• Exigențele Curții Constituționale în raport cu noua reglementare privind accesul la date personale al autorităților, prevăzută de Legea nr. 235/2015

Legea nr. 235 din 12 octombrie 2015 pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

Publicată în  Monitorul Oficial nr. 767 din 14 octombrie 2015

Prin Legea nr.235/2015 se instituie, în principal, obligația autorizării instanței de judecată în cazul accesării și utilizării acestor date de către organele de stat cu atribuţii în domeniul securităţii naţionale. Însă, contrar criticilor aduse de  Curtea de Justiție a Uniunii Europene și de Curteai Constituțională a României la adresa actelor normative invalidate, respectiv, neconstituționale, noile reglementări nu prevăd nicio excepție, astfel încât acestea se aplică,  chiar și acelor persoane ale căror comunicații sunt supuse, potrivit normelor dreptului național, secretului profesional.

1. 1.      Contextul adoptării noilor dispoziții

La data de 8 aprilie 2014, Marea Cameră a Curții de Justiție a Uniunii Europene (CJUE) a adoptat o hotărâre prin care a invalidat Directiva 2006/24/CE privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice.

Această Directivă a fost transpusă în dreptul național prin Legea nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului.

Prin Decizia adoptată la data de 8 iuie 2014, Curtea Constituțională a României (CCR) a constatat că această lege este neconstituțională, arătând că până la adoptarea de către Parlament a unei noi legi privind reţinerea datelor, care să respecte prevederile şi exigenţele constituţionale, aşa cum au fost relevate în decizia acesteia, organele judiciare şi organele de stat cu atribuţii în domeniul siguranţei naţionale nu mai au acces la datele care au fost reţinute şi stocate deja în baza Directivei 2006/24/CE şi a Legii nr.82/2012 în vederea utilizării lor în cadrul activităţilor definite de art.1 alin.(1) din Legea nr.82/2012.

Principala critică din Decizia CCR a fost aceea că accesul la datele reținute de furnizorii de rețele și servicii de comunicații electronice nu este însoțit de garanția autorizării de către instanța de judecată, în toate situațiile.  Spre deosebire de organele judiciare, care în virtutea prevederilor codului de procedură penală pot accesa datele numai cu aprobarea instanței, alte organe de stat cu atribuții în domeniul securității naționale aveau acces la aceste date, fără a fi nevoie de această aprobare.

În acest context, Parlamentul României a adoptat reglementările din Legea nr. 235 / 2015, prin care instituie obligația autorizării instanței de judecată în cazul accesării și utilizării acestor date și de către organele de stat cu atribuţii în domeniul securităţii naţionale. Acestea sunt Serviciul Român de Informaţii, Serviciul de Informaţii Externe şi Serviciul de Protecţie şi Pază, dar şi  Ministerul Apărării Naţionale, Ministerul Afacerilor Interne şi Ministerul Justiţiei prin  structurile de informaţii cu atribuţii specifice domeniilor lor de activitate.

În continuare, vom aborda noile dispoziții privind accesul autorităților la date personale, prevăzut de Legea nr. 235/2015, privit prin prisma obiecțiilor Curții Constituționale (CCR),  exprimate prin Decizia nr. 440/2014 (în continuare Decizia CCR)  și ale obiecțiilor Curții de Justiție a Uniunii Europene (CJUE), exprimate prin Hotărârea Curții (Marea Cameră), din 8 aprilie 2014 ( în continuare Decizia CJUE).

1. 2.      Modificările și completările prevăzute de legea 235/2015

Modificările și completările la legea 506/2004,  prevăzute de legea 235/2015,  constau în:

–         Introducerea unui articol nou – art. 12¹ – , în legea 506/2004, care prevede accesul autorităților la datele reținute de furnizorii de rețele publice de comunicații electronice sau de către furnizorii de servicii de comunicații electronice destinate publicului  în scopul prevenirii, detectării sau urmăririi penale, deși scopul exclusiv al prelucrării datelor, potrivit legii modificate –Legea 506/2004 – este utilizarea datelor reţinute de către furnizori pentru facturare, plăţi pentru interconectare ori în alte scopuri comerciale;

–         La art. 2, se introduce lit. b(1), care definește datele de identificare a echipamentului, acestea constând în : date tehnice ale furnizorilor de servicii de comunicații destinate publicului și ale furnizorului de rețele publice de comunicații electronice, care permit identificarea amplasamentului echipamentelor de comunicații ale acestora, prelucrate în scopul transmiterii unei comunicări printr-o rețea de comunicații electronice sau în scopul facturării contravalorii acestei operațiuni ;

–         Stabilește un termen de maxim 3 ani de la data efectuării comunicării, în care datele referitoare la abonați și utilizatori să fie șterse sau transformate în date anonime de către furnizorii de rețele publice de comunicații electronice sau de către furnizorii de servicii de comunicații electronice destinat publicului (modificarea art. 5, alin 1);

–         Introduce o dispoziție nouă – art. 5, alin. 2¹ – prin care stabilește același termen de 3 ani pentru ștergerea și anonimizarea datelor referitoare la abonații serviciilor de comunicații cu plata în avans (cartele prepay).

1. 3.      Legea nr. 235 /2015 nu înlocuiește reglementarea declarată neconstituțională

Încă de la început, trebuie precizat că legea nr. 235 /2015 nu înlocuiește reglementarea declarată neconstituțională, respectiv legea nr. 82 din 13 iunie 2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului.

Putem spune că este o lege provizorie, până la adoptarea de către Parlamentul European a noului pachet legislativ privind protecția datelor, care este o prioritate a Uniunii Europene.

În schimb, legea nr. 235 /2015 aduce modificări și completări legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, o reglementare cu un scop diferit de cel al legii 82/2012.

Așadar, este vorba de două legi diferite, cu scopuri diferite, una privind prelucrarea datelor în scop comercial, iar cea de a doua privind reținerea datelor în scopul prevenirii și combaterii infracțiunilor.

Or, din inserția forțată a unor reglementări privind accesul autorităților la date, în scopul prevenirii și combaterii infracțiunilor, într-o lege al cărei scop exclusiv este utilizarea datelor reţinute de către furnizori pentru facturare, plăţi pentru interconectare ori în alte scopuri comerciale, pot rezulta o serie de confuzii.

Aceste confuzii sunt legate de dificultatea interpretării legii în mod sistematic și  în funcție de scopul urmărit de legiuitor, precum și lipsei unor garanții privind prelucrarea și stocarea acestor date în scopul prevenirii și combaterii infracțiunilor, așa cum au fost solicitate de CJUE și CCR. Nu mai există nici măcar garanțiile prevăzute de Legea 82/2012, privind limitarea accesului autorităților la aceste date în funcție de gravitatea infracțiunii.

Mai mult, această inserție forțată generează confuzii întrucât intră în contradicție cu alte dispoziții legale din legea 506/2004, începând cu art. 1 alin. 4, care stabilește că aceasta nu se aplică prelucrărilor de date cu caracter personal efectuate în cadrul activităţilor în domeniul apărării naţionale şi securităţii naţionale și nici  în cadrul activităţilor de combatere a infracţiunilor şi de menţinere a ordinii publice, precum şi în cadrul altor activităţi în domeniul dreptului penal, desfăşurate în limitele şi cu restricţiile stabilite de lege.

1. 4.      Sintagma ”reținerea datelor” înlocuită cu ”menținerea” acestor date

Potrivit Expunerii de motive a legii 235/2015,  ”de vreme ce prezenta reglementare nu constituie o veritabilă obligație de reținere a datelor, în afara scopului facturării și asigurării serviciului de comunicații, nu mai subzistă necesitatea asigurării unor garanții suplimentare privind prelucrarea și stocarea acestor date și nici a instituirii unui alt mecanism de control, garanții solicitate prin decizia Curții Constituționale nr. 440/2014.”

Astfel de argumente nu pot fi admise din punct de vedere juridic. Mai întâi, nu poate fi acceptată ideea de obligație ne-veritabilă, într-o lege. Apoi, înlocuirea – în textul art 12^1, alin. 5 – a cuvântului ”reținere” cu cel de ”menținere” a datelor, în scopul identificării și conservării probelor sau indiciilor temeinice, nu este un argument suficient pentru a asigura constituționalitatea dispozițiilor menționate.

Conform art 12¹, alin (5) din legea nr. 235/2015:  ”datele de trafic, datele de identificare a echipamentului și datele de localizare solicitate conform alin. (1) nu fac obiectul ștergerii sau anonimizării de către furnizori, atunci când solicitarea formulată în temeiul alin. (1) este însoțită ori urmată de o notificare cu privire la necesitatea menținerii lor, în scopul identificării și conservării probelor sau indiciilor temeinice, în cadrul investigațiilor pentru combaterea infracțiunilor ori în domeniul apărării și securității naționale, atât timp cât subzistă motivele care au stat la baza solicitării, dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunțarea unei hotărâri definitive a instanței de judecată.

În Decizia nr. 440/2014, Curtea Constituțională spune foarte clar că “până la adoptarea de către Parlament a unei noi legi privind reţinerea datelor, care să respecte prevederile şi exigenţele constituţionale, aşa cum au fost relevate în prezenta decizie, organele judiciare şi organele de stat cu atribuţii în domeniul siguranţei naţionale nu mai au acces la datele care au fost reţinute şi stocate deja în baza Directivei 2006/24/CE şi a Legii nr.82/2012 în vederea utilizării lor în cadrul activităţilor definite de art.1 alin.(1) din Legea nr.82/2012” (par. 79 din Decizia CCR)

Însă, dispozițiile legii 235/2015, care instituie accesul la aceste date reținute în scopuri comerciale, nu pot constitui temei legal și constituțional, atâta vreme cât nu sunt respectate toate garanțiile de protecție a datelor și de respectare a drepturilor fundamentale, prevăzute în Decizia CCR.

Acest aspect este explicat foarte clar in Decizia CCR, în paragrafele 78 și 79:

”78. În ceea ce priveşte efectele deciziilor sale, Curtea reaminteşte caracterul definitiv şi general obligatoriu al acestora. Prin urmare, în cazul de faţă, având în vedere şi Hotărârea din 8 aprilie 2014 a Curţii de Justiţie a Uniunii Europene, odată cu publicarea în Monitorul Oficial al României, Partea I, a prezentei decizii, devine lipsită de temei juridic, atât din punct de vedere al dreptului european, cât şi al celui naţional, activitatea de reţinere şi folosire a datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţelele de comunicaţii publice. Concret, aceasta înseamnă că de la publicarea deciziei Curţii Constituţionale a României, furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului nu mai au nici obligaţia, dar nici posibilitatea legală de a reţine anumite date generate sau prelucrate în cadrul activităţii lor şi de a le pune la dispoziţia organelor judiciare şi ale celor cu atribuţii în domeniul siguranţei naţionale. Prin excepţie, pot fi reţinute de către aceşti furnizori doar datele necesare pentru facturare sau plăţi pentru interconectare ori alte date prelucrate în scopuri de comercializare doar cu consimţământul prealabil al persoanei ale cărei date sunt prelucrate, aşa cum prevede Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice), în vigoare.

79. Corelativ, până la adoptarea de către Parlament a unei noi legi privind reţinerea datelor, care să respecte prevederile şi exigenţele constituţionale, aşa cum au fost relevate în prezenta decizie, organele judiciare şi organele de stat cu atribuţii în domeniul siguranţei naţionale nu mai au acces la datele care au fost reţinute şi stocate deja în baza Directivei 2006/24/CE şi a Legii nr. 82/2012 în vederea utilizării lor în cadrul activităţilor definite de art. 1 alin. (1) din Legea nr. 82/2012. De asemenea, organele judiciare şi cele cu atribuţii în domeniul siguranţei naţionale nu au temei legal şi constituţional nici pentru accesarea şi utilizarea datelor reţinute de către furnizori pentru facturare, plăţi pentru interconectare ori în alte scopuri comerciale, pe care să le folosească în cadrul activităţilor de prevenire, de cercetare, de descoperire şi de urmărire penală a infracţiunilor grave sau pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei, tocmai datorită caracterului, naturii şi scopului diferit al acestora, aşa cum este prevăzut de Directiva 2002/58/CE. De altfel, chiar Legea nr. 82/2012 stabileşte în art. 11 că aceste ultime date reţinute sunt exceptate de la prevederile legii, având un alt regim juridic, fiind supuse prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.”

1. 5.      Obligația de a institui toate garanțiile suplimentare protecției drepturilor fundamentale

Așa cum se arată în expunerea de motive a legii 235/2015, nefiind vorba de o obligație veritabilă de reținere a datelor, nu ar mai subzista nici necesitatea asigurării unor garanții suplimentare privind prelucrarea și stocarea acestor date și nici a instituirii unui alt mecanism de control. Este clar că un astfel de argument nu poate fi acceptat!

Singura garanție suplimentară, solicitată de CCR,  prevăzută de legea 235/2014,  este instituirea obligației autorizării instanței de judecată în cazul accesării și utilizării acestor date de către organele de stat cu atribuţii în domeniul securităţii naţionale.

Astfel, conform art 12¹ , alin 1 din legea 235/2015: ”La solicitarea instanțelor de judecată sau la solicitarea organelor de urmărire penală ori a organelor de stat cu atribuții în domeniul apărării și securității naționale, cu autorizarea prealabilă a judecătorului stabilit potrivit legii, furnizorii de servicii de comunicații electronice destinate publicului și furnizorii de rețele publice de comunicații electronice pun la dispoziția acestora, de îndată, dar nu mai târziu de 48 de ore, datele de trafic, datele de identificare a echipamentului și datele de localizare, în conformitate cu prevederile referitoare la protecția datelor cu caracter personal”.

Așadar, deși se instituie această garanție esențială a autorizării prealabile a judecătorului în orice situație, legiuitorul a interpretat în mod forțat că nu ar mai fi necesare și celelalte garanții solicitate de CCR. Mai mult decât atât, în cadrul normativ actual nu mai subzistă nici măcar garanțiile prevăzute de legea 82/2012, referitoare la limitarea accesului autorităților la aceste date în funcție de gravitatea infracțiunii.

1. Criticile aduse de CJUE și CCR

Atât decizia CJUE, cât și decizia CCR prevăd obligația instituirii unor garanții suplimentare, care să asigure respectarea drepturilor fundamentale prevăzute la art 7 și 8 din Carta drepturilor fundamentale ale Uniunii Europene, respectiv dreptul la libertate și siguranță și dreptul la respectarea vieții private și de familie, cât și a acelorași drepturi fundamentale prevăzute de Constituția României.

Una dintre acestea este aceea că  Directiva 2006/24 , repectiv Legea 82/2012, acoperă în mod generalizat toate persoanele și toate mijloacele de comunicare electronică, precum și ansamblul datelor de trafic, fără a face vreo diferențiere, limitare sau excepție în funcție de obiectivul combaterii infracțiunilor grave (par.61 din Decizia CJUE și par. 33 din Decizia CCR). De asemenea, directiva menționată, respectiv legea,  nu prevăd nicio excepție, astfel încât ea se aplică chiar și acelor persoane ale căror comunicații sunt supuse, potrivit normelor dreptului național, secretului profesional (par 58 din Decizia CJUE  și par. 31 din Decizia CCR)

Se poate observa că Legea 235/2015 nu aduce nicio corecție în acest sens. Dimpotrivă, prin scoaterea acesteia din context,  raportat la scopul reținerii datelor pentru prevenirea și combaterea infracțiunilor, nu mai sunt menținute garanțiile limitării accesului la date al autorităților la infracțiunile considerate grave în legea 82/2012. Practic, potrivit noii reglementări, aceste autorități ar putea dobândi acces la date în cazul oricărei infracțiuni suspectate și fără a ține cont de comunicațiile acoperite de secretul profesional.

De asemenea, potrivit CJUE, aspect reținut și în Decizia CCR (par. 13), prin lipsa obligativităţii păstrării datelor pe teritoriul Uniunii Europene, nu sunt garantate respectarea de către autorităţile independente a cerinţelor impuse de Carta drepturilor fundamentale a Uniunii Europene privind protecţia şi securitatea, cerinţe ce reprezintă un element esenţial al ocrotirii persoanelor în raport cu administrarea datelor cu caracter personal.

A se vedea și :

• LEGE nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice
• LEGE nr. 82 din 13 iunie 2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice
• Decizia Curții Constituționale nr. 440 din 8 iulie 2014 referitoare la excepţia de neconstituţionalitate a dispoziţiilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice şi ale art. 152 din Codul de procedură penală
• HOTĂRÂREA CURȚII (Marea Cameră) din 8 aprilie 2014 „Comunicații electronice – Directiva 2006/24/CE – Servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice – Păstrarea datelor generate sau prelucrate în legătură cu furnizarea unor astfel de servicii – Validitate – Articolele 7, 8 și 11 din Carta drepturilor fundamentale a Uniunii Europene”
• DIRECTIVA 2006/24/CE A PARLAMENTULUI EUROPEAN ȘI A CONSILIULUI din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE
• Carta drepturilor fundamentale ale Uniunii Europene
• Expunere de motive privind Proiectul legii  pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice