9 DE SETEMBRO DE 2015 53

De facto, daquela norma, nem de qualquer outra do Decreto, resulta como é feito o acesso aos dados. Mais

uma vez se impõe o contraponto com a Lei n.º 32/2008, que determina, no n.º 3 do artigo 7.º, como é feita a

transmissão de dados por parte das operadoras no contexto do processo penal: «processa-se mediante

comunicação eletrónica, nos termos das condições técnicas e de segurança fixadas em portaria conjunta dos

membros do Governo responsáveis pelas áreas da administração interna, da justiça e das comunicações, que

devem observar um grau de codificação e proteção o mais elevado possível, de acordo com o estado da técnica

ao momento da transmissão, incluindo métodos de codificação, encriptação ou outros adequados». Ora, o

Decreto n.º 426/XII nada menciona no que toca à forma de comunicação dos dados, nem remete esta matéria

para qualquer outra regulamentação.

E quanto ao tempo durante o qual é permitido o acesso aos dados, verifica-se a mesma falta de segurança

jurídica. Nos termos do artigo 37.º, n.º 2, alínea d), do Decreto, o prazo de acesso não pode exceder três meses,

mas pode ser estendido, mediante autorização expressa. Porém, a lei não contém qualquer limite para tal

prorrogação, nem estabelece em que condições pode ser autorizada a referida prorrogação. A lei prevê assim,

a partir do momento em que a Comissão de Controlo Prévio dá a sua autorização, uma possibilidade de acesso

aos dados de tráfego sem qualquer limite máximo de tempo. Assim, tal como decidiu o TEDH no caso Valenzuela

c. Espanha, acima referido, a falta de menção de prazo específico de duração da medida gera incerteza para

os destinatários da mesma, pelo que não se pode considerar, também por aqui, que a lei cumpra a exigência

de determinabilidade.

Idêntica incerteza pode apontar-se no que respeita à eliminação dos dados - que corresponderia, aliás, a

uma exigência do direito à autodeterminação comunicativa, na vertente do “direito ao esquecimento”. No Decreto

n.º 426/XII não se especifica qualquer prazo para a manutenção ou eliminação obrigatória dos dados. De resto,

são escassas e incertas as possibilidades previstas referentes à eliminação dos dados. O artigo 37.º, n.º 8, prevê

a possibilidade da Comissão de Controlo Prévio, em coletivo, participar à Comissão de Fiscalização «os

elementos conducentes à destruição imediata desses dados ou informações». Todavia, sem a previsão legal de

um acompanhamento constante por essa Comissão, fica por saber como chega ao seu conhecimento a

existência de dados que devem ser eliminados. Por seu turno, o Secretário-Geral tem poderes para ordenar a

destruição imediata de todos os dados e informações recolhidos mediante a autorização prevista no presente

artigo, «sempre que não tenham relação com o objeto ou finalidades da mesma» (artigo 37.º, n.º 7). Assim, na

prática, a fiscalização da manutenção de dados é apenas levada a cabo pela Comissão de Fiscalização do SIRP

que, em regra, exerce a sua atividade fiscalizadora dos centros de dados por amostragem (artigo 30.º, n.º 1). A

única norma que se refere a um “dever” de eliminação de dados consta do artigo 30.º, n.º 3, de acordo com a

qual a referida Comissão de Fiscalização «deve ordenar o cancelamento ou retificação de dados recolhidos que

envolvam violação dos direitos, liberdades e garantias consignados na Constituição e na lei». Não se estipula,

porém, em que condições ou em que prazos tem lugar uma fiscalização conducente a esta avaliação e

correspondente destruição dos dados. No mais, qualquer possibilidade de eliminação ou destruição de dados

estará sempre dependente do conhecimento e pedido dos visados, nos termos do artigo 32.º. Ora, a falta de

prazos perentórios de eliminação de dados, ou de procedimentos periódicos obrigatórios destinados a averiguar

a necessidade de manutenção de todos os dados existentes, bem como de clara determinação do momento ou

condições em que a manutenção dos dados deixa de ser necessária, também não oferece suficiente segurança

à defesa dos direitos e interesses dos cidadãos.

24. De todo o exposto resulta, assim, que, independentemente da natureza específica do órgão “Comissão

de Controlo Prévio”, a atuação do mesmo não se afigura equiparável ao controlo jurisdicional existente em

processo penal em matéria de direitos fundamentais. De facto, este último, no que toca à ingerência nas

comunicações, assegura garantias não só no que respeita ao acesso, mas ainda no que toca ao tratamento,

manutenção e destruição ou cancelamento dos dados, definindo inclusivamente prazos máximos perentórios

para o efeito. Neste contexto, vigoram as garantias do Código de Processo Penal e da Lei n.º 32/2008 que

estabelece várias garantias no que toca ao tratamento e conservação de todos esses dados, sendo nota comum

a todo o acesso, tratamento, conservação e extinção, a intervenção de um juiz (cfr. artigos 7.º, 9.º e 11.º). Esta

intensidade de controlo não é levada a cabo pela referida Comissão de Controlo Prévio, que se limita a conceder

um «visto» prévio de autorização, após o que não exerce qualquer acompanhamento durante as atividades de