acusação da prática de um ilícito contraordenacional, no âmbito de um processo concreto, pelo que todos os requerimentos de dispensa apresentados fora deste contexto não justificam a abertura de um procedimento decisório (43).

Reporte de incidentes de segurança

Apesar de, como referimos na secção anterior, ainda não ter sido adotada a legislação que há de definir os requisitos de notificação de incidentes de segurança, nos termos do artigo 13.º da Lei n.º 46/2018, o CERT.PT tem vindo a registar incidentes. Segundo o Relatório Riscos & Conflitos (CNCS, 2020: 40), o CERT.PT registou 754 incidentes em 2019, o que representou um aumento de 26% em relação ao ano anterior e confirma a tendência de crescimento constante verificada desde 2015. Os incidentes mais comuns em 2019 foram o phishing, a infeção por malware e o compromisso de conta, 31%, 16% e 13% do total, respetivamente (CNCS, 2020: 38).

A ANACOM, por seu turno, recebeu, em 2019, notificações de 80 incidentes de segurança por parte das empresas que oferecem redes públicas ou serviços de comunicações eletrónicas acessíveis ao público, um valor inferior ao de 2018 (113 incidentes) e o mais baixo desde 2015 (ANACOM, 2020: 5).


Figura 2
classroom_meet_1
A principal “causa raiz” na base dos incidentes de segurança notificados à ANACOM continua a ser a falha no fornecimento de bens ou serviços por entidade externa (56%), sendo que a falha de hardware/software se cifrou nos 23%, o ataque malicioso em 6%, o erro humano em 4% e o acidente/desastre natural em 11%.

Figura 3
classroom_meet_1
Entre os aspetos mais relevantes apontados pela ANACOM no seu relatório sobre 2019, refira-se o facto de esta ter reportado à ENISA oito incidentes de segurança, “os quais excederam o limiar à escala da UE, com base na duração de um incidente e no número relativo de assinantes/acessos afetados”, número este mais elevado do que o verificado em 2018 (cinco).

Caracterização de operadores de serviços essenciais

Em cumprimento do disposto no artigo 29.º, n.º 1, da Lei n.º 46/2018, o CNCS procedeu à identificação dos operadores de serviços essenciais. Os dados disponíveis indicam que foram identificados 26 serviços essenciais e 1250 operadores de serviços essenciais, segundo informações comunicadas à Comissão Europeia e apresentadas no relatório de 28 de outubro de 2019, em que esta fez a avaliação da coerência das abordagens adotadas pelos Estados Membros na identificação dos operadores de serviços essenciais de acordo com o artigo 23.º, n.º 1, da Diretiva SRI [COM(2019) 546]. Segundo o relatório, Portugal está abaixo da média da UE no que respeita à identificação de serviços essenciais (35 serviços) e acima da média da UE no que respeita à identificação de operadores de serviços essenciais (633 operadores).

Figura 4
classroom_meet_1
Figura 5
classroom_meet_1
Na análise que fez dos resultados, a Comissão Europeia notou que o facto de as autoridades nacionais não serem obrigadas a apresentar o nome dos operadores identificados torna difícil a comparação dos resultados do processo de identificação em termos da exaustividade da lista e do impacto em empresas da mesma dimensão e pertencentes ao mesmo setor. Portugal é referido como tendo optado por adotar uma abordagem mais granular do que a Estónia, que optou por um título muito geral que permite identificar basicamente qualquer operador que considerem essencial no subsector da eletricidade, e menos granular do que a Bulgária, que elaborou uma lista extremamente pormenorizada de serviços e incluiu mesmo um serviço não abrangido pelo Anexo II da Diretiva SRI. Tal como a Dinamarca, Portugal optou por não incluir alguns serviços que outros Estados Membros incluíram. A Comissão concluiu que os Estados Membros têm interpretações divergentes quanto ao que constitui um serviço essencial nos termos da Diretiva SRI, observando que estas “lacunas de coerência” podem dar origem a condições de concorrência diferentes entre os operadores de serviços essenciais no mercado interno.

O relatório da Comissão apenas disponibiliza dados quanto aos serviços essenciais identificados pelos Estados Membros nos subsetores da eletricidade e do transporte ferroviário. Portugal identificou dois serviços essenciais em cada subsetor:


Subsetor Serviços identificados
Eletricidade Operadores de redes de distribuição

Operadores da rede de transporte
Transporte ferroviário Gestores de infraestruturas na aceção do artigo 3.º, n.º 2, da Diretiva 2012/34/UE

Empresas ferroviárias na aceção do artigo 3.º, n.º 1, da Diretiva 2012/34/UE, incluindo os operadores de instalações de serviço na aceção do artigo 3.º, n.º 12, da Diretiva 2012/34/UE

DESTAQUES

A aplicação do quadro legal de Direito da União Europeia e de Direito português tem suscitado dúvidas por parte dos tribunais e das entidades administrativas com poderes de fiscalização e sanção.

A declaração de invalidade da Diretiva 2006/24/CE, pelo TJUE, no acórdão Digital Rights Ireland, de 2014, suscitou, em Portugal, a questão de saber qual a validade jurídica da Lei n.º 32/2008, sobre conservação de dados, que transpôs a Diretiva para a ordem jurídica portuguesa. A CNPD considera-a inválida e, em deliberaçãode 2017, decidiu deixar de a aplicar, ao passo que o Ministério da Justiça e o Gabinete Cibercrime da Procuradoria-Geral da República entendem que a Lei permanece válida.

Num acórdão de 2019, o Tribunal reconheceu que, apesar de a declaração da invalidade da Diretiva 2006/24/ CE não pôr imediatamente em causa a Lei n.º 32/2008, isso não obsta a que se considere imperativo avaliar a conformidade desta com o Direito da União Europeia, em especial com a Carta dos Direitos Fundamentais da União Europeia. Encontra-se pendente no Tribunal Constitucional um processo de fiscalização abstrata da constitucionalidade da Lei n.º 32/2008, requerido pela Provedora de Justiça, em 2019.

Os tribunais portugueses também se têm debatido com dúvidas quanto à articulação entre a Lei do Cibercrime e o Código de Processo Penal, em virtude da área de sobreposição existente entre o artigo 189.º do Código e os artigos 17.º (apreensão de correio eletrónico e registos de comunicações de natureza semelhante) e 19.º (interceção de comunicações) da Lei do Cibercrime. A orientação dos tribunais tem sido no sentido de sustentar uma revogação implícita ou tácita, pelo menos parcial, do artigo 189.º do Código de Processo Penal.

Dados da Direção-Geral de Política da Justiça indicam que os cibercrimes registados sofreram um crescimento acentuado desde a entrada em vigor da Lei do Cibercrime, na ordem dos 600%, sendo que o número total de cibercrimes registados pelas autoridades policiais em 2019 (18.158) corresponda a 5.41% do total de crimes registados no território nacional nesse ano.

Ainda não existem registos de processos contraordenacionais instruídos ao abrigo da Lei n.º 46/2018, por não ter sido adotada a legislação que há de definir os requisitos de segurança e os requisitos de notificação de incidentes cujo incumprimento importará responsabilidade contraordenacional.

A CNPD já exerce as suas competências de fiscalização e sanção ao abrigo do RGPD desde 2018, tendo produzido, até ao momento, cinco deliberações condenatórias (uma em 2018 e quatro em 2019). Os valores globais das coimas aplicadas oscilam entre dois mil euros e quatrocentos mil euros.

Em cumprimento do disposto no artigo 29.º, n.º 1, da Lei n.º 46/2018, o CNCS procedeu à identificação dos operadores de serviços essenciais. Os dados disponíveis indicam que foram identificados 26 serviços essenciais e 1250 operadores de serviços essenciais. Segundo relatório da Comissão Europeia, Portugal está abaixo da média da UE no que respeita à identificação de serviços essenciais (35 serviços) e acima da média da UE no que respeita à identificação de operadores de serviços essenciais (633 operadores).


(26)Acórdão do Tribunal de Justiça (Grande Secção), de 8 de abril de 2014, Digital Rights Ireland Ltd v Minister for Communications, Marine and Natural Resources and Others and Kärntner Landesregierung and Others, processos apensos C293/12 e C594/12, disponível em eur-lex.europa.eu [12.12.2020].

(27)Acórdão do Tribunal de Justiça (Grande Secção), de 21 de dezembro de 2016, Tele2 Sverige AB contra Post-och telestyrelsen e Secretary of, processos apensos C-203/15 e C-698/15, disponível em curia.europa.eu [12.12.2020].

(28)Acórdão do Tribunal de Justiça (Grande Secção), de 2 de outubro de 2018, Ministerio Fiscal, processo C-207/16, disponível em curia.europa.eu [12.12.2020].

(29)Acórdão do Tribunal de Justiça (Grande Secção), de 6 de outubro de 2020, Privacy International v Secretary of State for Foreign and, processo C-623/17, disponível em curia.europa.eu [12.12.2020].

(30)Acórdão do Tribunal de Justiça (Grande Secção), de 6 de outubro de 2015, Maximillian Schrems contra Data Protection Commissioner, processo C-362/14, disponível em curia.europa.eu [12.12.2020].

(31)Acórdão do Tribunal de Justiça (Grande Secção), de 16 de julho de 2020, Data Protection Commissioner contra Facebook Ireland Ltd e, processo C-311/18, disponível em curia.europa.eu [12.12.2020].

(32)Tribunal da Relação de Évora, acórdão de 6 de janeiro de 2015, prolatado no processo n.º 6793/11.2TDLSB-A.E1, disponível em www.dgsi.pt [12.12.2020].

(33)Tribunal da Relação de Évora, acórdão de 8 de outubro de 2019, prolatado no processo n.º 180/19.1GHSTC.E1, disponível em www.dgsi.pt [12.12.2020]. Cf., igualmente, Tribunal da Relação do Porto, acórdão de 20 de novembro de 2019, prolatado no processo n.º 54/19.6GDSTS-A.P1.

(34)Acórdão do Tribunal Constitucional n.º 420/2017, de 13 de julho, prolatado no processo n.º 917/16, disponível em www.tribunalconstitucional.pt [12.12.2020].

(35)Acórdão do Tribunal Constitucional n.º 464/2019, de 21 de outubro, prolatado no processo n.º 26/2018, disponível em www.tribunalconstitucional.pt [12.12.2020]. Sobre esta matéria, há uma decisão do Tribunal da Relação de Lisboa, acórdão de 28 de novembro de 2018, prolatado no processo n.º 8617/17.8T9LSB-A.L1-3, disponível em www.dgsi.pt [12.12.2020], onde se lê que “[a] declaração de invalidade da Directiva 2006/24/CE (transposta para ordem interna na Lei nº 32/2008 de 17/07) não tem uma consequência automática sobre a validade do acto legislativo interno que a transpôs, porquanto o acto legislativo nacional tem uma fonte autónoma de validade e legitimidade, pois não se limitou a transpor tal Directiva, antes a densificando e aperfeiçoando ao direito interno, sendo que a análise do Tribunal de Justiça apenas incidiu sobre o texto da Directiva”.

(36)Optou-se por fazer referência apenas aos crimes mencionados no Relatório Anual de Segurança Interna 2019 como pertencentes ao domínio da cibercriminalidade (Sistema de Segurança Interna, 2020: 48).

(37)Deliberação n.º 984/2018, de 9 de outubro, disponível em www.cnpd.pt/home/decisoes [12.12.2020].

(38)Deliberação n.º 21/2019, de 5 de fevereiro, disponível em www.cnpd.pt/home/decisoes [12.12.2020].

(39)Deliberação n.º 207/2019, de 19 de março, disponível em www.cnpd.pt/home/decisoes [12.12.2020].

(40)Deliberação n.º 222/2019, de 25 de março, disponível em www.cnpd.pt/home/decisoes [12.12.2020].

(41)Deliberação n.º 297/2019, de 6 de maio, disponível em www.cnpd.pt/home/decisoes [12.12.2020].

(42)(43)Deliberação n.º 494/2019, de 3 de setembro, disponível em https://www.cnpd.pt/home/decisoes/ [12.12.2020].

Seguinte
Última atualização em 01-04-2021