CJUE a invalidat directiva "Big Brother" referitoare la stocarea datelor utilizatorilor de telefonie si internet

Conform unui comunicat al CJUE, publicat pe site-ul institutiei, Directiva 2006/24/CE a Parlamentului European si a Consiliului din 15 martie 2006 referitoare la pastrarea datelor generate sau prelucrate in legatura cu furnizarea serviciilor de comunicatii electronice accesibile publicului sau de retele de comunicatii publice si de modificare a Directivei 2002/58/CE a fost declarata invalida de catre CJUE.

Concret, directiva privind pastrarea datelor are ca obiectiv principal armonizarea dispozitiilor statelor membre privind pastrarea anumitor date generate sau prelucrate de prestatorii de servicii de comunicatii electronice accesibile publicului sau de retele de comunicatii publice, se mentioneaza in documentul de presa. Astfel, scopul directivei este garantarea disponibilitatii acestor date pentru prevenirea, cercetarea, depistarea si urmarirea unor infractiuni grave, cum sunt infractiunile legate de criminalitatea organizata si de terorism. 

"Intr-adevar, directiva prevede ca furnizorii mentionati trebuie sa pastreze datele privind traficul, datele privind localizarea, precum si datele conexe necesare pentru identificarea abonatului sau a utilizatorului. In schimb, aceasta nu autorizeaza pastrarea continutului comunicatiilor si al informatiilor consultate", se explica in comunicatul Curtii Europene.

High Court (Inalta Curte din Irlanda) si Verfassungsgerichtshof (Curtea Constitutionala, Austria) au solicitat CJUE sa examineze validitatea directivei in privinta a doua drepturi fundamentale garante de Carta drepturilor fundamentale ale Uniunii Europene, si anume dreptul fundamental la respectarea vietii private si dreptul fundamental la protectia datelor cu caracter personal, se mai mentioneaza in comunicatul de presa citat.

Important! Trimiterea preliminara permite instantelor din statele membre ca, in cadrul unui litigiu in care sunt sesizate, sa adreseze Curtii intrebari cu privire la interpretarea dreptului Uniunii sau la validitatea unui act al Uniunii, conform comunicatului CJUE. Cu toate acestea, CJUE nu solutioneaza litigiul national, ci instanta nationala are obligatia sa solutioneze cauza conform deciziei Curtii, se precizeaza in documentul citat. In plus, decizia luata de CJUE este obligatorie, in egala masura, pentru celelalte instante nationale care sunt sesizate cu o problema similara.

Potrivit comunicatului, CJUE a pronuntat, in cursul zilei de 8 aprilie, o hotarare prin care a declarat Directiva 2006/24/CE invalida.

"Intrucat Curtea nu a limitat efectele in timp ale hotararii, declararea invaliditatii isi produce efectele de la data intrarii in vigoare a directivei (n.red. - 15 martie 2006)", se subliniaza in documentul citat.

CJUE: Directiva reprezinta un amestec deosebit de grav in drepturile fundamentale

Curtea Europeana a constat ca datele care trebuie pastrate, prin directiva, permit, printre altele:

• sa se cunoasca cu ce persoana si prin ce modalitate a comunicat un abonat sau un utilizator inregistrat,
• sa se determine durata comunicarii, precum si locul de unde aceasta a avut loc,
• sa se cunoasca frecventa comunicatiilor abonatului sau a utilizatorului inregistrat cu anumite persoane intr-o perioada determinata.

"Aceste date, considerate in ansamblul lor, pot furniza indicatii precise cu privire la viata privata a persoanelor ale caror date sunt pastrate, cum sunt obiceiurile din viata cotidiana, locurile de sedere permanente sau temporare, deplasarile zilnice sau alte tipuri de deplasari, activitatile desfasurate, relatiile sociale si mediile sociale frecventate. Curtea considera ca prin impunerea pastrarii acestor date si permitand accesul autoritatilor nationale competente, directiva reprezinta o imixtiune deosebit de grava in drepturile fundamentale la respectarea vietii private si la protectia datelor cu caracter personal. In plus, faptul ca pastrarea si utilizarea ulterioara a datelor sunt efectuate fara ca abonatul sau utilizatorul inregistrat sa fie informat poate da persoanelor vizate sentimentul ca viata lor privata este obiectul unei supravegheri constante", se detaliaza in comunicatul de presa al CJUE.

Totusi, Curtea a constat ca pastrarea datelor impusa de directiva nu este de natura sa aduca atingere continutului esential al drepturilor fundamentale la respectarea vietii private si la protectia datelor cu caracter personal.

"Astfel, directiva nu permite sa se ia la cunostinta continutul comunicatiilor electronice ca atare si prevede ca prestatorii de servicii sau furnizorii retelelor trebuie sa respecte anumite principii privind protectia si securitatea datelor. In plus, pastrarea datelor in vederea transmiterii lor eventuale la autoritatile nationale competente raspunde efectiv unui obiectiv de interes general, si anume combaterea criminalitatii grave, precum si, de altfel, siguranta publica", se arata in comunicatul citat. 

Nu exista garantii suficiente pentru protectia eficienta a datelor fata de riscurile de abuz

Curtea a considerat ca prin adoptarea directivei privind pastrarea datelor, legiuitorul Uniunii a depasit limitele impuse de respectarea principiului proportionalitatii.

In aceasta privinta, Curtea observa ca, tinand cont, pe de o parte, de rolul important pe care il are protectia datelor cu caracter personal in raport cu dreptul fundamental la respectarea vietii private si, pe de alta parte, de amploarea si de gravitatea ingerintei in acest drept pe care o contine directiva, puterea de apreciere a legiuitorului Uniunii se diminueaza, astfel incat se impune efectuarea unui control strict.

"Desi se poate considera ca pastrarea datelor impusa de directiva este apta sa realizeze obiectivul urmarit de aceasta, ingerinta ampla si deosebit de grava in drepturile fundamentale in cauza nu este suficient delimitata pentru a garanta ca ingerinta respectiva se limiteaza efectiv la strictul necesar. Astfel, in primul rand, directiva vizeaza in mod generalizat toate persoanele, mijloacele de comunicare electronica si datele privind traficul fara ca nicio diferentiere, limitare sau exceptie sa fie operata in functie de obiectivul combaterii infractiunilor grave", se mai scrie in comunicatul de presa al CJUE.

In al doilea rand, directiva nu prevede niciun criteriu obiectiv care sa permita garantarea faptului ca autoritatile nationale competente nu au acces la date si ca nu pot sa le utilizeze decat in scopul prevenirii, depistarii si urmaririi penale a infractiunilor care pot fi considerate, in raport cu amploarea si cu gravitatea ingerintei in drepturile fundamentale in cauza, ca fiind suficient de grave pentru a justifica o astfel de ingerinta.

"Dimpotriva, directiva se limiteaza sa faca trimitere, in termeni generali, la <<infractiuni grave>> definite de fiecare stat membru in dreptul intern. In plus, directiva nu prevede conditii materiale si procedurale in care autoritatile nationale competente pot avea acces la date si le pot utiliza ulterior. Accesul la date nu este conditionat de controlul prealabil al unei instante sau al unei entitati administrative independente", se explica in comunicatul de presa citat.

In al treilea rand, in ceea ce priveste durata pastrarii datelor, directiva impune o durata de cel putin 6 luni fara a distinge intre categoriile de date in functie de persoanele vizate sau de utilizarea eventuala a datelor in raport cu obiectivul urmarit, conform comunicatului de presa al CJUE. In plus, aceasta durata poate fi de la 6 luni pana la maximum 24 de luni, fara ca directiva sa precizeze criteriile obiective pe baza carora durata pastrarii trebuie sa fie stabilita pentru a garanta limitarea sa la strictul necesar.

"Pe de alta parte, Curtea constata ca directiva nu prevede garantii suficiente care sa permita asigurarea unei protectii eficiente a datelor fata de riscurile de abuz, precum si fata de orice accesare si utilizare ilicita a datelor. Aceasta arata, printre altele, ca directiva autorizeaza prestatorii de servicii sa tina cont de consideratiile economice, atunci cand stabilesc nivelul de siguranta pe care il aplica (in special in ceea ce priveste costurile aplicarii masurilor de siguranta) si ca directiva nu garanteaza distrugerea definitiva a datelor la sfarsitul perioadei de pastrare", se precizeaza in documentul mentionat.

De asemenea, Curtea Europeana a criticat faptul ca directiva nu impune ca datele sa fie pastrate pe teritoriul UE. Astfel, directiva nu garanteaza pe deplin controlul respectarii cerintelor privind protectia si securitatea de catre o autoritate independenta, astfel cum impune totusi in mod explicit Carta.

CJUE a precizat ca un astfel de control, efectuat in temeiul dreptului Uniunii, constituie un element esential al respectarii protectiei persoanelor in raport cu administrarea datelor cu caracter personal.

Avocatii: Decizia CJUE este de importanta capitala

Decizia luata pe 8 aprilie de CJUE este de importanta capitala, a scris avocatul Gheorghe Piperea pe un site de socializare, intrucat extrem de rar sunt invalidate directive ale Uniunii Europene de catre Curtea de Justitie a Uniunii Europene, directiva a fost invalidata pentru ca incalca drepturile omului, iar invalidarea directivei are consecinta retragerii tuturor legilor interne de implementare a directivei, obligatie impusa de CJUE tuturor tarilor membre ale UE, inclusiv Romaniei.

"Directiva 2006/24/EC, denumita si Directiva Big Brother, a fost impusa Europei de SUA, prin filiera Marii Britanii. In timp ce Germania s-a opus acestei directive, pana cand a fost amenintata de Comisia Europeana cu amenzi de 30.000 de euro pe zi, pana la implementare, Romania s-a grabit sa includa aceasta directiva in dreptul intern de doua ori. (...) Pe scurt, Directiva Big Brother obliga toti furnizorii de servicii de comunicatii (telefon fix sau mobil, internet, e-mail etc.) sa stocheze timp de 6 luni si sa puna la dispozita serviciilor secrete toate informatiile relative la identitatea celor care comunica, locatiile din care comunica, durata si intensitatea comunicatiei. Obligatia ne priveste pe toti, desi nu pot exista 450 de milioane de persoane suspecte de terorism sau de spalare de bani", a explicat Gheorghe Piperea.

Avocatul a adaugat ca, in plus, costurile acestui "serviciu" facut serviciilor secrete erau suportate de consumatorii serviciilor de comunicatii, adica de oameni, care erau urmariti si suspectati, la gramada.

"Intrucat este clar ca, in conceptia CJUE, legislatia Big Brother nu trebuia sa existe, ma intreb cum ne vom recupera aceste plati nedatorate", a subliniat Gheorghe Piperea.

De asemenea, avocatul a subliniat ca, mai important este motivul pentru care CJUE a considerata ca aceasta directiva nu trebuia sa existe: incalca grav principiul respectarii vietii private si protectia datelor cu caracter personal.

"Admitand ca lupta contra terorismului si a spalarii banilor pot fi motive legitime ale fostei directive, totusi, CJUE a constatat ca legiuitorul european a incalcat principiul proportionalitatii. Adica, pe scurt, scopul declarat al fostei directive a fost cu mult depasit de consecintele ei in planul drepturilor omului", a precizat Gheorghe Piperea.

La randul sau, juristul Bogdan Manolea, directorul executiv al Asociatiei pentru Tehnologie si Internet (ATI), a scris, pe blog-ul personal, ca este bucuros ca argumentele aduse vreme de ani de zile, nu numai in Romania, au fost reluate intr-o decizia a celei mai inalte Curti din Uniunea Europeana.

In Romania, Legea Big Brother se aplica din 21 iunie 2012

Tara noastra a integrat in legislatie nationala prevederile din Directiva 2006/24/EC prima data prin Legea nr. 298/2008, dar care a fost declarara neconstitutionala de Curtea Constitutionala a Romaniei, in noiembrie 2009. Apoi, prevederile directivei europene au fost incluse in Legea nr.82/2012, care este in vigoare din 21 iunie 2012.

Conform acestei legi, furnizorii de servicii telecom sunt obligati sa stocheze timp de sase luni anumite date despre apelurile telefonice, sms-urile si mesajele electronice ale populatiei, pentru a le folosi ca instrument de investigare in caz de infractiuni.

Legea se aplica atat persoanelor fizice, cat si celor juridice, iar potrivit actului normativ, sunt stocate date privind sursa si destinatia unei comunicari, fie ca este vorba de un apel telefonic, e-mail sau sms, precum si date privind data, ora si durata respectivei comunicari. De asemenea, sunt pastrate datele necesare pentru identificarea tipului de comunicare, a echipamentului de comunicatie al utilizatorului, precum si date pentru identificarea locatiei echipamentului de comunicatii mobile. Aceste informatii se pastreaza timp de 6 luni de la data efectuarii comunicarii, urmand ca la finalul acestei perioade sa fie distruse ireversibil.

Totusi, se stabileste expres ca legea nu vizeaza continutul comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice.

Informatiile stocate de operatori vor fi utilizate "in cadrul activitatilor de prevenire,de cercetare, de descoperire si de urmarire penala a infractiunilor grave sau pentru rezolvarea cauzelor cu persoane disparute ori pentru punerea in executare a unui mandat de arestare sau de executare a pedepsei".

Juristul Manolea a subliniat, pentru AvocatNet.ro, ca cei care au in instanta, in prezent, un proces privind colectarea de date personale pot invoca decizia CJUE. Mai exact, ei pot invoca faptul ca aceste date au fost colectate cu nerespectarea drepturilor omului si a Constitutiei.