A disposição de referência no direito da União Europeia em matéria sancionatória relativa a infrações relacionadas com dados pessoais era a do art. 24.º da Diretiva 95/46/CE, de 24 de outubro de 1995, nos termos da qual “[o]s Estados membros tomarão as medidas adequadas para assegurar a plena aplicação das disposições da presente directiva e determinarão, nomeadamente, as sanções a aplicar em caso de violação das disposições adoptadas nos termos da presente
directiva”520/521. Para esta norma remetiam, desde logo, o art. 15.º, n.º 2, da Diretiva
2002/58/CE, do Parlamento Europeu e do Conselho Europeu, de 12 de julho de 2002, relativa ao tratamento de dados pessoais e à proteção da privacidade no
sector das comunicações eletrónicas522, bem como o art. 13.º, n.º 1, da Diretiva
520 Este instrumento conferia aos Estados-Membros uma ampla margem de discricionariedade na escolha das sanções e das vias de recurso adequadas, uma vez que não continha orientações específicas sobre a natureza ou o tipo de sanções consideradas adequadas, nem dava exemplos de sanções, cfr. AGÊNCIA DOS DIREITOS FUNDAMENTAIS DA UNIÃO EUROPEIA E CONSELHO DA EUROPA – Manual..., op. cit., pág. 135. No entanto, embora os Estados-Membros da União Europeia gozassem de uma certa margem de discricionariedade na determinação das medidas mais adequadas para salvaguardar os direitos que o direito da União Europeia atribuía às pessoas, tendo em conta o princípio da cooperação leal, estabelecido no art. 4.º, n.º 3, do T.U.E., deviam ser respeitados os requisitos mínimos da eficácia, equivalência, proporcionalidade e dissuasão, de acordo com o Parecer n.º 2/2012, sobre a proposta do pacote de reforma legislativa sobre proteção de dados, da Agência dos Direitos Fundamentais da União Europeia. Viena, 1 de outubro de 2012. [Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: https://bit.ly/2XIX2mm. Pág. 27, § 81. Também o T.J.U.E. havia entendido, repetidamente, que a liberdade conferida ao legislador nacional para determinar as sanções aplicáveis não era absoluta, do qual é exemplo o acórdão de 10 de abril de 1984, Processo n.º 14/83, Sabine von Kolson and Elisabeth Kamann contra Land Nordrhein-Westfalen. [Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2VaGENe. Nestes termos, cf. AGÊNCIA DOS DIREITOS FUNDAMENTAIS DA UNIÃO EUROPEIA E CONSELHO DA EUROPA – Manual..., op. cit., págs. 135-136.
521 Cfr. MOUTINHO, José Lobo; RAMALHO, David Silva – Notas sobre..., op. cit., pág. 21.
102
2006/24/CE, do Parlamento Europeu e do Conselho Europeu, de 15 de março de 2006, relativa à conservação de dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas publicamente disponíveis ou de redes
públicas de comunicações523, que alterou a Diretiva 2002/58/CE524/525.
Como é habitual em normas com este grau de indeterminação, a transposição do art. 24.º da Diretiva 95/46/CE para os diferentes ordenamentos jurídicos foi feita em termos significativamente distintos, quer quanto à qualificação da infração como crime, contraordenação ou outra sanção administrativa, quer
quanto à medida legal da sanção abstratamente aplicável526. Com efeito, a
disparidade de tratamento e valoração destas infrações era, desde logo, visível
dentro do próprio ordenamento jurídico português527. Veja-se que, apesar de a
norma que determina a aplicação de sanções por infrações em matéria de proteção de dados pessoais ser, como se viu, fundamentalmente a mesma em todas as
referidas Diretivas528, a verdade é que, enquanto na Lei de Proteção de Dados
Pessoais – que transpõe para o ordenamento jurídico português a Diretiva 95/46/CE, de 24 de outubro de 1995 –, a coima máxima abstratamente aplicável se situa nos 6.000.000,00 $ (aproximadamente, 29.927,87 €), cfr. o art. 37.º, n.º 1, al. b), e n.º 2, já na Lei n.º 41/2004, de 18 de agosto – que transpõe para o ordenamento jurídico português a Diretiva 2002/58/CE, do Parlamento Europeu e do Conselho Europeu, de 12 de julho de 2002 – prevêem-se sanções que ascendem aos
523 [Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2IB6nI6.
524 Sendo certo que o objeto da Diretiva 2006/24/CE, do Parlamento Europeu e do Conselho Europeu, de 15 de março de 2006, é substancialmente distinto do das outras duas diretivas, pois enquanto estas últimas assentam no princípio de que o tratamento de dados pessoais deve estar sujeito a critérios de necessidade, pertinência e não excessividade em relação às concretas finalidades prosseguidas (sem prejuízo da exceção prevista no art. 15.º, n.º 1, da Diretiva 2002/58/CE), já a Diretiva 2006/24/CE, do Parlamento Europeu e do Conselho Europeu, de 15 de março de 2016, impõe a conservação de determinados dados gerados ou tratados no contexto da oferta de serviços de comunicações eletrónicas, tendo em vista garantir a disponibilidade desses dados para efeitos de investigação, de deteção e de repressão de crimes graves, tal como definidos no direito nacional de cada Estado-Membro. Foi, aliás, acima de tudo, devido ao facto de esta Diretiva impor uma significativa intromissão nos direitos fundamentais ao respeito pela vida privada e à proteção de dados pessoais que o T.J.U.E., em acórdão da Grande Secção, de 8 de abril de 2014, Processos apensos n.os 293/12 e 594/12, Digital Rights Ireland Ltd (293/12) contra
Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána, Irlanda, The Attorney General, e Kärntner Landesregierung (594/12), Michael Seitlinger, Christof Tschohl e o.
[Consulta em 20 de fevereiro de 2019]. Disponível para consulta em: http://bit.ly/2Iu2vJw, a declarou inválida, por violação dos arts. 7.º, 8.º e 52.º, n.º 1, da C.D.F.U.E. – como já referimos. Para uma análise da decisão de invalidade da Diretiva 2006/24/CE, do Parlamento Europeu e do Conselho Europeu, de 15 de março de 2006, veja-se VACIAGO, Giuseppe – The
Invalidation of the Data Retention Directive – A first impact assessment of the CJEU decisions in the joint cases C-293/12 and C- 594/12. Computer Law Review International. De Gruyter. Volume 15, Issue 3, junho de 2014. Págs. 65-69.
525 Cfr. MOUTINHO, José Lobo; RAMALHO, David Silva – Notas sobre..., op. cit., pág. 21. 526 Ibidem, pág. 21.
527 Ibidem, pág. 22.
528 Ainda que, em rigor, no caso da Diretiva 2006/24/CE, do Parlamento Europeu e do Conselho Europeu, de 15 de março de 2016, para além da remissão para as disposições do Capítulo III da Diretiva 95/46/CE, nas quais se inclui a referida norma sobre sanções, exista ainda uma disposição autónoma igualmente sobre sanções, adaptada ao objeto específico da Diretiva, nos termos da qual “[o]s Estados-Membros devem tomar, em particular, as medidas necessárias para assegurar que o acesso ou a transferência intencional de dados conservados em conformidade com a presente directiva, não permitido pelo direito nacional adoptado em virtude da presente directiva, seja punível por sanções, incluindo sanções administrativas ou penais, que sejam efectivas, proporcionadas e dissuasivas” (art. 13.º, n.º 2).
103
5.000.000,00 €, cfr. o art. 14.º, n.º 1529. É certo que, para esta amplitude, concorre
também o facto de, entre a publicação de uma e outra lei, terem decorrido seis anos, bem como a diferença dos âmbitos de incidência subjetiva de cada um dos
diplomas530. Contudo, a verdade é que a sua vigência em simultâneo revelava uma
incongruência do sistema jurídico e denunciava diferentes graus de valoração de infrações que têm por base essencialmente a violação de normas destinadas à
proteção de dados pessoais531.
Ademais, o crescimento da economia digital até 2020 pressupõe um reforço da confiança do consumidor nas novas formas de transações comerciais e digitais – soberano em relação aos seus dados pessoais –, através de uma reforma global das regras de proteção de dados pessoais, que foi proposta pela Comissão Europeia, em 2012, e se apoiou na capacidade de controlo dos dados pessoais; no reforço da segurança destes dados, em resposta ao «ciber-risco»; no reforço dos direitos do titular dos dados pessoais; e na atitude responsável e pró-ativa das organizações que tratam os dados pessoais.
1.2. A tentativa de mudança de paradigma e o surgimento da