11-11-2014
A protecção dos dados pessoais e a
investigação penal no ciberespaço
- alguns aspectos práticos Pedro Dias Venâncio
Advogado
Docente convidado do Instituto Politécnico do Cávado e do Ave
1
Leis de Protecção de
Dados Pessoais no
âmbito das
Telecomunicações
e
Lei do Cibercrime
Código de
Processo
Penal
Lei do
Comércio
Electrónico
Comunicações
Electrónicas
Artigo 35.º da
Constituição da
República
Portuguesa
« A protecção dos dados
pessoais e a investigação
penal no ciberespaço»
Lei de Protecção
de Dados Pessoais
2
1
11-11-2014
• Transpõe Decisão
Quadro n.º 2005/222/JAI,
do Conselho, de 24 de
Fevereiro, e Convenção
sobre Cibercrime do
Conselho da Europa
• Transpõe para a ordem
jurídica interna a
Directiva n.º 2006/24/CE,
do Parlamento Europeu e
do Conselho, de 15 de
Março
• cumpre o artigo 35.º da
C.R.P. e transpõe a
Directiva n.º 95/46/CE,
do Parlamento Europeu e
do Conselho, de 24 de
Outubro de 1995
Lei n.º 109/2009,
de 15 de
Setembro, Lei do
Cibercrime
Lei n.º 67/98, de
26 de Outubro, Lei
da Protecção de
Dados Pessoais
Lei n.º 32/2008, de
17 de Julho, Lei de
conservação de
dados em
comunicações
electrónicas
Lei n.º 41/2004, de
18 de agosto, Lei
de Protecção de
dados Pessoais nas
Telecomunicações
• Transpõe a Diretiva n.º
2002/58/CE, do
Parlamento Europeu e do
Conselho, de 12 de julho,
alterada pela Diretiva n.º
2009/136/CE
3
Alguns aspectos práticos
1. “Dados informáticos”- classificação dos dados informáticos
2. “Dados informáticos” – legitimidade para o acesso a dados informáticos
3. “Dados informáticos” - prazo de conservação e celeridade de
investigação
4
2
11-11-2014
A protecção dos dados pessoais e a investigação penal no ciberespaço
- alguns aspectos práticos –
1. “DADOS INFORMÁTICOS”- CLASSIFICAÇÃO DOS
DADOS INFORMÁTICOS
5
1. “dados informáticos”
classificação de dados informáticos
Artigo 2.º, b) da Lei do Cibercrime (Lei
n.º 109/2009, 15/09)
•
«Dados informáticos» qualquer
representação de factos,
informações ou conceitos sob uma
foram susceptível de
processamento num sistema
informático, incluindo os
programas aptos a fazerem um
sistema informático executar uma
função.
Ao longo da Lei do Cibercrime é no
entanto possível diferenciar 3
categorias de dados informáticos aos
quais se aplicarão regimes diferentes:
•
Dados de conteúdo
•
Dados de trafego – único
definido no art. 2.º n.º c) da Lei
do Cibercrime
Dados de base
↓
A cada categoria de dados
corresponderá um regime processual
penal distinto!
•
6
3
11-11-2014
1. “dados informáticos”
classificação de dados informáticos
Encontramos a mesma distinção no seguinte acórdão:
Acórdão do Tribunal da Relação de Lisboa
Processo n.º 3142/09.3PBFUN-A.L1-5
Data: 18-01-2011
Sumário:
I - Nos serviços de telecomunicações podem distinguir-se, fundamentalmente, três
espécies ou tipologias de dados: os dados de base, os dados de tráfego e os dados de
conteúdo;
II - Os dados de base, são relativos à conexão à rede, os dados de tráfego, são os
dados funcionais necessários ao estabelecimento de uma ligação ou comunicação e
dados gerados pela utilização da rede, os dados de conteúdo, são os dados relativos
ao conteúdo da comunicação ou da mensagem;
7
1. “dados informáticos”
classificação dos dados informáticos
Artigo 2.º, c) da Lei do Cibercrime (Lei n.º
109/2009, 15/09)
•
«Dados de tráfego» os dados
informáticos relacionados com uma
comunicação efectuada por meio de
um sistema informático, gerados por
este sistema como elemento de uma
cadeia de comunicação, indicando a
origem da comunicação, o destino, o
trajecto, a hora, a data, o tamanho, a
duração ou o tipo de serviço
subjacente.
Artigo 2.º da Lei de Protecção de Dados
Pessoais no âmbito das Telecomunicações
(Lei n.º 41/2004, 18 de Agosto)
•
«Dados de tráfego » quaisquer dados
tratados para efeitos do envio de
uma comunicação através de uma
rede de comunicações electrónicas ou
para efeitos da facturação da mesma
•
«Dados de Localização» quaisquer
dados tratados numa rede de
comunicações electrónicas que
indiquem a posição geográfica do
equipamento terminal de um
assinante ou de qualquer utilizador
de um serviço de comunicações
electrónicas acessível ao público
≠
8
4
11-11-2014
1. “dados informáticos”
classificação dos dados informáticos
Lei de conservação de dados nas
Comunicações Electrónicas
(Lei n.º 32/2008)
Artigo 2.º, c) da Lei do Cibercrime (Lei
n.º 109/2009, 15/09)
•
«Dados de tráfego» os dados
informáticos relacionados com uma
comunicação efectuada por meio
de um sistema informático, gerados
por este sistema como elemento de
uma cadeia de comunicação,
indicando a origem da
comunicação, o destino, o trajecto,
a hora, a data, o tamanho, a
duração ou o tipo de serviço
subjacente.
•
Adopta as definições de “dados de
tráfego” e “dados de localização” da
Lei n.º 41/2004 !
•
Sendo que o artigo 4.º desta lei
determina quais os dados concretos
que as fornecedores de serviços de
comunicações electrónicas
publicamente disponíveis ou de uma
rede pública de comunicações devem
conservar, quanto a estas duas
categorias.
9
1. “dados informáticos”
classificação dos dados informáticos
DADOS DE CONTEÚDO
O art. 16.º n.º 3 da Lei do Cibercrime refere-se a «dados ou documentos
electrónicos cujo conteúdo seja susceptível de revelar dados pessoais ou íntimos,
que possam por em causa a privacidade»
+
O art. 17.º do Lei do Cibercrime refere-se à apreensão de «mensagens de correio
electrónico ou registos de comunicações de natureza semelhante»
+
O art. 18.º do Lei do Cibercrime refere-se «registo de dados relativos ao conteúdo
das comunicações»
↓
Pensamos assim que os dados de conteúdo serão os que se referem ao conteúdo
inteligível dos dados informáticos, em particular quando estes contendam com a
privacidade dos sujeitos e a confidencialidade das mensagens
10
5
11-11-2014
1. “dados informáticos”
classificação dos dados informáticos
DADOS DE BASE
O art. 12º n.º 1 da Lei do Cibercrime refere-se a «obter dados informáticos
específicos armazenados num sistema informático, incluindo dados de tráfego»
↓
Deduz-se daqui que subsiste esta categoria de dados que não são de tráfego nem de
conteúdo.
A distinção destes dados de bases dos dados de tráfego, revela-se mais difícil e tem
suscitado algumas querelas na doutrina e jurisprudência.
A principal vem sendo relativamente aos endereços de IP!
11
1. “dados informáticos”
classificação dos dados informáticos
Acórdão da Relação de Coimbra
Processo 84/11.6JAGRD-A.C1
03/10/2012
Relator: Alice Santos
Acórdão da Relação de Lisboa
Processo 1695/09.5PJLSB.L1-9
19/06/2014
Relator: Margarida Vieira de Almeida
Sumário:
«A informação relativa à identificação de
determinado IP que realizou uma concreta
comunicação em certo grupo data/hora,
respeita a dados de tráfego»
↓
«assim a obtenção e junção aos autos de
tais dados e a sua validade enquanto meio
de prova está dependente da intervenção e
autorização do Juiz de Instrução.
Sumário:
«a identificação de um determinado um
determinado endereço de IP conjugada com
a identidade de quem o utilizou num dado
dia e hora não revela informação sobre o
percurso da comunicação nem sobre outro
eventual tráfego comunicacional da pessoa
em causa»
↓
«a competência para a respectiva obtenção
é do M.P.»
(no mesmo sentido, Acórdão da Relação de
Évora, processo n.º 12/12.1YREVR, de
5/06/2012)
(no mesmo sentido, Acórdão Relação de
Lisboa, processo n.º
3142/09.3PBFUN-A.L1-5, de 18/01/2011)
12
6
11-11-2014
A protecção dos dados pessoais e a investigação penal no ciberespaço
- alguns aspectos práticos –
2. “DADOS INFORMÁTICOS” – LEGITIMIDADE PARA
O ACESSO
13
2. “dados informáticos”
- legitimidade para o acesso
DADOS DE CONTEÚDO
O art. 16.º n.º 3 da Lei do Cibercrime estabelece que «sob pena de nulidade esses
dados ou documentos são apresentados ao juiz»
+
O art. 17.º da Lei do Cibercrime estabelece que «o juiz pode autorizar ou
ordenar»
+
O art. 18.º n.º 2 do Lei do Cibercrime refere-se «por despacho fundamentado do
Juiz de Instrução»
↓
A característica essencial do regime de acesso a dados de conteúdo é que o mesmo
depende de despacho do Juiz de Instrução!
14
7
11-11-2014
2. “dados informáticos”
- legitimidade para o acesso
DADOS DE BASE
O art. 12.º n.º 1 da Lei do Cibercrime
+
O art. 13.º da Lei do Cibercrime
+
O art. 14.º n.º 1 da Lei do Cibercrime
+
O art. 15.º n.º 1 da Lei do Cibercrime
+
O art. 16.º n.º 1 do Lei do Cibercrime
↓
No caso dos dados de base a legitimidade é da “autoridade judiciária competente”,
o que no inquérito será o Ministério Público!
15
3. “Dados informáticos”
– legitimidade para o acesso
DADOS DE TRÁFEGO
Artigo 12.º da Lei do Cibercrime
Preservação expedita de dados
1 — Se no decurso do processo for
necessário à produção de prova, tendo em
vista a descoberta da verdade, obter dados
informáticos específicos armazenados num
sistema informático, incluindo dados de
tráfego, em relação aos quais haja receio de
que possam perder -se, alterar -se ou deixar
de estar disponíveis, a autoridade judiciária
competente ordena a quem tenha
disponibilidade ou controlo desses dados,
designadamente a fornecedor de serviço,
que preserve os dados em causa.
Que na fase de inquérito será o Ministério
Público.
Artigo 9.º da Lei de Conservação de
dados em Comunicações Electrónicas
Transmissão dos dados
1 — A transmissão dos dados referentes
às categorias previstas no artigo 4.º só
pode ser autorizada, por despacho
fundamentado do juiz de instrução, se
houver razões para crer que a diligência é
indispensável para a descoberta da
verdade ou que a prova seria, de outra
forma, impossível ou muito difícil de obter
no âmbito da investigação, detecção e
repressão de crimes graves.
.
16
8
11-11-2014
3. “Dados de tráfego”
– legitimidade para o acesso
A questão foi debatida no Acórdão do Tribunal da Relação de Lisboa, no processo n.º
581/12.6PLSNT-A.L1-5, de 22-01-2013.
•
Sumário:
I.
A Lei do Cibercrime (Lei 109/2009 de 15 de Setembro) nos seus artigos 12.º a 17.º
respeitam a meios de obtenção de prova, mormente sua conservação e recolha.
São eles: a “preservação expedita de dados”, a “revelação expedita de dados de
tráfego”, a “injunção para apresentação ou concessão de acesso a dados”, a
“pesquisa de dados informáticos”, a “apreensão de dados informáticos” e,
finalmente, a “apreensão de correio electrónico e registo de comunicações de
natureza semelhante”.
II. Com excepção desta última, em que se faz expressa menção à intervenção do juiz,
todas as outras diligências são levadas a cabo por ordem da autoridade judiciária
competente o que necessariamente inculca a ideia de que essa autoridade
judiciária pode ser o Ministério Público ou o Juiz consoante a fase processual.
17
A protecção dos dados pessoais e a investigação penal no ciberespaço
- alguns aspectos práticos –
4. “DADOS INFORMÁTICOS” - PRAZO DE
CONSERVAÇÃO E CELERIDADE DE INVESTIGAÇÃO
18
9
11-11-2014
3. “dados informáticos”
prazo de conservação e celeridade de investigação
Artigo 6.º da Lei de conservação de
dados em comunicações electrónicas
Período de conservação
Artigo .6º da Lei de protecção de dados
pessoais nas telecomunicações
•
•
“o tratamento (…) apenas é licito até
ao final do periodo dentro do qual a
factura pode ser legalmente
contestada ou o pagamento
reclamado ” [n.º 3]
Ou seja, 6 meses!
•
impõe aos fornecedores de serviços
de comunicações electrónicas o
dever de “conservar os dados
previstos no mesmo artigo pelo
período de um ano a contar da data
da conclusão da comunicação”.
Qual o prazo aplicável para efeitos de investigação criminal?
19
3. “dados informáticos”
prazo de conservação e celeridade de investigação
•
Sobre esta questão já se pronunciou o Tribunal da Relação de Coimbra, no Ac.
559/12.0GBOBR-A.C1, de 26-02-2014, tendo decidido que:
•
«Não faz sentido convocar a Lei 41/2004, de 18/08, para concluir que o prazo
máximo de conservação de dados é de seis meses porque tal diploma diz respeito
ao tratamento e à conservação de dados pessoais no contexto das relações
estabelecidas entre as empresas fornecedoras de serviços de comunicações
electrónicas e os seus clientes, além de que este diploma afasta expressamente do
seu âmbito de aplicação a prevenção, investigação e repressão de infracções
penais, as quais são definidas em legislação especial, como se refere no n.º 4 do
seu artigo 1.º»
•
«Conclui-se que o prazo máximo de acesso aos dados no âmbito de uma
investigação criminal relativa a crimes em que seja necessário proceder à recolha
de prova em suporte electrónico, é o prazo de um ano previsto no artigo 6.º da
Lei n.º 32/2008/, de 17/07.
20
10
11-11-2014
3. “dados informáticos”
prazo de conservação e celeridade de investigação
Artigo 12.º da Lei do Cibercrime
Preservação expedita de dados
•
•
“a ordem de preservação discrimina,
sob pena de nulidade: (…) O período de
tempo pelo qual deverão ser
preservados, até um máximo de três
meses.” [n.º 3 alínea c) ]
+
“A autoridade judiciária competente
pode ordenar a renovação da medida
por períodos sujeitos ao limite previsto
na alínea c) do n.º 3, desde que se
verifiquem os respectivos requisitos de
admissibilidade, até ao limite máximo
de um ano”. [n.º 5]
Artigo 6.º da Lei de conservação de dados
em comunicações electrónicas
Período de conservação
•
impõe aos fornecedores de serviços de
comunicações electrónicas o dever de
“conservar os dados previstos no
mesmo artigo pelo período de um ano
a contar da data da conclusão da
comunicação”.
São prazos cumuláveis?
21
2. “dados infomráticos”
prazo de conservação e celeridade de investigação
São prazos cumuláveis?
Benjamim Silva Rodrigues parece entender que não:
« (…) haverá que atentar ao prazo absoluto de conservação dos dados gerados e
tratados no âmbito das comunicações electrónicas, disposto no artigo 6.°, da Lei
n.º 32/2008: um ano. (…) a renovação da medida, nos termos do artigo 12.º, n.º
5, possa ocorrer, (…) por períodos de três meses, mas até um máximo
inultrapassável de 1 ano. Portanto: teoricamente, a medida pode ser renovada por
três vezes, por períodos máximos parcelares de 3meses (1 x 3 meses + 3 x 3 meses
= 4 x 3 meses = 12 meses = 1 ano).»
(sublinhado e negrito nosso)
[RODRIGUES, Da Prova Penal - Tomo II, Métodos Ocultos de Investigação Criminal,
Rei dos Livros, 2010, pp. 443]
22
11
11-11-2014
3. “dados informáticos”
prazo de conservação e celeridade de investigação
São prazos cumuláveis?
Considerando que o prazo de 1 ano, previsto na Lei de conservação de
dados nas Comunicações Electrónicas, visa precaver a subsistência dos
dados a quando do início da investigação.
Considerando que os prazos previstos na Lei do Cibercrime visam a
preservação dos dados no decurso da investigação.
Em sentido contrário ao autor citado, entendo que, devendo prevalecer o
interesse público de prossecução da investigação criminal,
estes prazos devem entender-se cumuláveis!
23
A protecção dos dados pessoais e a
investigação penal no ciberespaço
- alguns aspectos práticos Obrigado pela Vossa atenção!
Pedro Dias Venâncio
Advogado
Docente convidado do Instituto Politécnico do Cávado e do Ave
24
12