Decizia CCR nr. 440/2014 - admite exceptia de neconstitutionalitate a dispozitiilor Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice

Decizia Curtii Constitutionale a Romaniei nr. 440/2014 referitoare la exceptia de neconstitutionalitate a dispozitiilor Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, precum si pentru modificarea si completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice si ale art. 152 din Codul de procedura penala a fost publicata in Monitorul Oficial, Partea I, nr. 653 din 4 septembrie 2014.

Augustin Zegrean - presedinte Valer Dorneanu - judecator Toni Grebla - judecator Mircea stefan Minea - judecator Daniel Marius Morar - judecator Mona-Maria Pivniceru - judecator Puskás Valentin Zoltán - judecator Tudorel Toader - judecator Cristina Teodora Pop - magistrat-asistent

Cu participarea reprezentantului Ministerului Public, procuror Marinela Minca.

1. Pe rol se afla solutionarea exceptiei de neconstitutionalitate a prevederilor Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, precum si pentru modificarea si completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice si ale art. 152 din Codul de procedura penala, exceptie ridicata de Judecatoria Constanta - Sectia penala, din oficiu, in Dosarul nr. 11.972/212/2014 si care formeaza obiectul Dosarului Curtii Constitutionale nr. 424 D/2014.

2. Curtea, in temeiul art. 12 alin. (1) din Legea nr. 47/1992 privind organizarea si functionarea Curtii Constitutionale, hotaraste judecarea prezentei cauze in sedinta nepublica, avand in vedere obiectul dosarului in care a fost ridicata exceptia de neconstitutionalitate.

3. Presedintele, in conditiile anterior aratate, dispune a se face apelul si in Dosarul nr. 478 D/2014, avand ca obiect exceptia de neconstitutionalitate a dispozitiilor Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, precum si pentru modificarea si completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, exceptie ridicata de Judecatoria Targoviste, din oficiu, in Dosarul nr. 4.753/315/2014.

4. Curtea, avand in vedere identitatea partiala de obiect al exceptiilor de neconstitutionalitate ridicate in dosarele sus-mentionate, din oficiu, pune in discutie conexarea Dosarului nr. 478D/2014 la Dosarul nr. 424D/2014. Reprezentantul Ministerului Public este de acord cu masura conexarii dosarelor. Curtea, in temeiul dispozitiilor art. 53 alin. (5) din Legea nr. 47/1992, dispune conexarea Dosarului nr. 478 D/2014 la Dosarul nr. 424 D/2014, care este primul inregistrat.

5. Cauza fiind in stare de judecata, presedintele acorda cuvantul reprezentantului Ministerului Public, care pune concluzii de respingere ca neintemeiata a exceptiei de neconstitutionalitate. Se arata ca declararea ca nevalida de catre Curtea de Justitie a Uniunii Europene a Directivei 2006/24/CE, prin Hotararea din 8 aprilie 2014, lasa o marja de apreciere statelor membre in privinta aplicabilitatii actelor normative de transpunere in legislatiile nationale a directivei anterior aratate, statele membre fiind obligate sa analizeze daca reglementarile in cauza mai pot fi mentinute in vigoare.

6. Se sustine ca examinarea constitutionalitatii Legii nr. 82/2012 trebuie facuta din doua perspective, impunandu-se analiza, pe de o parte, a incalcarii prin dispozitiile acesteia a drepturilor prevazute in Carta drepturilor fundamentale a Uniunii Europene si in Constitutia Romaniei, precum si a proportionalitatii eventualelor ingerinte cu interesele ocrotite, iar, pe de alta parte, a garantiilor asigurate persoanelor ale caror date sunt stocate si accesate de catre autoritatile judiciare si de catre restul autoritatilor nationale competente. Prin prisma celei dintai perspective enuntate, se arata ca Legea nr. 82/2012 nu incalca dreptul la respectarea vietii private si de familie si dreptul la protectia datelor cu caracter personal, prevazute la art. 7 si art. 8 din Carta, si dreptul la viata intima, familiala si privata, reglementat la art. 26 din Constitutie, nefiind incalcate, in acest fel, nici prevederile constitutionale ale art. 53 cu privire la restrangerea exercitiului unor drepturi sau al unor libertati. Se observa, in acest sens, ca obligatia furnizorilor de servicii de comunicatii electronice accesibile publicului sau de retele de comunicatii publice de a pastra anumite date generate sau prelucrate este limitata in timp la un interval de 6 luni, stocarea datelor nefiind impusa pentru o perioada nedeterminata, si ca retinerea si punerea lor la dispozitia organelor judiciare si a celorlalte autoritati nationale competente sunt absolut necesare in cazul comiterii unor infractiuni grave si in cazul disparitiilor de persoane. Din cea de-a doua perspectiva analizata se arata ca Legea nr. 82/2012 asigura garantiile necesare protectiei drepturilor fundamentale ale persoanelor, reglementand cu suficienta rigoare cazurile in care pot fi solicitate datele retinute de furnizorii de servicii de comunicatii electronice accesibile publicului sau de retele de comunicatii publice, precum si autoritatile nationale care au acces la astfel de date, si ca, asa cum a fost precizat anterior, perioada retinerii acestor date este limitata la 6 luni. De asemenea, se subliniaza faptul ca, potrivit art. 17 din Legea nr. 82/2012, daca in cauza in care au fost solicitate date retinute de furnizorii de servicii de comunicatii electronice accesibile publicului sau de retele de comunicatii publice se dispune o solutie de clasare sau renuntare la urmarirea penala, in termen de 5 zile de la pronuntarea solutiei, procurorul este obligat sa instiinteze despre aceasta persoana ale carei date au facut obiectul solicitarii. Se mai semnaleaza faptul ca la data la care au loc dezbaterile, la nivelul Guvernului, exista un grup de lucru ce are ca obiectiv imbunatatirea continutului Legii nr. 82/2012 in raport cu cele retinute de Curtea de Justitie a Uniunii Europene prin Hotararea din 8 aprilie 2014.

CURTEA,

avand in vedere actele si lucrarile dosarelor, constata urmatoarele:

7. Prin incheierea din 30 aprilie 2014, pronuntata in Dosarul nr. 11.972/212/2014, Judecatoria Constanta - Sectia penala a sesizat Curtea Constitutionala cu exceptia de neconstitutionalitate a prevederilor art. 152 din Codul de procedura penala si ale Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, precum si pentru modificarea si completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, exceptie ridicata de Judecatoria Constanta - Sectia penala, din oficiu, intr-o cauza avand ca obiect solicitarea autorizarii prealabile a transmiterii datelor necesare pentru identificarea sursei comunicarilor, a datelor necesare pentru a determina data, ora si durata comunicarilor, a locatiei echipamentelor de comunicatii mobile, precum si a datelor necesare pentru identificarea numerelor de telefon alocate cartelelor SIM care au fost introduse intr-un anumit terminal mobil, intr-o perioada determinata, formulata de Parchetul de pe langa Judecatoria Constanta.

8. Prin incheierea din 17 mai 2014, pronuntata in Dosarul nr. 4.753/315/2014, Judecatoria Targoviste a sesizat Curtea Constitutionala cu exceptia de neconstitutionalitate a prevederilor Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, precum si pentru modificarea si completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, exceptie ridicata de Judecatoria Targoviste, din oficiu, intr-o cauza avand un obiect similar dosarului precedent.

9. In motivarea exceptiei de neconstitutionalitate se arata ca Legea nr. 82/2012 reprezinta transpunerea in legislatia nationala a Directivei 2006/24/CE a Parlamentului European si a Consiliului din 15 martie 2006 privind pastrarea datelor generate sau prelucrate in legatura cu furnizarea serviciilor de comunicatii electronice accesibile publicului sau de retele de comunicatii publice si de modificare a Directivei 2002/58/CE, directiva declarata nevalida prin Hotararea din 8 aprilie 2014 a Curtii de Justitie a Uniunii Europene. Se invedereaza ca, prin hotararea anterior aratata, Curtea de Justitie a Uniunii Europene a retinut ca pastrarea datelor impusa de Directiva 2006/24/CE este apta sa realizeze obiectivul urmarit, respectiv combaterea criminalitatii grave, precum si pastrarea sigurantei publice, insa aceasta presupune o ingerinta ampla si deosebit de grava in drepturile fundamentale la respectarea vietii private si la protectia datelor cu caracter personal, fara ca aceasta ingerinta sa fie limitata la strictul necesar.

10. Se observa ca instanta europeana a argumentat ca directiva vizeaza, in mod generalizat, toate persoanele si mijloacele de comunicare electronica si datele privind traficul fara a fi operata vreo diferenta, limitare sau exceptie in functie de obiectivul combaterii infractiunilor grave si ca aceasta nu garanteaza faptul ca autoritatile nationale competente nu au acces la date si ca nu pot sa le utilizeze decat in scopul prevenirii, depistarii si urmaririi penale a infractiunilor care pot fi considerate suficient de grave pentru a justifica o astfel de ingerinta. Se sustine ca, dimpotriva, Directiva 2006/24/CE face trimiteri generale la infractiuni grave, asa cum ele sunt definite in dreptul intern al fiecarui stat membru si ca nu prevede in mod clar conditiile materiale si procedurale in care autoritatile interne pot avea acces la date si le pot utiliza ulterior, accesul la date nefiind conditionat de controlul prealabil al unei instante sau al unei entitati administrative independente.

11. Cu privire la durata pastrarii datelor, se arata ca instanta europeana a retinut ca directiva analizata impune o perioada cuprinsa intre 6 si 24 de luni, fara a distinge in functie de persoanele vizate sau de felul utilizarii respectivelor date in raport cu obiectivul urmarit si fara a preciza criteriile obiective care stau la baza stabilirii duratei retinerii datelor, criterii care sa garanteze limitarea acestei retineri la strictul necesar.

12. Se sustine ca aceeasi instanta a constatat lipsa din cuprinsul Directivei 2006/24/CE a unor garantii suficiente, care sa asigure o protectie eficienta a datelor impotriva eventualelor abuzuri sau utilizari ilicite a acestora si distrugerea definitiva a datelor la sfarsitul perioadei de pastrare.

13. Se arata ca Curtea de Justitie a Uniunii Europene a retinut si lipsa obligativitatii pastrarii datelor pe teritoriul Uniunii Europene, Directiva 2006/24/CE negarantand astfel respectarea de catre autoritatile independente a cerintelor impuse de Carta drepturilor fundamentale a Uniunii Europene privind protectia si securitatea, cerinte ce reprezinta un element esential al ocrotirii persoanelor in raport cu administrarea datelor cu caracter personal.

14. Se sustine ca, pentru aceste motive, s-a constatat ca dispozitiile Directivei 2006/24/CE nu respecta principiul proportionalitatii in aplicarea prevederilor art. 7, art. 8 si art. 52 alin. (1) din Carta, principiu potrivit caruia drepturile fundamentale pot fi restranse numai daca respectivele restrangeri sunt necesare si raspund obiectivelor de interes general recunoscute de Uniunea Europeana sau sunt necesare pentru protejarea drepturilor si libertatilor prevazute in Carta.

15. Se arata ca, intrucat Curtea de Justitie a Uniunii Europene nu a limitat in timp efectele Hotararii din 8 aprilie 2014, aceste efecte se produc de la data intrarii in vigoare a Directivei 2006/24/CE, dar ca declararea ca nevalida a acesteia nu atrage automat nelegalitatea actelor normative de transpunere a sa in legislatia statelor membre. Se sustine ca statele membre sunt obligate sa intervina legislativ, in sensul abrogarii sau al modificarii respectivelor acte normative, interventie legislativa ce nu s-a realizat in privinta Legii nr. 82/2012.

16. Din perspectiva argumentelor anterior enuntate, se sustine ca dispozitiile art. 152 din Codul de procedura penala si ale Legii nr. 82/2012 apar ca fiind neconstitutionale, contravenind prevederilor art. 26 din Constitutie. in acest sens, se arata ca Legea nr. 82/2012 incrimineaza doar accesarea intentionata, alterarea sau transferul fara autorizare a datelor retinute potrivit dispozitiilor acestei legi, fara a oferi o protectie eficienta a datelor fata de riscurile de abuz sau de utilizari ilicite. Se mai observa ca aceeasi lege impune pastrarea datelor pentru o perioada de 6 luni, fara a distinge intre categorii de date, in functie de persoanele vizate sau de utilizarea lor eventuala in raport cu obiectivul urmarit si ca nu sunt prevazute criterii obiective de stabilire a duratei pastrarii, pentru limitarea acesteia la strictul necesar. Se mai sustine ca, la fel ca si Directiva 2006/24/CE, Legea nr. 82/2012 nu prevede obligatia pastrarii datelor pe teritoriul Uniunii Europene, nefiind pe deplin asigurat controlul respectarii cerintelor privind protectia si securitatea de catre o autoritate independenta, aspect ce contravine Cartei drepturilor fundamentale a Uniunii Europene, un astfel de control constituind un element esential al protectiei persoanelor in raport cu administrarea datelor cu caracter personal.

17. Potrivit art. 30 alin. (1) din Legea nr. 47/1992, incheierile de sesizare au fost comunicate presedintilor celor doua Camere ale Parlamentului, Guvernului si Avocatului Poporului, pentru a-si exprima punctele de vedere asupra exceptiei de neconstitutionalitate.

18. Presedintii celor doua Camere ale Parlamentului, Guvernul si Avocatul Poporului nu au comunicat punctele lor de vedere asupra exceptiei de neconstitutionalitate.

CURTEA,

examinand incheierile de sesizare, rapoartele intocmite de judecatorul-raportor, concluziile procurorului, dispozitiile legale criticate, raportate la prevederile Constitutiei, precum si Legea nr. 47/1992, retine urmatoarele:

19. Curtea Constitutionala a fost legal sesizata si este competenta, potrivit dispozitiilor art. 146 lit. d) din Constitutie, precum si ale art. 1 alin. (2), ale art. 2, 3, 10 si 29 din Legea nr. 47/1992, sa solutioneze exceptia de neconstitutionalitate.

20. Obiectul exceptiei de neconstitutionalitate il constituie dispozitiile Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, precum si pentru modificarea si completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, republicata in Monitorul Oficial al Romaniei, Partea I, nr. 211 din 25 martie 2014, si ale art. 152 din Codul de procedura penala.

- Art. 152 din Codul de procedura penala are urmatorul cuprins: „(1) Organele de urmarire penala, cu autorizarea prealabila a judecatorului de drepturi si libertati, pot solicita unui furnizor de retele publice de comunicatii electronice sau unui furnizor de servicii de comunicatii electronice destinate publicului transmiterea datelor retinute, in baza legii speciale privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, altele decat continutul comunicatiilor, in cazul in care exista o suspiciune rezonabila cu privire la savarsirea unei infractiuni si exista temeiuri pentru a se crede ca datele solicitate constituie probe, pentru categoriile de infractiuni prevazute de legea privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului

(2) Judecatorul de drepturi si libertati se pronunta in termen de 48 de ore cu privire la solicitarea organelor de urmarire penala de transmitere a datelor, prin incheiere motivata, in camera de consiliu

(3) Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului care colaboreaza cu organele de urmarire penala au obligatia de a pastra secretul operatiunii efectuate.”

21. Se sustine ca textele criticate incalca prevederile constitutionale ale art. 26 referitoare la viata intima, familiala si privata.

22. Examinand exceptia de neconstitutionalitate, Curtea constata urmatoarele:

23. Legea nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului, precum si pentru modificarea si completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice reprezinta transpunerea in legislatia nationala a Directivei 2006/24/CE a Parlamentului European si a Consiliului din 15 martie 2006 privind pastrarea datelor generate sau prelucrate in legatura cu furnizarea serviciilor de comunicatii electronice accesibile publicului sau de retele de comunicatii publice si de modificare a Directivei 2002/58/CE. insa Directiva 2006/24/CE a fost declarata nevalida prin Hotararea Curtii de Justitie a Uniunii Europene din 8 aprilie 2014, pronuntata in cauzele conexate C-293/12 - Digital Rights Ireland Ltd impotriva Minister for Communications, Marine and Natural Resources si altii - si C-594/12 - Kärntner Landesregierung si altii. Prin hotararea mentionata instanta europeana a constatat ca directiva analizata incalca dispozitiile art. 7, art. 8 si art. 52 alin. (1) din Carta drepturilor fundamentale a Uniunii Europene.

24. Curtea de Justitie a Uniunii Europene a aratat, in acest sens, ca Directiva 2006/24/CE are ca obiectiv principal armonizarea legislatiei statelor membre privind obligatiile furnizorilor de servicii de comunicatii electronice accesibile publicului sau de retele de comunicatii publice de a pastra anumite date generate sau prelucrate, in vederea asigurarii disponibilitatii acestor date pentru prevenirea, cercetarea, depistarea si urmarirea penala a infractiunilor grave, cum sunt criminalitatea organizata si terorismul. S-a constatat, totodata, ca pastrarea datelor in cauza raspunde unui interes general, contribuind la combaterea criminalitatii grave si, prin urmare, la siguranta publica, si ca aceasta nu afecteaza substanta drepturilor fundamentale ocrotite de Carta. S-a conchis insa ca masurile dispuse prin Directiva 2006/24/CE, cu toate ca sunt de natura a realiza obiectivul urmarit, reprezinta o ingerinta in drepturile garantate prin art. 7 si art. 8 din Carta, care nu respecta principiul proportionalitatii intre masurile luate si interesul public ocrotit.

25. Curtea de Justitie a Uniunii Europene a retinut, in acest sens, prin Hotararea din 8 aprilie 2014, ca datele ce fac obiectul reglementarii directivei invalidate conduc la concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate, concluzii ce pot viza obiceiurile din viata cotidiana, locurile de sedere permanenta sau temporara, deplasarile zilnice sau alte deplasari, activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate de ele (paragraful 27) si ca, in aceste conditii, chiar daca, potrivit art. 1 alin. (2) si art. 5 alin. (2) din Directiva 2006/24/CE, este interzisa pastrarea continutului comunicatiilor si al informatiilor consultate prin utilizarea unei retele de comunicatii electronice, pastrarea datelor in cauza poate afecta utilizarea de catre abonati sau de catre utilizatorii inregistrati a mijloacelor de comunicare prevazute de aceasta directiva si, in consecinta, libertatea lor de exprimare, garantata prin art. 11 din Carta (paragraful 28).

26. S-a constatat, prin aceeasi hotarare, ca pastrarea datelor in scopul asigurarii eventualului acces al autoritatilor nationale competente la acestea, astfel cum este prevazuta de dispozitiile Directivei 2006/24/CE, priveste in mod direct si specific viata privata si, in consecinta, drepturile garantate prin art. 7 din Carta si ca o astfel de stocare a datelor incalca si prevederile art. 8 din Carta, intrucat constituie o prelucrare a unor date cu caracter personal, in sensul acestui articol, si trebuie sa indeplineasca cerintele de protectie a datelor care decurg din articolul mentionat (paragraful 29).

27. in sensul incalcarii prevederilor art. 7 si art. 8 din Carta, instanta europeana a concluzionat ca obligatia impusa prin art. 3 si art. 6 din Directiva 2006/24/CE furnizorilor de servicii de comunicatii electronice accesibile publicului sau de retele de comunicatii publice de a pastra pentru o anumita perioada date referitoare la viata privata a unei persoane si la comunicatiile sale, precum cele prevazute la art. 5 din aceasta directiva constituie per se o ingerinta in drepturile garantate prin art. 7 din Carta (paragraful 34). S-a constatat, totodata, ca aceeasi obligatie constituie o ingerinta in dreptul fundamental la protectia datelor cu caracter personal garantat la art. 8 din Carta, intrucat prevede o prelucrare a datelor cu caracter personal (paragraful 36).

28. Cu acelasi prilej, Curtea de Justitie a Uniunii Europene a aratat ca ingerinta in drepturile fundamentale consacrate la art. 7 si art. 8 din Carta, cauzata de dispozitiile Directivei 2006/24/CE, este de o mare amploare si trebuie considerata ca fiind deosebit de grava, iar imprejurarea ca pastrarea datelor si utilizarea lor ulterioara sunt efectuate fara ca abonatul sau utilizatorul inregistrat sa fie informat cu privire la aceasta este susceptibila sa genereze in mintea persoanelor vizate sentimentul ca viata lor privata face obiectul unei supravegheri constante (paragraful 37).

29. in privinta proportionalitatii ingerintei, s-a retinut in hotararea anterior mentionata ca obiectivul de interes general al Directivei 2006/24/CE, chiar daca este fundamental, nu poate justifica necesitatea unor masuri precum cele prevazute prin aceeasi directiva, in scopul combaterii infractiunilor indicate de aceasta (paragraful 51).

30. S-a mai retinut ca protectia datelor cu caracter personal, care rezulta din obligatia explicita prevazuta la art. 8 alin. (1) din Carta, prezinta o importanta deosebita pentru dreptul la respectarea vietii private, consacrat la art. 7 din aceeasi Carta (paragraful 51), motiv pentru care directiva in cauza ar trebui sa cuprinda norme clare si precise cu privire la continutul si aplicarea masurii retinerii datelor si sa prevada o serie de limitari, asa incat persoanele ale caror date au fost pastrate sa beneficieze de garantii suficiente care sa asigure o protectie eficienta impotriva abuzurilor si a oricarui acces sau utilizari ilicite (paragraful 54).

31. Curtea de Justitie a Uniunii Europene a mai retinut, prin Hotararea din 8 aprilie 2014, ca Directiva 2006/24/CE priveste ansamblul persoanelor care utilizeaza servicii de comunicatii electronice, fara insa ca persoanele ale caror date sunt stocate sa se regaseasca, fie si in mod indirect, intr-o situatie susceptibila sa declanseze inceperea urmaririi penale, prevederile directivei aplicandu-se chiar si acelora in privinta carora nu exista indicii ca ar putea avea vreo legatura, chiar indirecta sau indepartata, cu savarsirea unor infractiuni grave. S-a subliniat faptul ca directiva analizata nu prevede nicio exceptie in privinta persoanelor ale caror comunicatii sunt supuse, conform dreptului national, secretului profesional (paragraful 58).

32. in continuare, instanta europeana a retinut ca Directiva 2006/24/CE nu prevede niciun criteriu obiectiv care sa permita delimitarea accesului autoritatilor nationale competente la date si utilizarea lor ulterioara in scopul prevenirii, detectarii sau urmaririi penale in legatura cu infractiuni care, avand in vedere amploarea si gravitatea ingerintei in drepturile fundamentale consacrate la art. 7 si art. 8 din Carta, pot fi considerate ca fiind suficient de grave pentru a justifica o astfel de ingerinta si ca aceasta se limiteaza la a face trimitere in general, in cuprinsul art. 1 alin. (1), la infractiunile grave, astfel cum sunt definite in dreptul intern al fiecarui stat membru (paragraful 60).

33. in plus, s-a constatat ca directiva nu prevede in mod expres ca accesul autoritatilor nationale competente la datele stocate si utilizarea ulterioara a acestora trebuie sa se faca in mod strict in scopul prevenirii si al descoperirii unor infractiuni precis delimitate sau al desfasurarii urmaririi penale in cazul lor, ci prevede doar ca fiecare stat membru defineste procedurile care trebuie sa fie urmate si conditiile care trebuie sa fie indeplinite pentru obtinerea accesului la datele pastrate, in conformitate cu cerintele de necesitate si proportionalitate (paragraful 61).

34. Prin aceeasi hotarare, s-a mai retinut ca Directiva 2006/24/CE nu prevede criterii obiective care sa limiteze la strictul necesar numarul de persoane care au acces si pot utiliza ulterior datele pastrate, ca accesul autoritatilor nationale la datele stocate nu este conditionat de controlul prealabil efectuat de catre o instanta sau de o entitate administrativa independenta, care sa limiteze acest acces si utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmarit si ca nu este prevazuta obligatia statelor membre de a stabili astfel de limitari (paragraful 62).

35. Referitor la durata pastrarii datelor, s-a retinut ca Directiva 2006/24/CE impune stocarea acestora pentru o perioada de la 6 la 24 de luni, fara sa prevada criterii obiective de limitare a pastrarii datelor la strictul necesar si fara a distinge intre categoriile de date in functie de utilitatea lor pentru realizarea obiectivului urmarit sau in functie de persoanele vizate (paragraful 63-64).

36. S-a constatat, totodata, ca Directiva 2006/24/CE nu prevede norme clare si precise care sa reglementeze intinderea ingerintei in drepturile fundamentale consacrate la art. 7 si art. 8 din Carta, ca directiva contine o ingerinta in aceste drepturi fundamentale de o mare amploare si de o gravitate deosebita si ca aceasta incalcare nu este limitata la strictul necesar (paragraful 65). S-a retinut, de asemenea, ca Directiva 2006/24/CE nu prevede garantii suficiente, conform art. 8 din Carta, pentru asigurarea unei protectii eficiente a datelor stocate impotriva eventualelor abuzuri, accesului sau utilizarii ilicite a acestor date (paragraful 66).

37. in fine, s-a aratat ca directiva nu impune ca datele stocate sa fie pastrate pe teritoriul Uniunii Europene, asa incat controlul respectarii cerintelor de protectie si de securitate, prevazut la alin. (3) al art. 8 din Carta si care constituie un element esential al ocrotirii persoanelor in ceea ce priveste prelucrarea datelor cu caracter personal, nu este garantat in totalitate (paragraful 68).

38. Pentru motivele aratate, Curtea de Justitie a Uniunii Europene a hotarat ca legiuitorul Uniunii a incalcat, prin dispozitiile Directivei 2006/24/CE, principiul proportionalitatii, aceasta directiva contravenind prevederilor art. 7, art. 8 si art. 52 alin. (1) din Carta (paragraful 69).

39. Pe de alta parte, se constata ca Legea nr. 82/2012 a fost adoptata de Parlament ca urmare a pronuntarii de catre instanta constitutionala a Deciziei nr. 1.258 din 8 octombrie 2009, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 798 din 23 noiembrie 2009, prin care s-a constatat ca dispozitiile Legii nr. 298/2008 privind retinerea datelor generate sau prelucrate de furnizorii de servicii de comunicatii electronice destinate publicului sau de retele publice de comunicatii, precum si pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice sunt neconstitutionale, Legea nr. 298/2008 reprezentand prima transpunere in legislatia nationala a Directivei 2006/24/CE.

40. Prin Decizia nr. 1.258 din 8 octombrie 2009, Curtea a retinut ca art. 1 alin. (2) din Legea nr. 298/2008 include in categoria datelor de trafic si localizare a persoanelor fizice si juridice si „datele conexe necesare pentru identificarea abonatului sau a utilizatorului inregistrat”, fara insa a defini in mod expres ce se intelege prin sintagma „date conexe”. S-a aratat ca lipsa unei reglementari legale precise, care sa determine cu exactitate sfera acelor date necesare identificarii persoanelor fizice sau juridice utilizatoare, deschide posibilitatea unor abuzuri in activitatea de retinere, prelucrare si utilizare a datelor stocate de furnizorii serviciilor de comunicatii electronice destinate publicului sau de retele publice de comunicatii si ca limitarea exercitiului dreptului la viata intima si la secretul corespondentei si a libertatii de exprimare, de asemenea, trebuie sa aiba loc intr-o maniera clara, previzibila si lipsita de echivoc, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrarului sau a abuzului autoritatilor in acest domeniu.

41. De asemenea, Curtea Constitutionala a observat aceeasi maniera ambigua de redactare, neconforma cu normele de tehnica legislativa, a dispozitiilor art. 20 din Legea nr. 298/2008, potrivit carora, „in scopul prevenirii si contracararii amenintarilor la adresa securitatii nationale, organele de stat cu atributii in acest domeniu pot avea acces, in conditiile stabilite prin actele normative ce reglementeaza activitatea de realizare a securitatii nationale, la datele retinute de furnizorii de servicii si retele publice de comunicatii electronice”. S-a constatat ca legiuitorul nu arata ce se intelege prin „amenintari la adresa securitatii nationale”, astfel ca, in lipsa unor criterii precise de delimitare, diverse actiuni, informatii sau activitati obisnuite, de rutina, ale persoanelor fizice si juridice pot fi apreciate, in mod arbitrar si abuziv, ca avand natura unor astfel de amenintari. S-a aratat, totodata, ca destinatarii legii pot fi inclusi in categoria persoanelor suspecte fara a cunoaste acest lucru si fara a putea preveni, prin conduita lor, consecinta aplicarii rigorilor legii si, de asemenea, ca utilizarea sintagmei „pot avea” induce ideea ca datele la care se refera Legea nr. 298/2008 nu sunt retinute in scopul exclusiv al utilizarii acestora numai de catre organele statului cu atributii specifice in protejarea securitatii nationale si a ordinii publice, ci si de catre alte persoane sau entitati, din moment ce acestea „pot”, si nu „au”, acces la aceste date, in conditiile legii.

42. Prin aceeasi decizie, Curtea Constitutionala a constatat ca Legea nr. 298/2008, in ansamblul ei, instituie regula retinerii continue a datelor cu caracter personal, pe o perioada de 6 luni de la momentul interceptarii lor. Or, in materia drepturilor personale, cum sunt dreptul la viata intima si libertatea de exprimare, precum si a prelucrarii datelor cu caracter personal, regula unanim recunoscuta este aceea a garantarii si respectarii acestor drepturi, respectiv a confidentialitatii, statul avand, in acest sens, obligatii majoritar negative, de abtinere, prin care sa fie evitata, pe cat posibil, ingerinta sa in exercitiul dreptului sau al libertatii. S-a subliniat ca exceptiile sunt permise limitativ, in conditiile expres prevazute de Constitutie si de actele juridice internationale aplicabile in domeniu, iar Legea nr. 298/2008 reprezinta o astfel de exceptie, dupa cum o arata insusi titlul acesteia.

43. Curtea a constatat, de asemenea, ca obligatia de retinere a datelor reglementata de Legea nr. 298/2008, cu titlu de exceptie sau derogare de la principiul protejarii datelor cu caracter personal si al confidentialitatii lor, prin natura, intinderea si domeniul ei de aplicare, goleste insa de continut acest principiu, astfel cum era garantat prin Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date si Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice. Or, este unanim recunoscut in jurisprudenta Curtii Europene a Drepturilor Omului, de exemplu, prin Hotararea din 12 iulie 2001, pronuntata in Cauza Printul Hans-Adam II de Lichtenstein impotriva Germaniei, paragraful 45, ca statele membre semnatare ale Conventiei pentru apararea drepturilor omului si a libertatilor fundamentale si-au asumat obligatii de natura sa asigure ca drepturile garantate de Conventie sa fie concrete si efective, nu teoretice si iluzorii, masurile legislative adoptate urmarind apararea eficienta a drepturilor. Obligatia legala care impune retinerea in mod continuu a datelor cu caracter personal transforma insa exceptia de la principiul protejarii efective a dreptului la viata intima si libera exprimare in regula absoluta. Astfel, dreptul apare ca fiind reglementat intr-o maniera negativa, latura sa pozitiva pierzand caracterul predominant.

44. S-a retinut, totodata, ca reglementarea unei obligatii pozitive care priveste limitarea in mod necontenit a exercitiului dreptului la viata intima si la secretul corespondentei face sa dispara insasi esenta dreptului, prin indepartarea garantiilor privind exercitarea acestuia. Persoanele fizice si juridice care sunt utilizatori in masa ai serviciilor de comunicatii electronice destinate publicului sau de retele publice de comunicatii sunt supuse in permanenta acestei ingerinte in exercitiul drepturilor lor intime la corespondenta si libera exprimare, fara a exista posibilitatea unor manifestari libere, necenzurate, decat sub forma comunicarii directe, fiind excluse mijloacele de comunicare principale folosite in prezent.

45. Tot prin Decizia nr. 1.258 din 8 octombrie 2009 Curtea a statuat ca intr-o logica fireasca a analizei se impune si examinarea in cauza a respectarii principiului proportionalitatii, o alta cerinta imperativa necesar a fi indeplinita in cazurile de restrangere a exercitiului unor drepturi sau libertati fundamentale, prevazuta expres de art. 53 alin. (2) din Constitutie. Acest principiu impune ca masura de restrangere sa fie in acord cu situatia care a determinat aplicarea ei si, de asemenea, sa inceteze odata cu disparitia cauzei determinante. Legea nr. 298/2008 impune obligatia retinerii datelor in mod continuu, de la momentul intrarii in vigoare, respectiv al aplicarii sale (si anume 20 ianuarie 2009, respectiv 15 martie 2009 in privinta datelor de trafic de localizare corespunzatoare serviciilor de acces la internet, posta electronica si telefonie prin internet), fara a se avea in vedere necesitatea incetarii masurii de limitare odata cu disparitia cauzei ce a determinat luarea acestei masuri.

46. Curtea a constatat ca, desi Legea nr. 298/2008 se referea la date cu un caracter predominant tehnic, acestea erau retinute in scopul furnizarii informatiilor cu privire la persoana si viata sa privata. Chiar daca, potrivit art. 1 alin. (3) din lege, aceasta nu se aplica si continutului comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, celelalte date retinute, avand ca scop identificarea apelantului si a apelatului, respectiv a utilizatorului si a destinatarului unei informatii comunicate pe cale electronica, a sursei, destinatiei, datei, orei si duratei unei comunicari, a tipului de comunicare, a echipamentului de comunicatie sau a dispozitivelor folosite de utilizator, a locatiei echipamentului de comunicatii mobile, precum si a altor „date conexe” - nedefinite in lege -, erau de natura sa prejudicieze, sa stinghereasca manifestarea libera a dreptului la comunicare sau la exprimare.

47. S-a aratat ca garantiile legale privind utilizarea in concret a datelor retinute - referitoare la excluderea continutului comunicarii sau a informatiilor consultate, ca obiect al stocarii datelor, la autorizarea motivata si prealabila a presedintelui instantei competente sa judece fapta pentru care s-a inceput urmarirea penala, in conditiile prevazute de art. 16 din Legea nr. 298/2008 si cu aplicarea sanctiunilor reglementate la art. 18 si art. 19 din aceasta - nu erau suficiente si adecvate pentru a indeparta teama ca drepturile personale, de natura intima, sunt violate, asa incat manifestarea acestora sa aiba loc intr-o maniera acceptabila.

48. Astfel, Curtea Constitutionala nu a negat scopul in sine avut in vedere de legiuitor la adoptarea Legii nr. 298/2008, in sensul ca este imperios necesara asigurarea unor mijloace legale adecvate si eficiente, compatibile cu procesul continuu de modernizare si tehnologizare a mijloacelor de comunicare, astfel incat fenomenul infractional sa poata fi controlat si contracarat. S-a aratat ca tocmai de aceea drepturile individuale nu pot fi exercitate in absurdum, ci pot constitui obiectul unor restrangeri care sunt justificate in functie de scopul urmarit. Limitarea exercitiului unor drepturi personale, in considerarea unor drepturi colective si interese publice, ce vizeaza siguranta nationala, ordinea publica sau preventia penala, a constituit in permanenta o operatiune sensibila sub aspectul reglementarii, fiind necesara mentinerea unui just echilibru intre interesele si drepturile individuale, pe de o parte, si cele ale societatii, pe de alta parte. Curtea a retinut insa ca nu este mai putin adevarat, astfel cum a remarcat Curtea Europeana a Drepturilor Omului in Hotararea din 6 septembrie 1978 pronuntata in Cauza Klass si altii impotriva Germaniei, paragraful 49, ca luarea unor masuri de supraveghere, fara garantii adecvate si suficiente, poate duce la „distrugerea democratiei sub pretextul apararii ei”.

49. Comparand dispozitiile Legii nr. 82/2012 cu cele ale Legii nr. 298/2008, Curtea constata ca, in ambele legi, cazurile in care autoritatile judiciare ori organele cu atributii in domeniul sigurantei nationale au acces la datele generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de furnizorii de servicii de comunicatii electronice destinate publicului sunt cele care au ca scop activitatile de prevenire, cercetare, descoperire si urmarire penala a „infractiunilor grave”. De asemenea, se observa ca ambele legi definesc notiunea de „infractiune grava”, insa Legea nr. 82/2012 extinde semnificativ sfera infractiunilor care se circumscriu acestei notiuni [a se vedea art. 2 lit. e)] comparativ cu Legea nr. 298/2008, a carei sfera de cuprindere era mai redusa [a se vedea art. 2 lit. f)]. in plus, legea supusa prezentului control de constitutionalitate permite accesul organelor judiciare si al organelor de stat cu atributii in domeniul sigurantei nationale la datele retinute si pentru rezolvarea cauzelor cu persoane disparute ori pentru punerea in executare a unui mandat de arestare sau de executare a pedepsei. Curtea apreciaza ca aceasta extindere a fost posibila, avand in vedere dispozitiile Directivei 2006/24/CE, care lasau la latitudinea statelor membre stabilirea situatiilor pentru care se aplica actul normativ de transpunere a directivei.

50. Curtea observa, de asemenea, ca legiuitorul a renuntat in cuprinsul noii reglementari la sintagma „date conexe necesare pentru identificarea abonatului sau a utilizatorului inregistrat” din norma de la art. 1 alin. (2) din Legea nr. 298/2008, stabilind la art. 1 alin. (2) din Legea nr. 82/2012 ca acest act normativ „se aplica datelor de trafic si de localizare a persoanelor fizice si a persoanelor juridice, precum si datelor necesare pentru identificarea unui abonat sau unui utilizator inregistrat”. Eliminarea din cuprinsul ipotezei reglementate a cuvantului „conexe” prin care sintagma „date conexe necesare” a fost reformulata devenind „datele necesare” nu este de natura a inlatura viciul de neconstitutionalitate semnalat prin Decizia nr. 1.258 din 8 octombrie 2009, care a criticat faptul ca legiuitorul nu a definit in mod expres ce se intelege prin „date conexe necesare pentru identificarea abonatului sau a utilizatorului inregistrat”. Reglementarea actuala conserva caracterul imprecis al formularii, intrucat nu defineste nici acum ce se intelege prin „datele necesare pentru identificarea unui abonat sau unui utilizator inregistrat”.

51. in ceea ce priveste posibilitatea organelor de stat cu atributii in domeniul prevenirii si contracararii amenintarilor la adresa securitatii nationale de a avea acces la datele retinute de furnizorii de servicii si retele publice de comunicatii electronice, prevazuta la art. 20 din Legea nr. 298/2008, Curtea constata ca dreptul acestor organe de stat de a avea acces la datele retinute se regaseste in cuprinsul art. 16 alin. (1) din Legea nr. 82/2012, potrivit caruia „Furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului au obligatia ca, la solicitarea organelor de urmarire penala, a instantelor de judecata si a organelor de stat cu atributii in domeniul securitatii nationale, formulata in aplicarea dispozitiilor Codului de procedura penala, precum si a celor din legile speciale in materie, sa transmita acestora, in cel mult 48 de ore de la data solicitarii, datele retinute potrivit prezentei legi”, text ce reglementeaza o situatie asemanatoare cu cea prevazuta de legea veche.

52. Cu privire la obligatia continua a furnizorilor de retele publice de comunicatii electronice si furnizorilor de servicii de comunicatii electronice destinate publicului de a retine datele in cauza, Curtea constata ca aceasta a fost mentinuta si in cuprinsul noii reglementari, Legea nr. 82/2012 stabilind la art. 1 alin. (1) „obligatia furnizorilor de retele publice de comunicatii electronice si a furnizorilor de servicii de comunicatii electronice destinate publicului de a retine anumite date generate sau prelucrate in cadrul activitatii lor pentru punerea acestora la dispozitia [...]”. Or, caracterul continuu al retinerii datelor generate sau prelucrate in cadrul activitatii furnizorilor de retele publice de comunicatii electronice si a furnizorilor de servicii de comunicatii electronice destinate publicului a reprezentat, din perspectiva instantei de contencios constitutional, exprimata prin Decizia nr. 1.258 din 8 octombrie 2009, un motiv de constatare a neconstitutionalitatii prevederilor Legii nr. 298/2008.

53. Procedand la efectuarea controlului de constitutionalitate al Legii nr. 82/2012, Curtea constata ca prevederile art. 26, art. 28 si art. 30 din Constitutie reglementeaza dreptul la viata intima, familiala si privata, secretul corespondentei, precum si libertatea de exprimare, conditii in care obiectul de reglementare al legii criticate intra in sfera de protectie a acestor texte constitutionale. Legea criticata, antamand probleme ce tin de protectia drepturilor constitutionale invocate, reprezinta o interventie legislativa in sfera acestora, motivata chiar de scopul acestei legi, care coincide, la nivel national, cu cel al Directivei 2006/24/CE si consta in prevenirea, descoperirea si cercetarea infractiunilor grave de catre organele de urmarire penala, instantele de judecata si organele de stat cu atributii in domeniul sigurantei nationale, scop pe deplin realizat prin legea supusa controlului de constitutionalitate.

54. Analizand dispozitiile Legii nr. 82/2012, precum si considerentele de principiu cuprinse in Hotararea Curtii de Justitie a Uniunii Europene din 8 aprilie 2014, prin care Directiva 2006/24/CE a fost declarata nevalida, si in Decizia Curtii Constitutionale nr. 1.258 din 8 octombrie 2009, Curtea retine ca acestea sunt aplicabile, in principiu, si Legii nr. 82/2012.

55. in primul rand, ingerinta in drepturile fundamentale privind viata intima, familiala si privata, secretul corespondentei si libertatea de exprimare este de o mare amploare si trebuie considerata ca fiind deosebit de grava, iar imprejurarea ca pastrarea datelor si utilizarea lor ulterioara sunt efectuate fara ca abonatul sau utilizatorul inregistrat sa fie informat cu privire la aceasta este susceptibila sa imprime in constiinta persoanelor vizate sentimentul ca viata lor privata face obiectul unei supravegheri constante.

56. in al doilea rand, datele care fac obiectul reglementarii, desi au un caracter predominant tehnic, sunt retinute in scopul furnizarii informatiilor cu privire la persoana si viata sa privata. Chiar daca, potrivit art. 1 alin. (3) din lege, aceasta nu se aplica si continutului comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, celelalte date retinute, avand ca scop identificarea apelantului si a apelatului, respectiv a utilizatorului si a destinatarului unei informatii comunicate pe cale electronica, a sursei, destinatiei, datei, orei si duratei unei comunicari, a tipului de comunicare, a echipamentului de comunicatie sau a dispozitivelor folosite de utilizator, a locatiei echipamentului de comunicatii mobile, precum si a altor „date necesare” - nedefinite in lege -, sunt de natura sa prejudicieze manifestarea libera a dreptului la comunicare sau la exprimare. in concret, datele avute in vedere conduc la concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate, concluzii ce pot viza obiceiurile din viata cotidiana, locurile de sedere permanenta sau temporara, deplasarile zilnice sau alte deplasari, activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate de ele. Or, o atare limitare a exercitiului dreptului la viata intima, familiala si privata si la secretul corespondentei, precum si a libertatii de exprimare trebuie sa aiba loc intr-o maniera clara, previzibila si lipsita de echivoc, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrarului sau a abuzului autoritatilor in acest domeniu.

57. In al treilea rand, legea criticata nu cuprinde norme clare si precise cu privire la continutul si aplicarea masurii retinerii si utilizarii, asa incat persoanele ale caror date au fost pastrate sa beneficieze de garantii suficiente care sa asigure o protectie eficienta impotriva abuzurilor si a oricarui acces sau utilizari ilicite. Astfel, legea nu prevede criterii obiective care sa limiteze la strictul necesar numarul de persoane care au acces si pot utiliza ulterior datele pastrate, ca accesul autoritatilor nationale la datele stocate nu este conditionat, in toate cazurile, de controlul prealabil efectuat de catre o instanta sau de o entitate administrativa independenta, care sa limiteze acest acces si utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmarit. Garantiile legale privind utilizarea in concret a datelor retinute nu sunt suficiente si adecvate pentru a indeparta teama ca drepturile personale, de natura intima, sunt violate, asa incat manifestarea acestora sa aiba loc intr-o maniera acceptabila.

58. in plus fata de argumentele aduse anterior, Curtea considera necesar, pentru intelegerea exacta a mecanismului retinerii datelor, operarea unei distinctii intre doua etape diferite. Observand ca datele in discutie se refera, in principal, la datele de trafic si de localizare a persoanelor, precum si la datele necesare pentru identificarea unui abonat sau a unui utilizator inregistrat, mecanismul reglementat implica doua etape, prima fiind aceea a retinerii si stocarii datelor, iar cea de-a doua, aceea a accesului la aceste date si a folosirii lor.

59. Retinerea si stocarea datelor, care in mod firesc este prima operatiune din punct de vedere cronologic, revine, ca obligatie, furnizorilor de retele publice si de servicii de comunicatii electronice destinate publicului. Aceasta operatiune este una tehnica, fiind realizata automat in baza unor programe informatice atata timp cat legea prevede obligatia furnizorilor desemnati de lege de a retine respectivele date. Intrucat atat potrivit Directivei 2006/24/CE, cat si conform Legii nr. 82/2012, scopul retinerii si stocarii este unul general, urmarindu-se garantarea sigurantei nationale, a apararii, precum si prevenirea, cercetarea, detectarea si urmarirea penala a infractiunilor grave, retinerea si stocarea nefiind legate si determinate de un caz concret, apare ca evident caracterul continuu al obligatiei furnizorilor de retele publice de comunicatii electronice si a furnizarilor de servicii electronice de a retine aceste date pe intreaga perioada prevazuta expres de cadrul normativ in vigoare, respectiv pe o perioada de 6 luni, conform Legii nr. 82/2012. De asemenea, in aceasta etapa, fiind vorba exclusiv de retinerea si stocarea unei mase de informatii, identificarea ori localizarea celor care sunt subiectii unei comunicatii electronice nu se realizeaza in concret, aceasta urmand a avea loc abia in a doua etapa, dupa ce este permis accesul la date si utilizarea acestora.

60. Curtea apreciaza ca tocmai datorita naturii si specificului primei etape, din moment ce legiuitorul considera necesara retinerea si stocarea datelor, prin ea insasi doar aceasta operatiune nu contravine dreptului la viata intima, familiala si privata, ori secretului corespondentei. Nici Constitutia si nici jurisprudenta Curtii Constitutionale nu interzic stocarea preventiva, fara o ocazie anume a datelor de trafic si de localizare, cu conditia insa ca accesul la aceste date si utilizarea lor sa fie insotite de garantii si sa respecte principiul proportionalitatii.

61. Prin urmare, Curtea apreciaza ca abia raportat la cea de-a doua etapa, aceea a accesului si a utilizarii acestor date, se ridica problema conformitatii reglementarilor legale cu dispozitiile constitutionale. Examinand dispozitiile Legii nr. 82/2012, cu privire la accesul organelor judiciare si a celorlalte organe de stat cu atributii in domeniul sigurantei nationale la datele stocate, Curtea constata ca legea nu ofera garantiile necesare protectiei dreptului la viata intima, familiala si privata, a secretului corespondentei si a libertatii de exprimare ale persoanelor ale caror date stocate sunt accesate.

62. Astfel, asa cum a fost aratat anterior, potrivit dispozitiilor art. 1 din Legea nr. 82/2012, au acces la datele retinute conform prevederilor acestei legi, organele de urmarire penala, instantele de judecata si organele de stat cu atributii in domeniul sigurantei nationale. insa, potrivit dispozitiilor art. 18 din Legea nr. 82/2012, doar organele de urmarire penala sunt obligate sa respecte dispozitiile art. 152 din Codul de procedura penala, aceasta obligatie nefiind prevazuta si pentru organele de stat cu atributii in domeniul securitatii nationale, care pot accesa aceste date in conformitate cu „legile speciale in materie”, asa cum prevede art. 16 alin. (1) din Legea nr. 82/2012. Prin urmare, doar solicitarea adresata de organele de urmarire penala furnizorilor de retele publice de comunicatii electronice si furnizorilor de servicii de comunicatii electronice destinate publicului de transmitere a datelor retinute este supusa autorizarii prealabile a judecatorului de drepturi si libertati.

63. Solicitarile de acces la datele retinute in vederea utilizarii lor in scopul prevazut de lege, formulate de catre organele de stat cu atributii in domeniul securitatii nationale, nu sunt supuse autorizarii sau aprobarii instantei judecatoresti, lipsind astfel garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz precum si impotriva oricarui acces si a oricarei utilizari ilicite a acestor date. Aceasta imprejurare este de natura a constitui o ingerinta in drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si, prin urmare, contravine dispozitiilor constitutionale care consacra si protejeaza aceste drepturi.

64. Din analiza „legilor speciale in materie”, la care art. 16 alin. (1) din Legea nr. 82/2012 face trimitere, Curtea constata ca organele de stat cu atributii in domeniul securitatii nationale pot accesa si folosi datele stocate fara a fi nevoie de autorizarea instantei de judecata. Astfel, Legea nr. 51/1991 privind securitatea nationala a Romaniei, republicata in Monitorul Oficial al Romaniei, Partea I, nr. 190 din 18 martie 2014, stabileste, la art. 8, organele de stat cu atributii in domeniul securitatii nationale, acestea fiind Serviciul Roman de Informatii, Serviciul de Informatii Externe si Serviciul de Protectie si Paza, iar la art. 9 prevede ca Ministerul Apararii Nationale, Ministerul Afacerilor Interne si Ministerul Justitiei isi organizeaza structuri de informatii cu atributii specifice domeniilor lor de activitate. Curtea mai constata ca, potrivit art. 13 lit. e) din lege, organele cu atributii in domeniul securitatii nationale pot, in conditiile existentei unor amenintari la adresa sigurantei nationale a Romaniei, astfel cum sunt definite acestea la art. 3 din Legea nr. 51/1991, sa solicite obtinerea datelor generate sau prelucrate de catre furnizorii de retele publice, de comunicatii electronice ori furnizorii de servicii de comunicatii electronice destinate publicului, altele decat continutul acestora, si retinute de catre acestia potrivit legii, fara ca acest articol ori art. 14 din lege sa prevada ca aceasta solicitare trebuie sa fie autorizata de catre judecator.

65. Curtea retine, de asemenea, ca, potrivit art. 9 din Legea nr. 14/1992 privind organizarea si functionarea Serviciului Roman de Informatii, „in vederea stabilirii existentei amenintarilor la adresa securitatii nationale, prevazute la art. 3 din Legea nr. 51/1991 privind siguranta nationala a Romaniei, cu modificarile ulterioare, serviciile de informatii pot efectua, cu respectarea legii, verificari prin: [...] e) obtinerea datelor generate sau prelucrate de catre furnizorii de retele publice de comunicatii electronice sau furnizorii de servicii de comunicatii electronice destinate publicului, altele decat continutul acestora, si retinute de catre acestia potrivit legii.” Dar, la fel ca si prevederile Legii nr. 82/2012 si ale Legii nr. 51/1991, nici dispozitiile Legii nr. 14/1992 nu prevad obligatia acestui serviciu de informatii de a obtine autorizarea judecatorului pentru a avea acces la datele stocate.

66. Totodata, Curtea retine ca Legea nr. 1/1998 privind organizarea si functionarea Serviciului de Informatii Externe, republicata in Monitorul Oficial al Romaniei, Partea I, nr. 511 din 18 octombrie 2000, prevede la art. 10 alin. (1) ca „Serviciul de Informatii Externe este autorizat sa foloseasca persoane juridice sub acoperire, infiintate in conditiile legii, sa utilizeze metode specifice, sa creeze si sa detina mijloace adecvate pentru obtinerea, verificarea, protectia, evaluarea, valorificarea si stocarea datelor si informatiilor referitoare la siguranta nationala”, iar, conform alin. (3) al aceluiasi articol, „Folosirea mijloacelor de obtinere, verificare si valorificare a datelor si a informatiilor nu trebuie sa lezeze in niciun fel drepturile sau libertatile fundamentale ale cetatenilor, viata particulara, onoarea sau reputatia lor ori sa ii supuna la ingradiri ilegale”. De asemenea, potrivit art. 11 al Legii nr. 1/1998, „Serviciul de Informatii Externe are dreptul, in conditiile prevazute de lege, sa solicite si sa obtina de la autoritatile publice romane, agenti economici, alte persoane juridice, precum si de la persoane fizice informatii, date sau documente necesare indeplinirii atributiilor sale”. Prin urmare, Curtea constata ca Legea nr. 1/1998 nu reglementeaza in mod distinct accesul Serviciului de Informatii Externe la datele retinute de furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului, acest acces fiind insa reglementat de art. 13 din Legea nr. 51/1991, fara a fi conditionat deci de autorizarea prealabila a unei instante judecatoresti.

67. Or, lipsa unor astfel de autorizari a fost criticata, printre altele, si de catre Curtea de Justitie a Uniunii Europene prin Hotararea din 8 aprilie 2014, aceasta lipsa echivaland cu insuficienta garantiilor procesuale necesare ocrotirii dreptului la viata privata si a celorlalte drepturi consacrate de art. 7 din Carta drepturilor si libertatilor fundamentale si a dreptului fundamental la protectia datelor cu caracter personal, consacrat de art. 8 din Carta (paragraful 62).

68. De asemenea, Curtea constata ca, desi Legea nr. 82/2012 stabileste contraventiile care pot fi comise de catre furnizorii de retele publice si de servicii de comunicatii electronice in legatura cu procesul de retinere, stocare si accesare a datelor, precum si institutiile abilitate sa constate aceste contraventii si sa aplice sanctiunile (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal si Autoritatea Nationala pentru Administrare si Reglementare in Comunicatii), legea nu prevede un mecanism autentic de control, care sa asigure acestor institutii o verificare permanenta si efectiva a respectarii dispozitiilor legale, astfel incat sa poata fi sesizate cu usurinta cazurile in care furnizorii de servicii incalca dispozitiile legale privitoare la tipul de date retinute, durata in care acestea sunt stocate, distrugerea lor in cazurile prevazute de lege ori organele si institutiile carora li se permite accesul la aceste date. Prin urmare, dispozitiile legale pun accent in principal pe diligenta necesara in domeniul comunicatiilor, dar relativizeaza garantiile de siguranta a retinerii si pastrarii datelor, din moment ce operatorilor de comunicatii electronice nu le sunt impuse standarde corespunzatoare de asigurare a nivelului de securitate care sa poata fi controlate efectiv de institutiile prevazute de lege. Se mai observa ca legea prevede ca infractiune doar accesarea intentionata, alterarea sau transferul datelor retinute in baza legii, fara autorizare, iar toate celelalte fapte ilicite sunt considerate contraventii, ceea ce nu asigura in toate cazurile o protectie corespunzatoare a dreptului la viata intima, familiala si privata, precum si a secretului corespondentei. Nereglementarea unui mecanism real de control a activitatii furnizorilor de retele publice si de servicii de comunicatii electronice de catre o autoritate independenta echivaleaza cu lipsa unor garantii, astfel cum sunt impuse de prevederile art. 26 si art. 28 din Constitutie, care sa permita o protectie eficienta a datelor pastrate impotriva riscurilor de abuz, precum si a oricarui acces ori utilizari ilicite a acestor date.

69. Sunt relevante din perspectiva controlului de constitutionalitate efectuat, deciziile altor instante constitutionale europene, cu referire expresa la deciziile Curtii Constitutionale Federale a Germaniei, a Curtii Constitutionale a Cehiei, precum si a Curtii Supreme Administrative a Bulgariei.

70. Astfel, prin Hotararea din 2 martie 2010, Curtea Constitutionala Federala a Germaniei a declarat neconstitutionale dispozitiile art. 113a si 113b din Legea privind noua reglementare a supravegherii telecomunicatiilor din 21 decembrie 2007, precum si art. 100g din Codul de procedura penala al Germaniei, aratand ca acestea incalca art. 10 alin. 1 din Constitutia Germaniei referitor la secretul telecomunicatiilor.

71. Cu privire la neconstitutionalitatea dispozitiilor art. 113a si 113b din Legea privind noua reglementare a supravegherii telecomunicatiilor din 21 decembrie 2007 s-a aratat ca stocarea fara o ocazie anume a datelor de trafic in telecomunicatii nu face obiectul interdictiei stricte de stocare preventiva a datelor in sensul jurisprudentei Curtii Constitutionale Federale si ca, in cazul in care se acorda atentie acestei interventii si ea se realizeaza in mod adecvat, pot fi intrunite cerintele de proportionalitate.

72. S-a subliniat importanta stocarii datelor de trafic din sectorul telecomunicatiilor in scop preventiv, dar si necesitatea unor reglementari suficient de stricte si clare privind siguranta datelor si limitarea utilizarii lor, in scopul asigurarii transparentei si protectiei legale. S-a atras atentia insa ca o astfel de stocare reprezinta o ingerinta ampla, chiar si in conditiile in care continutul comunicarilor nu face obiectul stocarii, intrucat datele astfel retinute fac posibila o cunoastere detaliata a sferei intime a persoanei, in special in ceea ce priveste apartenenta sociala sau politica, preferintele, inclinatiile si slabiciunile persoanelor, permitand intocmirea unor profile pertinente si creand riscul supunerii unor cetateni, care nu dau niciun motiv sa fie supusi unor investigatii, de a fi expusi la astfel de actiuni.

73. S-a constatat ca prevederile art. 113a si 113b din Legea privind noua reglementare a supravegherii telecomunicatiilor din 21 decembrie 2007 incalca principiul proportionalitatii, nefiind indeplinite cerintele constitutionale referitoare la siguranta datelor si transparenta utilizarii lor si nici cele privind protectia persoanelor. in acest sens, s-a retinut ca dispozitiile legale criticate fac trimitere doar la diligenta necesara, in general, in domeniul telecomunicatiilor, dar relativizeaza cerintele de siguranta, lasandu-le la latitudinea operatorilor de telecomunicatii, carora nu le sunt impuse standarde suficient de inalte de asigurare a nivelului de securitate si, in privinta carora, sunt stabilite sanctiuni mai mari in cazul incalcarii obligatiei de stocare, decat in cel al incalcarii securitatii datelor.

74. S-a mai retinut ca prevederile art. 100g din Codul de procedura penala permit accesarea datelor si in alte cazuri decat cele individuale, fara acordul judecatorului si fara cunostinta persoanei vizate, motiv pentru care acestea sunt neconstitutionale.

75. in mod similar, Curtea Constitutionala a Republicii Cehe, prin Decizia din 22 martie 2011, a constatat neconstitutionalitatea dispozitiilor sectiunii 97 paragrafele 3 si 4 ale Actului nr. 127/2005 cu privire la comunicatiile electronice si modificari referitoare la acte normative conexe (Actul privind comunicatiile electronice) si ale Decretului nr. 485/2005 cu privire la retinerea datelor privind traficul, locatia, data si durata comunicatiilor si forma si metoda de furnizare a acestora autoritatilor autorizate.

76. in continutul acestei decizii, Curtea a retinut ca textele criticate nu ofera cetatenilor suficiente garantii in ceea ce priveste riscul folosirii abuzive a datelor stocate si arbitrariul. S-a constatat ca actele normative analizate nu definesc deloc sau definesc insuficient si ambiguu regulile privind indeplinirea cerintelor referitoare la securitatea retinerii datelor si restrictionarea accesului tertilor la datele retinute. A fost subliniata cu aceasta ocazie importanta in contextul actualului nivel de dezvoltare a societatii a retinerii datelor de trafic din domeniul comunicatiilor, dar si nevoia mentinerii unui echilibru intre interesul public si cel individual. Prin aceeasi decizie a fost constatata si lipsa definirii mijloacelor ce ar trebui puse la dispozitia persoanelor afectate pentru a beneficia de o protectie eficienta impotriva arbitrariului si a folosirii abuzive a datelor stocate.

77. In fine, Curtea Suprema Administrativa a Bulgariei, prin Decizia nr. 13.627 din 11 decembrie 2008, a anulat un articol din legea nationala privind retentia datelor care permitea Ministerului de Interne accesul pentru a retine date in terminalele computerelor si, de asemenea, furnizarea accesului serviciilor de securitate si altor institutii de aplicare a legii la aceste date, fara autorizarea unui organ judiciar, motivand ca dispozitia legala anulata nu prevedea nicio garantie pentru protectia dreptului la viata privata si ca nu era stabilit niciun mecanism care sa garanteze aceasta protectie impotriva interferentelor nelegale, astfel incat sa se evite afectarea onoarei, demnitatii ori reputatiei unei persoane.

78. In ceea ce priveste efectele deciziilor sale, Curtea reaminteste caracterul definitiv si general obligatoriu al acestora. Prin urmare, in cazul de fata, avand in vedere si Hotararea din 8 aprilie 2014 a Curtii de Justitie a Uniunii Europene, odata cu publicarea in Monitorul Oficial al Romaniei, Partea I, a prezentei decizii, devine lipsita de temei juridic, atat din punct de vedere al dreptului european, cat si al celui national, activitatea de retinere si folosire a datelor generate sau prelucrate in legatura cu furnizarea serviciilor de comunicatii electronice accesibile publicului sau de retelele de comunicatii publice. Concret, aceasta inseamna ca de la publicarea deciziei Curtii Constitutionale a Romaniei, furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului nu mai au nici obligatia, dar nici posibilitatea legala de a retine anumite date generate sau prelucrate in cadrul activitatii lor si de a le pune la dispozitia organelor judiciare si ale celor cu atributii in domeniul sigurantei nationale. Prin exceptie, pot fi retinute de catre acesti furnizori doar datele necesare pentru facturare sau plati pentru interconectare ori alte date prelucrate in scopuri de comercializare doar cu consimtamantul prealabil al persoanei ale carei date sunt prelucrate, asa cum prevede Directiva 2002/58/CE a Parlamentului European si a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale si protejarea confidentialitatii in sectorul comunicatiilor publice (Directiva asupra confidentialitatii si comunicatiilor electronice), in vigoare.

79. Corelativ, pana la adoptarea de catre Parlament a unei noi legi privind retinerea datelor, care sa respecte prevederile si exigentele constitutionale, asa cum au fost relevate in prezenta decizie, organele judiciare si organele de stat cu atributii in domeniul sigurantei nationale nu mai au acces la datele care au fost retinute si stocate deja in baza Directivei 2006/24/CE si a Legii nr. 82/2012 in vederea utilizarii lor in cadrul activitatilor definite de art. 1 alin. (1) din Legea nr. 82/2012. De asemenea, organele judiciare si cele cu atributii in domeniul sigurantei nationale nu au temei legal si constitutional nici pentru accesarea si utilizarea datelor retinute de catre furnizori pentru facturare, plati pentru interconectare ori in alte scopuri comerciale, pe care sa le foloseasca in cadrul activitatilor de prevenire, de cercetare, de descoperire si de urmarire penala a infractiunilor grave sau pentru rezolvarea cauzelor cu persoane disparute ori pentru punerea in executare a unui mandat de arestare sau de executare a pedepsei, tocmai datorita caracterului, naturii si scopului diferit al acestora, asa cum este prevazut de Directiva 2002/58/CE. De altfel, chiar Legea nr. 82/2012 stabileste in art. 11 ca aceste ultime date retinute sunt exceptate de la prevederile legii, avand un alt regim juridic, fiind supuse prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice.

80. Referitor la critica de neconstitutionalitate formulata cu privire la prevederile art. 152 din Codul de procedura penala, Curtea retine ca textul criticat nu reglementeaza procedura de retinere si stocare a datelor generate sau prelucrate de catre furnizorii de retele publice de comunicatii electronice si furnizorii de servicii de comunicatii electronice destinate publicului de a retine datele generate sau prelucrate, ci doar stabileste procedura de autorizare prealabila, de catre judecatorul de drepturi si libertati, a solicitarii adresate acestor furnizori de catre organele de urmarire penala, in vederea accesarii si utilizarii datelor retinute. Acest text care reglementeaza una din metodele speciale de supraveghere sau cercetare prevazute de titlul IV capitolul IV din Codul de procedura penala este cel care asigura controlul judecatoresc asupra activitatilor reglementate de lege, constituind tocmai garantia procedurala a dreptului la viata intima, familiala si privata, prevazut la art. 26 din Constitutie, invocat in sustinerea exceptiei de neconstitutionalitate. Este evident ca, in conditiile inexistentei unei legi care sa reglementeze procedura retinerii si stocarii datelor, art. 152 din Codul de procedura penala ramane fara aplicabilitate practica, dar aceasta imprejurare nu se constituie intr-un viciu de neconstitutionalitate, textul urmand a deveni incident imediat ce este adoptata o noua lege referitoare la retinerea datelor.

81. Asa fiind, Curtea apreciaza ca dispozitiile art. 152 din Codul de procedura penala nu incalca prevederile Constitutiei, astfel incat critica avand acest obiect urmeaza a fi respinsa ca neintemeiata.

82. Pentru considerentele expuse mai sus, in temeiul art. 146 lit. d) si al art. 147 alin. (4) din Constitutie, precum si al art. 1-3, al art. 11 alin. (1) lit. A.d) si al art. 29 din Legea nr. 47/1992, cu unanimitate de voturi,

CURTEA CONSTITUTIONALA

In numele legii

DECIDE:

1. Admite exceptia de neconstitutionalitate ridicata de Judecatoria Constanta - Sectia penala, din oficiu, in Dosarul nr. 11.972/212/2014 si de Judecatoria Targoviste, din oficiu, in Dosarul nr. 4.753/315/2014 si constata ca dispozitiile Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice si de f urnizorii de servicii de comunicatii electronice destinate publicului, precum si pentru modificarea si completarea Legii nr. 506/2004 pri vind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice sunt neconstitution ale.

2. Respinge ca neintemeiata exceptia de neconstitutionalitate ridicata de Judecatoria Constanta - Sectia penala, din oficiu, in Dosarul nr. 11.972/212/2014 si constata ca prevederile art. 152 din Codul de procedura penala sunt constitutionale i n raport cu criticile formulate.

Definitiva si general obligatorie.
Decizia se comunica celor doua Camere ale Parlamentului, Guvernului, Judecatoriei Constanta si Judecatoriei Targoviste si se publica in Monitorul Oficial al Romaniei, Partea I.

Pronuntata in sedinta din data de 8 iulie 2014.

Presedintele Curtii Constitutionale Augustin Zegrean

Magistrat-asistent, Cristina Teodora Pop

Wolf Theiss: Daca nu este modificata, legea privind retinerea datelor ar putea inceta sa produca efecte juridice pe 19 octombrie 2014
Mediul juridic
29 Septembrie 2014

Decizia CCR nr. 461/2014 - admite exceptia de neconstitutionalitate a Legii pentru modificarea si completarea OUG nr. 111/2011 - comunicatiile electronice
Legislatie
28 Octombrie 2014

Decizia CCR nr. 440/2014 - admite exceptia de neconstitutionalitate a dispozitiilor Legii nr. 82/2012 privind retinerea datelor generate sau prelucrate de furnizorii de retele publice de comunicatii electronice

Evenimente avocatnet.ro

Articole în legatură

Wolf Theiss: Daca nu este modificata, legea privind retinerea datelor ar putea inceta sa produca efecte juridice pe 19 octombrie 2014 Mediul juridic 29 Septembrie 2014

Decizia CCR nr. 461/2014 - admite exceptia de neconstitutionalitate a Legii pentru modificarea si completarea OUG nr. 111/2011 - comunicatiile electronice Legislatie 28 Octombrie 2014

Discuții relevante

Comentarii articol (2)

Wolf Theiss: Daca nu este modificata, legea privind retinerea datelor ar putea inceta sa produca efecte juridice pe 19 octombrie 2014
Mediul juridic
29 Septembrie 2014

Decizia CCR nr. 461/2014 - admite exceptia de neconstitutionalitate a Legii pentru modificarea si completarea OUG nr. 111/2011 - comunicatiile electronice
Legislatie
28 Octombrie 2014