O Tribunal de Justiça da União Europeia (TJUE) decidiu num acórdão recente que as megabases de dados existentes nos vários Estados-membros, incluindo Portugal, que reúnem informações sobre os passageiros que viajam em voos extracomunitários (algumas registam igualmente elementos sobre os voos intracomunitários, como a portuguesa), só podem guardar todos os dados durante seis meses e não pelo período de cinco anos como estava previsto na directiva europeia e foi adoptado na lei portuguesa.  Num acórdão da Grande Secção, datado de 21 de Junho, os juízes europeus consideraram que o artigo 12 da Directiva 2016/681 que prevê que os Estados-membros têm que conservar o chamado Registo de Identificação dos Passageiros (conhecido pela sigla inglesa PNR, ou seja, Passenger Name Record) por um prazo de cinco anos, tem que ser interpretado de forma a respeitar três artigos da Carta dos Direitos Fundamentais da União, o que impõe uma leitura restritiva da norma.  Esta megabase de dados guarda um rol extenso de informações relativamente a cada voo, que inclui além do nome do passageiro, a data e o trajecto de avião, os contactos e as moradas que o cliente disponibilizou à transportadora aérea, as pessoas com quem viajou, a bagagem que levou, a forma como pagou e os documentos de identificação que apresentou, entre outros.  O artigo 12 “deve ser interpretado no sentido de que se opõe à legislação nacional que prevê um período geral de conservação dos dados PNR de cinco anos, aplicável sem distinção a todos os passageiros aéreos, incluindo aqueles em relação aos quais nem a avaliação prévia (…), nem quaisquer controlos efectuados durante o período de seis meses (…) nem quaisquer outras circunstâncias revelaram a existência de factores objectivos susceptíveis de estabelecer um risco de infracções terroristas ou de crimes graves”.  O TJUE considera que conservar as informações PNR de todos os passageiros aéreos “implica, devido à grande quantidade de dados susceptíveis de serem conservados de forma contínua, riscos inerentes de utilização desproporcionada e abusiva”. E é contrária a um dos pontos prévios da própria directiva que diz que os “dados só devem ser conservados durante o tempo necessário e proporcional aos objectivos prosseguidos”.  A directiva (e a lei portuguesa também) prevê que seis meses após as companhias aéreas transferirem os dados para as unidades de informação de passageiros que ficam com a responsabilidade de tratar e analisar os dados é obrigatório tornar invisível os elementos susceptíveis de identificar directamente o seu titular, uma operação que é possível reverter se tal for considerado necessário. Depois deste prazo os dados são conservados de forma anónima e só podem ser acedidos se a sua divulgação for considerada necessária “com base em motivos razoáveis” e for autorizada por um procurador ou um juiz.

Os juízes europeus admitem que os elementos de alguns passageiros podem ser guardados. “Na medida em que, contudo, são identificados elementos objectivos em casos particulares, (…) que permitem a possibilidade de considerar que certos passageiros podem apresentar um risco em relação a infracções terroristas ou crimes graves, o armazenamento dos seus dados PNR parece admissível para além desse período inicial”, lê-se no acórdão.  Relativamente à conservação dos dados de passageiros de voos intracomunitário, o TJUE considera que esta extensão deve ser sujeita a uma “fiscalização efectiva por um órgão jurisdicional ou por uma entidade administrativa independente, cuja decisão é dotada de efeito vinculativo”. E sustenta que apenas quando o Estado-membro constate a existência de circunstâncias concretas para considerar que está perante uma “ameaça terrorista real e actual ou previsível”, pode guardar os dados relativos a todos os voos intra-UE ainda que “por um período limitado ao estritamente necessário mas renovável”. Não havendo essa ameaça só podem ser conservados dados relativos a certas ligações aéreas, em função da evolução das condições que justificaram a sua selecção.  Acção de associação belga A decisão do tribunal europeu foi tomada no âmbito de um processo intentado pela Liga dos Direitos Humanos (LDH), uma associação belga sem fins lucrativos que interpôs uma acção no Tribunal Constitucional belga, em Julho de 2017, a pedir a anulação da Lei de 25 de Dezembro de 2016, que transpôs a directiva PNR e outras duas.  Para a LDH, esta lei violava o direito ao respeito pela vida privada e pela protecção dos dados pessoais, garantidos pelo direito belga e pelo direito da União, devido à amplitude excessiva dos dados PNR e ao carácter geral da recolha, que abarca os dados de qualquer passageiro independentemente de sobre o mesmo existir algum tipo de indício ou suspeita. Em Outubro de 2019, o Tribunal Constitucional belga submeteu ao tribunal da UE dez perguntas relativas à validade da directiva PNR e à compatibilidade da Lei de 25 Dezembro de 2016 com o direito da União.

O tribunal europeu, com sede no Luxemburgo, considera, no entanto, que a directiva PNR é válida à luz do direito da União – ao contrário do que aconteceu com a directiva que obrigava as operadoras a guardarem os metadados das comunicações de todos os clientes durante um ano.  Apesar do acórdão não se dirigir às autoridades nacionais, a decisão tem impacto no nosso ordenamento jurídico, por via do primado do Direito da União Europeia, que têm que ser interpretado à luz da jurisprudência do TJUE, que vincula todos os Estados-membros.  Em Portugal, a megabase de dados é gerida pelo Gabinete de Informações de Passageiros, uma unidade integrada no chamado Ponto Único de Contacto para a Cooperação Policial Internacional (PUC-CPI), um centro operacional que funciona 24 horas por dia, sete dias por semana, e é responsável por coordenar a cooperação policial a nível internacional. Este centro funciona no Sistema de Segurança Interna (SSI), cujo secretário-geral, o embaixador Paulo Vizeu Pinheiro, depende directamente do primeiro-ministro.  O SSI foi contactado pelo PÚBLICO para esclarecer os efeitos práticos que o acórdão pode ter na gestão da base de dados PNR que começou a funcionar em Portugal em Junho do ano passado. O embaixador Paulo Vizeu Pinheiro respondeu, por escrito, que o “acórdão, por ser muito recente, irá requerer uma análise profunda para determinar as suas reais implicações e impacto no país”. E acrescentou: “Tendo em conta que a avaliação será efectuada no contexto europeu, é prematuro avançar com iniciativas de âmbito nacional, tendo obviamente presente que em última instância cabe ao Estado português desencadear os procedimentos necessários à harmonização da lei nacional com o acórdão do TJUE, pelo que só após consolidada a análise, serão propostos os procedimentos adequados e desencadeadas as iniciativas tendo em conta a harmonização da lei nacional com o acórdão”.  Relativamente ao tratamento dos dados, que numa primeira fase é feito de forma automatizada, o tribunal do Luxemburgo diz que as informações dos passageiros apenas podem ser cruzadas com “bases de dados relativas a pessoas ou a objectos procurados ou que foram sinalizados”. Por outro lado, os juízes sublinham que as unidades de informação de passageiros não podem “utilizar tecnologias de inteligência artificial no âmbito de sistemas de auto-aprendizagem susceptíveis de modificar, sem intervenção ou controlo humano, o processo de avaliação”, já que há o risco de adoptarem critérios discriminatórios, o que é proibido pela directiva e pelo Direito da UE.