I. Sufragando o que tem sido a posição da jurisprudência nesta matéria, estando em causa a investigação de crimes não enquadráveis no conceito de crimes graves, previstos no art° 2°, n°1, al. g) da Lei n° 32/2008 de 17 de Julho (o que impede a aplicação desta Lei), mas estando em causa dados de tráfego definidos no art.° 2°, al. c) da Lei n° 109/2009 de 15 de Setembro (LC), pode a autoridade judiciária competente, tendo em vista a descoberta da verdade, solicitar que sejam disponibilizados tais dados, ao abrigo do disposto nos arts. 11°, n° 1, alíneas b) e c) e 14°, n° 1, da mesma Lei n° 109/2009.
II. Na verdade, estão em causa crimes previstos no art.° 11°, n° 1 da Lei 109/2009, al. b) (cometido por meio de um sistema informático) e al. c) (crimes em relação aos quais se revela necessário proceder à recolha de prova em suporte electrónico), e enquadrando-se os dados de tráfego em causa na definição do art° 2°, al. c) da Lei n° 109/2009, e tornando-se necessário à produção da prova, tendo em vista a descoberta da verdade, obter dados informático específicos e determinados.
III. Esta Lei n° 109/2009 regula de igual modo a conservação de dados de tráfego, sendo os crimes igualmente graves, pelo que não se vê razão para não poder beneficiar da transmissão deste meio de prova na procura da verdade material.
Proc. 8617/17.8T9LSB-A.L1 3ª Secção
Desembargadores: Conceição Gonçalves - Maria Elisa Marques - -
Sumário elaborado por Margarida Fernandes
_______
Processo n° 8617/17.8T9LSB-Al1
3ª secção.
I. Relatório.
Acordam, em conferência, na 3a Secção Criminal do Tribunal da Relação de Lisboa
1. No processo de Inquérito a correr termos no Departamento de Investigação e Acção Penal de Lisboa — 3a Secção, com o número supra identificado, em que é queixosa a sociedade “P e P, SROC” foi proferido pelo Sr° Juiz de Instrução Criminal - Juiz 2, em 5.06.2018, o despacho exarado a fls. 127 dos autos, no âmbito do qual indeferiu a promoção do Ministério Público, em que visava a quebra de sigilo à operadora Vodafone, considerando ser totalmente inviável a obtenção dos dados promovidos.
2. Inconformado com o assim decidido, recorreu o Ministério Público, formulando as seguintes conclusões (transcrição):
1. Entendeu o Tribunal a quo que, atentos os tipos de crimes sob investigação, não existe fundamento legal para determinar a quebra de sigilo à operadora Vodafone, a fim de que a mesma fornecesse os elementos de identificação do cliente ao qual se encontram atribuídos os IP's utilizados pelo suspeito.
2. Ora, nos presentes autos investiga-se a prática de factos susceptíveis de consubstanciar, em abstracto crimes de burla informática e nas comunicações, de falsificação ou contrafacção de documento e de acesso ilegítimo, previstos e punidos, respectivamente, pelos artigos 221°, n° 1, 256°, n° 1, alínea d), e artigo 6°, n° 1, da Lei n° 109/2009, de 15 de Setembro.
3. Com efeito, indivíduos de identidade ainda desconhecida acederam ao site das Finanças e, após digitarem a password das sociedades “SV” , “FM” e da “W, AG” (clientes da queixosa) submeteram oito Guias de Retenção na Fonte, na qual fizeram constar valores sem correspondência com a realidade.
4. Tal conduta deu azo à instauração de processos de execução fiscal contra os clientes da queixosa no valor global de 541.925,83 euros.
5. Das diligências já realizadas logrou apurar-se junto da Autoridade Tributária os endereços de IP utilizados no acesso ao site das Finanças, os quais se encontram associados à operadora Vodafone (cfr. fls.101.103 e 121),
7. A identificação do cliente que utilizou os referidos IP's reveste-se, assim, do máximo interesse para a presente investigação criminal, porquanto, sem ela, as suas finalidades sairão certamente goradas.A identificação daquele cliente configura um dado de tráfego, tal como definido no artigo 2.°, alínea e), da Lei n° 109/2009, de 15 de Setembro e artigo 4.°, da citada Lei n° 32/2008, de 17 de Julho.
8. O artigo 9° deste último Diploma, apenas prevê a possibilidade de as operadoras comunicarem tais dados à autoridade judiciária quando em causa estiver a investigação de um dos crimes previstos no seu artigo 2°, n.° 1, alínea g), no qual não se inclui os crimes de burla informática e nas comunicações, de falsificação ou contrafacção de documento ou de acesso ilegítimo sob investigação.
9. No entanto, entendemos que tais dados podem ainda ser solicitados ao abrigo do disposto nos artigos 11°, n.° 1, alínea b) e c), e 14°, n° 1, da Lei n° 109/2009, de 15 de Setembro.
10. Com efeito, aquele Diploma revogou a Lei n° 32/2008, de 17 de Julho, em tudo o que não seja a regulação dos dados contidos no seu artigo 4°, o que não é o caso da identidade do utilizador dos endereços de IP.
11. No mesmo sentido do entendimento por nós sufragado encontramos o Acórdão do Tribunal da Relação de Lisboa, datado de 22 de Janeiro de 2013 (processo n° 581/12.6PLSNT-A.L1.5, disponível em www.dqsi.pt), no qual se pode ler que: (. . .) na leitura integrada de todo o regime legal, que se julga adequada a interpretação de que se os dados a obter são dados de tráfego, de acordo com a definição do art. 2° al. c) da Lei do Cibercrime, e tiverem de ser recolhidos junto de uma operadora localizada em território nacional, independentemente de estarmos perante crimes graves, enunciados no artigo 2° n° 1, alínea g) da Lei 32/ 2008 de 17 de Julho, poderá a autoridade judiciária competente, tendo em vista a descoberta da verdade, ordenar que estes sejam disponibilizados sob pena de punição por desobediência. É o que resulta do disposto no art. 14° n °s 1, 2, 3 e 4 da mesma Lei.
12. Tal entendimento foi ainda sufragado no Acórdão do Tribunal da Relação de Évora, datado de 20 de Janeiro de 2015 (processo 648/14.6GCFAR-A.EI, disponível em www.dgsi.pt) e no Acórdão do Tribunal da Relação de Lisboa, datado de 14 de Abril de 2015 (processo n° 353/14.SSMPRT-A.LI.5, não publicado).
13. Pelo exposto, concluímos que o douto despacho, ora recorrido, violou o disposto no artigo 9°, da Lei n° 32/2008, de 17 de Julho e artigos 2°, alínea a), 11°, n° 1, alíneas b), e e), e 14°, n° 1, da Lei n° 109/2009, de 15 de Setembro, motivo pelo qual, dando-se provimento ao presente recurso, deverá o douto despacho, ora recorrido, ser substituído por outro que determine a quebra de sigilo à operadora Vodafone, a fim de que a mesma forneça aos presentes autos a identificação completa (nome, fotocópia do documento de identificação, morada e contacto telefónico) do cliente ao qual foram atribuídos os endereços IP supra identificados.
3. O recurso foi admitido com subida imediata, nos próprios autos e efeito devolutivo (cfr. despacho de fls. 139).
4. Não foi oferecida resposta ao recurso.
5. Neste Tribunal a Exma Procuradora Geral Adjunta emitiu o douto parecer que consta a fls. 144 a 149, acompanhando integralmente os fundamentos aduzidos no recurso, aditando, complementarmente, e de mais relevante, que o despacho recorrido não se pronunciou sobre o disposto na Lei n° 109/2009 de 16.09, particularmente o art° 2°, al. a), 11° e 14°, fundamentadores da promoção do MP, como desconsiderou importantes referências jurisprudenciais dos Tribunais Superiores como do Tribunal Constitucional nesta matéria, que cita e analisa no seu parecer, concluindo haver entendimento jurisprudencial no sentido de que se os dados a obter são dados de tráfego, e tiverem de ser recolhidos junto de uma operadora localizada em território nacional, independentemente de estarem perante crimes graves, enumerados no artigo 2°, n° 1, alínea g) da lei 32/2008 de 17 de Julho, poderá a autoridade judiciária competente, tendo em vista a descoberta da verdade, ordenar que estes sejam disponibilizados sob pena de punição por desobediência. É o que resulta do disposto no art° 14°, n°s. 1, 2, 3 e 4 da mesma Lei, (Lei 109/2009).
Por outro lado, no que tange ao citado acórdão do TJUE, Grande Secção, no qual o tribunal recorrido baseou o seu indeferimento, discordou de tal entendimento, aderindo à fundamentação vertida no acórdão do Tribunal Constitucional n° 420/2017 de 13.07.2017, que considerou que a declaração de invalidade de uma directiva não tem uma consequência automática sobre a validade de acto legislativo português que a transponha. O acto legislativo nacional, embora tendo como objectivo o cumprimento do dever de transposição de directivas, decorrentes do Direito da EU (artigo 4°, n° 3, do Tratado EU, artigo 288°, n° 8, da Constituição) tem uma fonte autónoma de validade e legitimidade.
O Tribunal de Justiça não tem jurisdição para apreciar a validade dos actos de direito nacional dos Estados-Membros, sendo que a sua análise apenas incidiu sobre o texto da directiva. A validade da Lei n° 32/2008, de 17 de Julho, não pode ser posta em causa apenas devido ao facto de este acto normativo da União ter sido declarado inválido.
Assim se pronunciou a Exma PGA, pugnando pela revogação do despacho recorrido, devendo o mesmo ser substituído por outro que determine a quebra de sigilo.
6. Foram colhidos os Vistos legais.
7. Procedeu-se então à Conferência com observância do legal formalismo. Cumpre decidir.
II. FUNDAMENTAÇÃO.
1. Conforme entendimento pacífico da doutrina e jurisprudência1, o âmbito do recurso é delimitado pelas conclusões do recorrente, vindo o presente recurso a colocar a seguinte questão:
-Saber se é admissível a obtenção de dados de tráfego e dados conexos necessários para a identificação do assinante ou do utilizador num sistema informático, quando os factos em investigação não são subsumiveis na categoria de crimes graves, previstos no art° 2°, n°1, al. g) da Lei n° 32/2008 de 17/07?
2. Dos Factos.
Verificam-se, com relevância, as seguintes ocorrências processuais para a decisão do recurso:
2.1. Investigam-se nos presentes autos factos susceptíveis de consubstanciar a prática de crimes de burla informática e nas comunicações, de falsificação ou contrafacção de documento e de acesso ilegítimo, previstos e punidos, respectivamente, pelos artigos 221°, n° 1, 256°, n° 1, alínea d), do Cód. Penal e artigo 6°, n° 1, da Lei n° 109/2009, de 15 de Setembro (acesso ilegítimo).
2.2. A queixosa “P e P, SROC” presta serviços de assessoria fiscal e representação junto da Autoridade de Seguros e Fundo de Pensões a várias empresas seguradoras que actuam em Portugal, entre elas a “SV” , “FM” e da “W, AG”, acontecendo que indivíduos de identidade ainda desconhecida acederam ao site das Finanças e, após digitarem a password destas sociedades (clientes da queixosa), submeteram oito Guias de Retenção na Fonte, na qual fizeram constar valores sem correspondência com a realidade, dando azo à instauração de processos de execução fiscal contra os clientes da queixosa no valor global de 541.925,83 euros.
2.3. No âmbito da investigação levada a cabo considerou-se que a identificação do cliente que utilizou o referido I.P. na hora e data ali indicadas reveste-se do máximo interesse para a presente investigação criminal, tendo logrado apurar-se junto da Autoridade Tributária os endereços de IP utilizados no acesso ao site das Finanças, os quais se encontram associados à operadora Vodafone.
2.4. Por ofício de fls. 118 e 119, a operadora Vodafone informou que apenas dispõe dos dados pretendidos numa base de dados autónoma, nos termos do art° 6° da Lei 32/20008, de 17/07, sendo de 1 ano o período de conservação, com a finalidade exclusiva de transmitir estes dados às autoridades competentes para a investigação, detecção e repressão dos crimes graves elencados no art° 2°, n° 1, alínea g) do mesmo diploma, necessitando da remessa de despacho de autorização proferido por Juiz de Instrução Criminal, conforme decorre do disposto no art° 9°, n° 1, da mesma Lei, o que não se verificou.
2.5. Subsequentemente, o Ministério Público remeteu ao Juiz de Instrução solicitando, ao abrigo do disposto no art° 9° da Lei n° 32/2008, de 17 de Julho e artigos 2°, alínea a), 11° e 14°, da Lei n° 109/2009, de 15 de Setembro, que se determine a quebra de sigilo à Operadora Vodafone, a fim de a mesma fornecer aos presentes autos a identificação completa do cliente identificando o IP.
2.6. Face ao promovido, veio o Mm° Juiz de Instrução a proferir o seguinte despacho (fls.96):
3. O Direito.
3.1. O Digno recorrente insurge-se contra o despacho proferido pelo Sr. Juiz de Instrução Criminal, por neste ter indeferido a obtenção dos dados promovidos, entendendo não existir fundamento legal para determinar a quebra de sigilo à Vodafone, atentos os tipos de crimes em investigação, que não se mostram abrangidos no conceito de crime grave mencionado no art° 2°, n° 1, al. g) da Lei n° 32/2008 de 17/07.
Entende o Digno recorrente que a identificação do cliente que utilizou os referidos IP's configura um dado de tráfego, tal como definido no artigo 2°, al. e), da Lei n° 109/2009, de 15 de Setembro e artigo 4.°, da citada Lei n° 32/2008, de 17 de Julho, entendendo que tais dados podem ainda ser solicitados ao abrigo do disposto nos artigos 11°, n.° 1, alínea b) e c), e 14°, n° 1, da Lei n° 109/2009, de 15 de Setembro, mostrando-se a obtenção de tais dados do máximo interesse para a presente investigação, porquanto sem ela, as suas finalidades sairão certamente goradas.
3.2. Conhecendo.
3.2.1. Em face das vicissitudes relatadas, e pelas razões que abaixo iremos explanar, desde já adiantamos, com o devido respeito por opinião diversa, que somos a entender assistir razão ao recorrente.
Vejamos o porquê deste entendimento.
Antes de tudo o mais, importa salientar que a questão a decidir incide fundamentalmente na protecção de direitos fundamentais: o direito à reserva da intimidade da vida privada e familiar e o direito ao sigilo de correspondência (cfr. arts. 26° e 34° da CRP).
O direito à reserva da intimidade da vida privada e familiar compreende o direito de impedir o acesso de estranhos a informações sobre a vida privada e familiar, assim como o direito a que ninguém divulgue as informações que tenha sobre a vida privada e familiar de outrem.
O n° 4 do citado artigo 34°, ainda no âmbito da protecção da intimidade da vida
privada, estabelece que é proibida toda a ingerência das autoridades públicas na correspondência, nas telecomunicações e nos demais meios de comunicação, salvo os casos previstos na lei em matéria
de processo criminal, norma que está em conformidade com o disposto no artigo 12 da
Declaração dos Direitos do Homem e no artigo 8° da Convenção Europeia dos Direitos do Homem.
Esta garantia permite que a vida privada se possa exprimir através de correspondência ou de outros meios de comunicação.
Assente em tais princípios, importa referenciar, ainda que de forma breve, os condicionalismos que precederam e conduziram à regulação jurídica desta matéria.
No momento que antecedeu a publicação da Lei 3212008, de 17 de Julho, a Europa confrontava-se com a necessidade de criar mecanismos legislativos de luta contra o terrorismo, reafirmando o Conselho Europeu, em 13 de Julho de 2005, na
Declaração em que condenou os ataques terroristas em Londres, a necessidade de aprovar rapidamente medidas comuns relativas à conservação de dados de telecomunicações.
Na procura dessa harmonização das disposições dos Estados-Membros, várias Directivas do Parlamento Europeu e do Conselho antecederam a Directiva n° 2006124/CE de 15 de Março que foi transposta para a ordem jurídica interna na Lei n° 32/2008, de 17 de Julho, tendo o respectivo art° 1° vertido integralmente o objecto desta
Directiva, consignando que A presente lei regula a conservação e a transmissão dos dados de tráfego e de localização relativos a pessoas singulares e a pessoas colectivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado, para fins de investigação, detecção e repressão de crimes graves por parte das autoridades competentes, transpondo para a ordem jurídica interna a Directiva n° 2006/24/CE, do Parlamento Europeu e do Conselho, de 15 de Março, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações electrónicas publicamente disponíveis ou de redes públicas de comunicações...
A Lei 32/2008 de 17 de Julho regula assim a conservação e a transmissão dos
dados de tráfego e de localização relativos a pessoas singulares e pessoas colectivas, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado, para fins de investigação, detecção e repressão de crimes graves por parte
das autoridades competentes.
Esta Lei definiu no âmbito de aplicação das disposições processuais o conceito
de crimes graves, questão esta com relevância face ao teor das conclusões do
presente recurso, consignando que Para efeitos desta lei, entende-se por crime grave, crimes de terrorismo, criminalidade violenta, a criminalidade altamente organizada, sequestro, rapto e tomada de reféns, crimes contra a identidade cultural e integridade pessoal, contra a Segurança do Estado, falsificação de moeda ou títulos equiparados a moeda e crimes abrangidos por convenção sobre segurança da navegação aérea ou marítima (cfr. art.° 2°, n°1, al.g).
E no art.° 4°, n° 1 especificou as categorias de dados a conservar pelos fornecedores de comunicações electrónicas, indicando expressamente esses dados nas alíneas a) a f) do mesmo preceito.
Por fim, o art° 9° regula as condições de transmissão de tais dados, que depende de despacho fundamentado do JIC, se este os determinar indispensáveis para a descoberta da verdade ou que a prova seria, de outra forma, impossível ou muito difícil de obter no âmbito da investigação, detecção e repressão de crimes graves.
n° 3 deste preceito restringe ainda esses dados transmissíveis apenas aos referentes ao suspeito ou arguido, ao suspeito de receber ou transmitir as mensagens em causa, ou à própria vítima, mediante o seu consentimento.
No caso dos autos mostra-se já adquirido para a investigação os endereços de IP (Internet Protocolo) utilizados no acesso ao site das Finanças, encontrando-se associados à operadora Vodafone, pretendendo o Ministério Público com a quebra do sigilo a identificação do cliente que utilizou os referidos IP's, com referência à hora e data ali indicadas, considerando tal diligência do máximo interesse para a investigação.
A pretendida informação referente à identificação do utilizador dos IP's enquadra-se na categorização de dados de tráfego.
Embora esta categorização dos dados em causa não tenha suscitado controvérsia nos presentes autos, temos por útil para melhor clarificação, reportar alguns elementos percursores que permitiram consolidar a categorização dos dados no sector das comunicações.
Como vimos a Lei n° 32/2008 de 17 de Julho, no seu art.° 1°, regula a conservação e a transmissão dos dados de tráfego e de localização, bem como dos dados conexos necessários para identificar o assinante ou o utilizador registado.
Os dados conexos aqui reportados, enquanto isoladamente considerados, não estão sujeitos a sigilo, o que resulta desde logo do facto de que têm natureza contratual, existindo na disponibilidade da operadora sem serem destruídos no fim do período de conservação previsto no respectivo art° 6° da mesma Lei.
Na Proposta de Lei n° 217/IX/1 para transposição na ordem jurídica nacional da Directiva n° 2002/58/CE, do Parlamento Europeu e do Conselho, de 12 de Julho, relativamente ao tratamento de dados pessoais e à protecção da privacidade no sector das comunicações electrónicas (conducente à Lei n° 41/2004, de 18 de Agosto), procedia-se à separação dos dados em dados de localização, dados de tráfico, dados de base e dados de conteúdo, integrando nos dados de base, os dados pessoais relativos à conexão com a rede de comunicações, designadamente o número, identidade e morada do assinante, bem como a listagem de movimentos de comunicações, e que constituem elementos necessários ao estabelecimento de uma base para a comunicação.
Os dados de base, ou de ligação à rede, integram então os elementos prévios e instrumentais de qualquer comunicação, que estão sujeitos ao sigilo se o utilizador tiver requerido um regime de confidencialidade ao serviço de telecomunicações, enquanto os dados de tráfego são já elementos inerentes à própria comunicação, permitindo em tempo real ou à posteriori identificar os utilizadores, assim como o relacionamento directo entre uns e outros através da rede, a localização, a frequência, a data, a hora e a duração. Por isso se incluem no âmbito de protecção do direito de inviolabilidade das comunicações (neste sentido Gomes Canotilho e Vital Moreira (2007:213)
Neste sentido se pronunciou também o Tribunal Constitucional no acórdão n° 486/2009, (in DR, 2° Série, n° 215, de 5/11/2009), assumindo esta mesma distinção entre dados de base, dados de tráfego e dados de conteúdo, reconhecendo que os dados de base, enquanto dados de conexão à rede, constituem elementos necessários ao estabelecimento de uma base de comunicação, estando aquém da comunicação; são prévios em relação a ela e constituem na perspectiva do utilizador, elementos necessários ao acesso à rede, designadamente através da ligação individual e para utilização própria do respectivo serviço.
Regressando ao caso dos autos, estão efectivamente em causa dados de tráfego, visando o Ministério Público obter informação referente à identificação do cliente que utilizou os referidos IP's, com referência à hora e data ali indicadas.
Dados estes que estão previstos no art.° 4° da Lei n° 32/2008 de 17 de Julho, mais concretamente no n° 1, al., al. a) e 2, al. b), i) e iii), na categoria de dados necessários para encontrar e identificar a fonte de uma comunicação.
Acontece que estão em investigação nos presentes autos factos susceptíveis de consubstanciar a prática de crimes de burla informática e nas comunicações, de falsificação ou contrafacção de documento e de acesso ilegítimo, previstos e punidos, respectivamente, pelos artigos 221°, n° 1, 256°, n° 1, alínea d), e artigo 6°, n° 1, da Lei n° 109/2009, de 15 de Setembro (Lei do Cibercrime).
E por isso, o despacho recorrido indeferiu a quebra de sigilo visto estar em causa nos autos a investigação de crimes não enquadráveis no conceito de crime grave.
Na verdade, os crimes em investigação não integram o catálogo de crimes graves previstos no art° 2°, n°1, al. g) da Lei n° 32/2008 de 17/07, e relativamente ao crime de acesso ilegítimo nem poderia integrar, pois a Lei do Cibercrime é posterior (2009). A falta de tal pressuposto sempre impediria a pretendida quebra de sigilo à luz da Lei n° 32/2008, de 17 de Julho.
A questão que então se coloca é a de saber se existe norma legal que permita a obtenção de dados de tráfego para identificação do cliente que utilizou os referidos IP's, estando em causa crimes fora do catálogo de crimes graves?
Esta é a questão essencial que vem colocada no presente recurso.
O Ministério Público, ora recorrente, entendeu que neste caso os referidos dados de tráfego, imprescindíveis à investigação, podem ser solicitados ao abrigo do disposto
no art.° 11, n° 1, alíneas b) e c) e 14°, n° 1, da Lei n° 109/2009, de 15 de Setembro. 3.2.2. Da Lei n° 109/2009 de 15 de Setembro.
Pouco depois da entrada em vigor da referida Lei n° 32/2008, de 17 de Julho, surgiu a Lei 109/2009 de 15/09 (Lei do Cibercrime), transpondo para a ordem jurídica interna a Decisão Quadro n° 2005/222/JAI, do Conselho, de 24 de Fevereiro, relativa
a ataques contra sistemas de informação, e adaptando o direito interno à Convenção sobre Cibercrime do Conselho da Europa.
Havia a necessidade de criar mecanismos processuais especificamente destinados a garantir e regular o modo de obtenção da chamada prova digital.
Quanto ao seu objecto, a Lei 109/2009 de 15/09 estabelece disposições penais materiais e processuais, bem como as disposições relativas à cooperação internacional em matéria penal, relativas ao domínio do cibercrime e da recolha de prova em suporte electrónico (art.° 1°).
Esta Lei surgiu como um completo regime processual (geral) do cibercrime e da prova electrónica, na qual coexistem dois regimes processuais de recolha de prova em ambiente digital: o regime previsto nos artigos 11° a 17°, reportando-se à pesquisa e recolha de dados produzidos mas preservados, armazenados (dados informáticos, incluindo dados de tráfego), reportando-se depois os artigos 18° e 19° ao regime de intercepção de comunicações electrónicas, em tempo real, de dados de tráfego.
Relativamente ao âmbito de aplicação das disposições processuais, estabelece
o n° 1 do art° 11° que tais disposições se aplicam a processos relativos a crimes: a) Previstos na presente lei;
b) Cometidos por meio de sistemas informáticos; ou
c) Em relação aos quais seja necessário proceder à recolha de prova em suporte electrónico.
Podemos assim sintetizar que a Lei do Cibercrime contempla um regime específico e detalhado de preservação e recolha de dados, querendo alargar o seu âmbito de aplicação até onde haja necessidade de fazer prova com o conteúdo existente
em qualquer sistema informático.
O referido art.° 14°, n°1, sob a epígrafe Injunção para apresentação ou
concessão do acesso a dados, dispõe concretamente que Se no decurso do processo se tornar necessário à produção de prova, tendo em vista a descoberta da verdade, obter dados informáticos específicos e determinados, armazenados num determinado sistema informático, a autoridade judiciária competente ordena a quem tenha disponibilidade ou controlo desses dados que os comunique ao processo ou que permita o acesso aos mesmos, sob pena de punição por desobediências (sublinhado nosso).
E o art.° 2°, al. c) define a identificação do cliente que utilizou os referidos IP's
como um dado de tráfego: Dados de tráfego, os dados informáticos relacionados com uma comunicação efectuada por meio de um sistema informático, gerados por este sistema como elemento de uma cadeia de comunicação, indicando a origem da comunicação, o destino, o trajecto, a hora, a data, o tamanho, a duração ou o tipo do serviço subjacente.
3.2.3. Da articulação entre os regimes jurídicos da Lei n° 32/2008 de 17/09 e da Lei n° 109/2009 de 15/09.
O objecto de ambas as leis é parcialmente coincidente. Ambas regulam dados conservados (Lei n° 32/2008) e dados preservados (Lei n° 109/2009), e várias disposições processuais previstas nas referidas leis especiais regulam a forma de obtenção e preservação da prova digital, o que impõe uma análise integrada dos referidos regimes para dar resposta à questão colocada.
A Lei n° 109/2009, de 15 de Setembro (LC) veio sobrepor-se ao regime da Lei n° 32/2008, de 17 de Julho, em matéria de acesso aos dados gerados e tratados relativamente a comunicações electrónicas, gerando por vezes dificuldades de interpretação.
Somos, contudo, a entender, acompanhando a tese que nos parece majoritária, que ambas as leis se complementam (cfr. art° 11°, n° 2, da Lei 109/2009), cabendo ao
intérprete delimitar os âmbitos de aplicação em campos sobrepostos, mas contíguos (cfr. Rita Castanheira Neves, As ingerências nas comunicações electrónicas em processo penal...).
Só perante a situação concreta se poderá identificar, e posteriormente interpretar, o regime processual aplicável.
Na delimitação do respectivo âmbito de aplicação, diremos que o regime da Lei 109/2009, de 15 de Setembro, opera para todos os dados que não estejam especificamente previstos no art° 4°, n° 1 da Lei n° 32/2008, de 17 de Julho, ou seja, para os dados conservados em geral.
Assim, o regime processual da Lei n° 32/2008, de 17 de Julho, constitui relativamente aos dados conservados que prevê no seu art° 4°, um regime especial relativamente ao capítulo processual geral que consta dos arts. 11° a 19° da Lei n° 109/2009 de 15 de Setembro.
Este regime especial da Lei n° 32/2008 é expressamente salvaguardado pela lei posterior (Lei 109/2009), consignando esta Lei no seu art° 11°, n° 2 que as disposições processuais previstas no presente capítulo não prejudicam o regime da Lei n° 32/2008, de 17 de Julho, aplicando-se aos dados especificamente previstos no art° 4° da Lei n° 32/2008 as disposições processuais previstas nesse regime especial (v. art° 3°, n°s. 1 e 2 e art. 9°).
A jurisprudência tem vindo a entender que a Lei 32/2008 aplica-se a todos os dados que estejam especificamente previstos no art° 4°, n° 1, designadamente para
todos os dados conservados relativos a localização celular (cfr. entre outros, o ac. TER de 6.01.2015, in www.dgsi. pt).
Neste sentido cita-se igualmente o ac. do TRL de 22/01/2013 (P. n° 581/12.6PLSNT-A.L5), onde se refere que se os dados a obter são dados de tráfego, definição do art.° 2°, al. c) da Lei 109/2009, de 15 de Setembro (LC), e tiverem de ser recolhidos junto de uma operadora localizada em território nacional, independentemente de estarmos perante crimes graves enumerados no art.° 2°, n° 1, al. g) da Lei n° 32/2008 de 17 de Julho, poderá a autoridade judiciária competente, tendo em vista a descoberta da verdade, ordenar que estes sejam disponibilizados sob pena de punição de desobediência.
É o que resulta do disposto no art° 14°, nos. 1, 2 e 3 da mesma lei (da lei 109/2009).
Tal entendimento mostra-se também sufragado pelo ac. do TRE de 20/01/205 (P.n° 648/14.6 GFAR-E1), e pelo ac. do TER de 6/01/2015, todos publicados no site www.dgst.pt.
3.3. Revertendo ao caso dos autos, e sufragando o que tem sido a posição da jurisprudência nesta matéria, estando em causa a investigação de crimes não enquadráveis no conceito de crimes graves, previstos no art° 2°, n°1, al. g) da Lei n° 32/2008 de 17 de Julho (o que impede a aplicação desta Lei), mas estando em causa dados de tráfego definidos no art.° 2°, al. c) da Lei n° 109/2009 de 15 de Setembro (LC), pode a autoridade judiciária competente, tendo em vista a descoberta da verdade, solicitar que sejam disponibilizados tais dados, ao abrigo do disposto nos arts. 11°, n° 1, alíneas b) e c) e 14°, n° 1, da mesma Lei n° 109/2009.
Na verdade, estão em causa crimes previstos no art.° 11°, n° 1 da Lei 109/2009, al. b) (cometido por meio de um sistema informático) e al. c) (crimes em relação aos quais se revela necessário proceder à recolha de prova em suporte electrónico), e enquadrando-se os dados de tráfego em causa na definição do art° 2°, al. c) da Lei n° 109/2009, e tornando-se necessário à produção da prova, tendo em vista a descoberta da verdade, obter dados
informático específicos e determinados, com o é o caso, a autoridade judiciária competente, ordena a quem tenha disponibilidade ou controlo desses dados que os comunique ao processo ou permita o acesso aos mesmos, sob oena de desobediência, nos termos do art° 14°, n° 1 da mesma Lei (LC)
De realçar que esta Lei n° 109/2009 regula de igual modo a conservação de
dados de tráfego, sendo os crimes igualmente graves, pelo que não se vê razão para não poder beneficiar da transmissão deste meio de prova na procura da verdade material, pelo que temos tal enquadramento legal aplicável no caso em apreço.
3.4. Do Acórdão do Tribunal de Justiça da União Europeia (Grande Secção) de 8 de Abril de 2014 (que declarou inválida a Directiva 2006/24/CE).
O despacho recorrido para justificar o indeferimento invocou ainda o acórdão do Tribunal de Justiça da União Europeia (Grande Secção), dizendo que a admissibilidade
de manutenção de registos idênticos aos pretendidos agora pelo Ministério Público foi objecto de uma forte restrição, não sendo possível por via jurisprudencial admitir a extensão do mencionado dispositivo legal, em ostensiva oposição ao Direito da União Europeia.
Vejamos:
A Directiva n° 2006/24/CE do Parlamento Europeu e do Conselho que foi transposta para a ordem jurídica interna na Lei n° 32/2008, de 17 de Julho, veio a ser declarada inválida em 8.04.2014 pelo Tribunal de Justiça da União Europeia.
O TJUE considerou que a Directiva 2006/24/CE implicava uma invasão desproporcional na vida privada dos cidadãos utilizadores de meios de comunicação electrónica, violando direitos fundamentais ao respeito pela vida privada e à protecção de dados pessoais, designadamente, porque, não contém critérios objectivos de acesso aos dados pelas autoridades nacionais competentes; não contém critérios objectivos para a estipulação dos prazos máximo e mínimo de conservação dos dados; não contém salvaguardas suficientes contra eventuais abusos e não assegura a destruição irreversível dos dados uma vez findo o prazo de conservação.
Nesta matéria, importa referir o acórdão do Tribunal Constitucional n° 420/2017 de 13.07.2017, que considerou que a declaração de invalidade de uma directiva não tem uma consequência automática sobre a validade de acto legislativo português que a transponha. O acto legislativo nacional, embora tendo como objectivo o cumprimento do dever de transposição de directivas, decorrentes do Direito da EU (artigo 4°, n° 3, do Tratado EU, artigo 288°, n° 8, da Constituição) tem uma fonte autónoma de validade e legitimidade.
Decorre assim que o Tribunal de Justiça não tem jurisdição para apreciar a validade dos actos de direito nacional dos Estados-Membros, sendo que a sua análise apenas incidiu sobre o texto da directiva. Deste modo, a validade da Lei n° 32/2008, de 17 de Julho, não pode ser posta em causa apenas devido ao facto de este acto normativo da União ter sido declarado inválido.
O acto legislativo nacional tem, pois, uma fonte autónoma de validade e legitimidade, e ao transpor a referida Directiva, densificou-a, por exemplo, ao nível do período de conservação, fixou-se a obrigação de conservação dos dados pessoais de assinantes e/ou utilizados pelo período de um ano a contar da data da conclusão da comunicação.
Diga-se, ainda, que a citada Lei n° 32/2008 prevê requisitos rigorosos de utilização destes dados preservados, de forma aceitável em confronto com as exigências constitucionais, abrangendo crimes graves, e a transmissão dos dados só pode ser autorizada, por despacho fundamentado do juiz de instrução.
Sobre esta questão pronunciou-se o TC no citado aresto que decidiu Não julgar inconstitucional a norma que estabelece o dever de os fornecedores dos serviços de comunicações eletrônicas publicamente disponíveis ou de uma rede pública de comunicações conservarem pelo período de um ano a contar da data conclusão da comunicação, os dados relativos ao nome e o endereço do assinante ou do utilizador registado, a quem o endereço do protocolo IP estava atribuído no momento da comunicação, constante do disposto no artigo 6° e do artigo 4°, n° 1, alínea a), 2a parte, e n° 2, alínea b), subalínea iii), ambos da Lei n° 32/2008 de 17 de Julho.
E como refere a Exma PGA no seu parecer, citando a Nota Prática n° 7/2015, de 30 de Dezembro de 2015, sobre retenção de dados de tráfego e a Lei n° 32/2008, de 17
de Julho, o Gabinete do Cibercrime do Ministério Público esclareceu igualmente (n°5):
É importante sublinhar que a Lei n° 32/2008, além da transposição da Directiva 2006/24/CE, introduziu um mais alargado quadro, muito complexo, de regulamentação do processo de retenção de dados (por exemplo, entre outras, as regras que devem ser observadas na retenção, as pessoas habilitadas a aceder os dados ou as condições de armazenamento e de acesso aos dados). Neste exercício, a lei nacional foi muito para lá das exigências da Directiva. Desta forma, a maior parte das exigências que vieram a ser feitas pelo acórdão do LAJE estariam já anteriormente consideradas no direito interno. Por essa razão, tem sido entendido que a decisão do tribunal do Luxemburgo não afecta a validade da lei nacional.
Em face de todo o exposto, importa julgar procedente o recurso.
III-Decisão
Termos em que as Juízas da 3a secção deste Tribunal da Relação de Lisboa acordam em conceder provimento ao recurso, revogando-se o despacho recorrido, determinando-se que seja substituído por outro que defira à requerida quebra de sigilo à Operadora Vodafone a fim de que a mesma forneça aos presentes autos os dados indicados na promoção do Ministério Público (como a completa identificação do cliente ao qual foram atribuídos os endereços IP indicados).
Sem tributação por não ser devida.
Notifique.
Elaborado, revisto e assinado pela Relatora Conceição Gonçalves e assinado pela Desembargadora Maria Elisa Marques.
Lisboa, 28/11/2018