Drd. Simona Şandru
Facultatea de Drept, Universitatea din Bucuresti

Romania a adoptat recent o noua lege prin care transpune Directiva 2006/24/CE privind retinerea datelor, urgentarea adoptarii sale fiind determinata de iminenta introducerii de catre Comisia Europeana a unei actiuni in fata Curtii de Justitie de la Luxemburg pentru neindeplinirea obligaţiilor prevazute de tratate. Legea nr. 82/2012 re-creeaza cadrul juridic instituit in urma cu aproape patru ani prin Legea nr. 298/2008 a carei existenta a incetat relativ devreme, ca urmare a declararii sale ca neconstitutionala, pastrand insa o parte din elementele care stabilesc premisele reiterarii solutiei Curtii Constitutionale. Noul act normativ demonstreaza optiunea legiuitorului roman fată de acordarea prioritatii de aplicare a prevederilor obligatorii unionale, in detrimentul drepturilor fundamentale al caror aparator s-a dovedit Curtea Constitutionala în Decizia nr. 1258/2009.

I. Consideraţii introductive

Declararea neconstituţionalităţii intrinseci şi integrale a Legii nr. 298/2008 prin Decizia Curţii Constituţionale (CCR) nr. 1258/2009 a fost privită ca un succes al societăţii civile care a contestat prevederile acestei legi pe motive legate de încălcarea drepturilor şi libertăţilor fundamentale, aşa cum sunt dreptul la viaţă intimă, familială şi privată sau libertatea de exprimare, dar şi ca o realizare jurisprudenţială apreciată şi urmată, parţial, ca exemplu, de alte curţi constituţionale care au procedat similar cu legile naţionale având acelaşi obiect de reglementare – transpunerea Directivei 2006/24/CE. Acest eveniment de contencios constituţional a produs ca efect, pe de altă parte, un vid legislativ în legătură cu obligaţia de transpunere a acestei directive de către statul român, în conformitate cu dispoziţiile tratatelor constitutive ale Uniunii Europene (UE), dat fiind faptul că unul dintre motivele majore de neconstituţionalitate reţinute de CCR s-a referit la obligaţia furnizorilor de a reţine în mod continuu pe o perioadă de 6 luni datele (de trafic, localizare şi

identitate) generate sau prelucrate de aceştia. Un astfel de motiv echivala cu constatarea implicită a neconstituţionalităţii obiectivului principal prevăzut de Directiva 2006/24/CE, adică a însuşi rezultatului obligatoriu de atins de către statele membre în procedura de transpunere a unei directive. Legiuitorul român s-a aflat într-o poziţie delicată, fiind confruntat cu două tipuri de obligaţii cel puţin aparent ireconciliabile în această speţă, respectiv: obligaţia constituţională a Parlamentului, bazată pe prevederile art. 147 din Constituţie, de a pune de acord prevederile legale neconstituţionale (legea în integralitatea sa, în acest caz) cu dispoziţiile constituţionale, în sensul dat în interpretarea CCR, stabilită în decizia sa obligatorie conform aceluiaşi articol constituţional; obligaţia cu dublă natură juridică, atât constituţională (conform art. 148 din Constituţie ), cât şi unională (potrivit art. 258 şi urm. din Tratatul privind funcţionarea Uniunii Europene – TFUE), de a respecta caracterul obligatoriu al directivelor, sub aspectul rezultatului urmărit prin textul acestora. Nerespectarea acestei din urmă obligaţii este supusă în mod simetric unei duble potenţiale sancţiuni: la nivel intern, declararea neconstituţionalităţii legii, la nivelul UE, condamnarea României de către Curtea de Justiţie a Uniunii Europene (CJUE) în urma unei acţiuni introduse de Comisia Europeană (CE) pentru neîndeplinirea obligaţiilor prevăzute de tratate. Luând în considerare această din urmă perspectivă, concretizată deja în iniţierea procedurii specifice de către CE, s-a reuşit, după mai mult de doi ani de la declararea neconstituţionalităţii Legii nr. 298/2008 şi abrogarea sa implicită, adoptarea unui nou act normativ menit să transpună Directiva 2006/24/CE, concretizat în Legea nr. 82/2012, spre a se evita o posibilă condamnare a României de către CJUE.

Tentativa de a adopta o nouă propunere legislativă care să transpună Directiva 2006/24/CE, dar şi avizele negative exprimate de către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (avize cu valoare consultativă) şi de comisiile parlamentare cu ocazia dezbaterii propunerii în Parlament, au creionat un parcurs dificil până la adoptarea legii în cauză.

Vom încerca în prezentul articol să realizăm o analiză succintă a dispoziţiilor noii legi comparativ cu cele ale Legii nr. 298/2008, sub aspectul elementelor pozitive şi negative ce pot fi identificate, iar în al doilea rând, din punctul de vedere al Deciziei CCR nr. 1258/2009, spre a observa în ce măsură Legea nr. 82/2012 este susceptibilă de a fi declarată din nou, integral sau parţial, neconstituţională.

II. Noul regim juridic privind reţinerea datelor, stabilit de Legea nr. 82/2012

 La o primă lectură comparativă a celor două legi, majoritatea prevederilor adoptate nu par să difere foarte mult de textul legii abrogate. Cu toate acestea, există o serie de elemente care merită a fi subliniate ca reprezentând un anume progres sub aspectul clarităţii şi coerenţei legislative, însă, sub alte aspecte, noua lege suferă în continuare datorită unor lacune grave, din punctul nostru de vedere, de natură a accentua caracterul neconstituţional al unora dintre dispoziţiile legale.

 1. Obiectul de reglementare

 Legea nr. 82/2012, la fel ca şi Legea nr. 298/2008, de altfel, a transpus corect rezultatul urmărit de Directiva 2006/24/CE, constând în impunerea în sarcina furnizorilor de servicii de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice a obligaţiei de păstrare a anumitor date generate sau prelucrate de către aceştia, pentru a se asigura că datele sunt disponibile în vederea cercetării, depistării şi urmăririi penale a infracţiunilor grave. Sub acest aspect, a fost înlăturat riscul introducerii unei acţiuni la CJUE întemeiată pe dispoziţiile TFUE. În rest, legiuitorul român a transpus directiva de o manieră lăsată la aprecierea sa, conform textului directivei, în privinţa, spre exemplu, a stabilirii tipurilor de infracţiuni grave sau a procedurilor care trebuie să fie urmate şi a condiţiilor care trebuie să fie îndeplinite pentru a obţine acces la datele păstrate. Cu toate acestea, art. 4 din Directiva 2006/24/CE condiţionează marja de apreciere lăsată statelor membre de respectarea unor principii tradiţionale pentru dreptul la protecţia datelor personale – drept fundamental unional în temeiul art. 16 TFUE[1] şi al art. 8 din Cartă[2] (cerinţele de necesitate şi proporţionalitate), precum şi de standardele de respectare a drepturilor omului, conforme dispoziţiilor relevante ale dreptului UE sau ale dreptului internaţional public şi, în special, ale Convenţiei europene a drepturilor omului, astfel cum au fost interpretate de către Curtea Europeană a Drepturilor Omului (CEDO). După cum vom arăta mai jos, unele dispoziţii ale Legii nr. 82/2012 se îndepărtează de aceste standarde.

 2. Titularii obligaţiei de reţinere a datelor (furnizorii) şi beneficiarii datelor reţinute (autorităţile competente). Procedura de reţinere şi furnizare a datelor

Ca aspect pozitiv, spre deosebire de Legea nr. 298/2008 care utiliza o denumire generică pentru beneficiarii datelor reţinute („autorităţi competente”), noul act normativ îi menţionează în mod expres şi limitativ: organele de urmărire penală, instanţele de judecată şi organele de stat cu atribuţii în domeniul siguranţei naţionale [art. 1 alin. (1)], înlăturând astfel orice dubiu cu privire la interpretarea limitelor sferei acestor autorităţi.

În privinţa titularilor obligaţiei de reţinere şi furnizare a datelor, Legea nr. 82/2012 se „remarcă” însă prin imprecizie în determinarea furnizorului care are obligaţia de reţinere a datelor, în cazul pluralităţii de furnizori, criteriul nou introdus fiind la fel de vag precum cel din dispoziţia legală anterioară („unul dintre furnizori”). În egală măsură, este criticabil caracterul rămas incomplet al prevederilor ce permit subcontractarea prin delegare a obligaţiei legale de reţinere a datelor către un terţ [art. 14 alin. (2)], de o manieră care nu asigură respectarea confidenţialităţii comunicaţiilor (ipotetic, un astfel de contract ar presupune de fapt un acces direct şi permanent al terţului la toate datele de trafic, localizare şi identitate provenind de la furnizor, în vederea menţinerii/ administrării bazei cuprinzând datele ce fac obiectul obligaţiei legale de reţinere).

Sub aspect material, Legea nr. 82/2012 aduce un element de noutate absolută în privinţa procedurii de reţinere a datelor, prin impunerea utilizării exclusive a formatului digital de solicitare şi furnizare a datelor reţinute, cu utilizarea semnăturii electronice extinse bazate pe un certificat calificat eliberat de un furnizor de servicii de certificare acreditat, corelat cu obligaţia furnizorilor şi autorităţilor competente de a verifica inclusiv integritatea datelor transmise (art. 16). Introducerea acestor condiţii tehnice este de natură a asigura un mijloc de control mai eficace asupra modalităţii de transmitere a datelor reţinute către autorităţile competente şi de verificare a păstrării integrităţii datelor astfel transmise.

De asemenea, este înlăturat dubiul în privinţa determinării sferei datelor care pot fi reţinute, ca urmare a renunţării la denominatorul „conexe” privind datele necesare identificării unui abonat sau utilizator, aspect criticat de CCR datorită impreciziei terminologice; în acest scop, s-a preluat soluţia tehnică din Directiva 2006/24/CE [art. 1 alin. (2) şi art. 2 alin. (1) lit. a) din Legea nr. 82/2012].

Pe de altă parte, este lărgită în mod exagerat aria infracţiunilor considerate grave, prin includerea mai multor categorii de infracţiuni pentru urmărirea cărora pot fi solicitate datele reţinute [spre exemplu: distrugere, ultraj, infracţiuni de falsuri în înscrisuri, asociere pentru săvârşirea de infracţiuni, furt calificat sau înşelăciune şi altele enumerate la art. 2 alin. (1) lit. e)] şi a fost extinsă sfera activităţilor în legătură cu care pot fi solicitate datele reţinute, fiind adăugate „prevenirea” sau „pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei” [art. 1 alin. (1)]. Un alt element criticabil constă în excluderea cazurilor de forţă majoră ca motiv de nerespectare a termenului de predare a datelor reţinute (art. 15 din Legea nr. 298/2008), situaţie care echivala cu exonerarea de răspundere a furnizorilor de servicii. În forma actuală a legii se introduce un termen „de graţie” de 5 zile în cadrul căruia furnizorii au obligaţia să transmită datele solicitate (faţă de termenul imperativ de 48 de ore care constituie regula în furnizarea datelor către autorităţile competente). Nerespectarea acestor termene atrage răspunderea contravenţională [în temeiul art. 21 alin. (1) lit. e)]. În noul context juridic, invocarea „cazurilor de forţă majoră” nu mai este posibilă, fiind însă aplicabile prevederile de drept comun în materia răspunderii contravenţionale. Astfel, potrivit art. 11 din O.G. nr. 2/2001 privind regimul juridic al contravenţiilor, „caracterul contravenţional al faptei este înlăturat în cazul legitimei apărări, stării de necesitate, constrângerii fizice sau morale, cazului fortuit, iresponsabilităţii, beţiei involuntare complete, erorii de fapt, precum şi infirmităţii, dacă are legătură cu fapta săvârşită”, însă

aceste cauze pot fi constatate numai de către instanţa judecătorească [art. 11 alin. (5) din acelaşi act normativ].

Legea reglementează distinct procedura de solicitare a datelor de către organele de cercetare a poliţiei judiciare (art. 18), impunând condiţia aprobării cumulative din partea procurorului şi judecătorului. Cu toate acestea, este singurul caz în care este prevăzută în mod expres procedura legală de solicitare a datelor reţinute, Legea nr. 298/2008, fiind sub acest aspect, mai transparentă (deşi incompletă) şi cu garanţii procesuale precum autorizarea solicitării de către un judecător independent şi imparţial. Astfel, noua lege prevede că „furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia ca, la solicitarea organelor de urmărire penală, a instanţelor de judecată şi a organelor de stat cu atribuţii în domeniul securităţii naţionale, formulată în aplicarea dispoziţiilor Codului de procedură penală, precum şi a celor din legile speciale în materie (subl.ns.), să transmită acestora, în cel mult 48 de ore de la data solicitării, datele reţinute potrivit prezentei legi” [art. 16 alin. (1)]. Prin invocarea cu titlu generic a prevederilor Codului de procedură penală şi a „legilor speciale în materie”, fără precizarea exactă a dispoziţiilor legale aplicabile, în condiţiile în care legea instituie pentru prima dată (cu excepţia legii declarate neconstituţionale) o astfel de obligaţie în sarcina furnizorilor, se poate reproşa caracterul incomplet, neclar şi imprecis al procedurii de înaintare a datelor reţinute către autorităţile competente, aspecte contrare practicii CEDO în materia garanţiilor unui proces echitabil şi a respectării limitelor unor ingerinţe admisibile într-o societate democratică (lipsa de previzibilitate a normelor juridice). Această concluzie se susţine cu atât mai mult în legătură cu procedura de solicitare a datelor de către organele de stat cu atribuţii în domeniul securităţii naţionale, unde dispoziţiile Legii nr. 51/1991 au rămas nemodificate, după cum a remarcat şi CEDO în Hotărârea nr. 7 din 26 aprilie 2007 în cauza Dumitru Popescu împotriva României (nr. 2): „măsurile de supraveghere în cazul unor potenţiale ameninţări la adresa siguranţei naţionale par să poată fi dispuse în prezent şi de parchet, conform procedurii prevăzute de art. 13 din Legea nr. 51/1991, prevedere care nu a fost abrogată până în prezent. Acest lucru este confirmat de recenta decizie a Curţii Constituţionale (M.Of. nr. 25 din 16 ianuarie 2007), prin care judecătorul constituţional, sesizat de o instanţă naţională ce susţinea tocmai neconstituţionalitatea art. 13, motivat de faptul că acesta permitea eludarea garanţiilor prevăzute de Codul de procedură penală în materie de interceptare a comunicaţiilor, a invocat caracterul special al Legii nr. 51/1991, pentru a justifica aplicarea sa în cazul unor fapte ulterioare intrării in vigoare a noii proceduri prevăzute de Codul de procedură penală”.

Prin formularea vagă a acestei proceduri de către Legea nr. 82/2012, se creează premisele unor solicitări arbitrare, dacă nu chiar abuzive, din partea autorităţilor competente, în lipsa unei cenzuri externe independente (cum este controlul judiciar). Normele metodologice ce urmează a fi adoptate în termen de 90 de zile de la intrarea în vigoare a legii vor trebui să lămurească condiţiile concrete în care ar urma să se desfăşoare procedura de solicitare a datelor reţinute, deşi oportună ar fi mai degrabă o modificare expresă a legii în acest scop. Dispoziţiile în vigoare ale Codului de procedură penală reglementează procedura referitoare la interceptarea şi înregistrarea convorbirilor telefonice sau a altor comunicări (art. 911şi urm.) care presupune înregistrarea a însuşi conţinutului acestora

(aspect interzis în mod expres de Directiva 2006/24/CE şi de Legea nr. 82/2012) şi prin urmare, nu pot fi invocate ca aplicându-se mutatis mutandis pentru procedura de solicitare a datelor reţinute în baza Legii nr. 82/2012. De asemenea, o altă critică se referă la nepreluarea soluţiei oferite de textul directivei, sub aspectul limitării accesului autorităţilor competente la datele reţinute, doar în anumite cazuri specifice (art. 4), criteriu important pentru evitarea producerii unor abuzuri din partea beneficiarilor datelor.

 3. Principiile de protecţie a datelor personale

 Legea nr. 82/2012, similar cu Legea nr. 298/2008, cuprinde o serie de dispoziţii menite să asigure respectarea principiilor specifice legislaţiei din materia dreptului la protecţia datelor personale, dintre care se remarcă: limitarea categoriilor de date ce pot fi reţinute, calitatea datelor, stabilirea unor termene precise pentru reţinerea datelor (6 luni de la efectuarea comunicării), aplicarea unor măsuri de securitate şi confidenţialitate a datelor, stabilirea destinaţiei datelor la expirarea termenului de reţinere, asigurarea dreptului la informare, exercitarea controlului privind respectarea legii de către autorităţi independente. O parte din aceste principii nu sunt însă reflectate decât parţial, iar modul lor de reglementare determină o anumită distorsionare a scopurilor primordiale ce trebuiau urmărite în aplicarea acestor principii.

Faţă de principiile privind protecţia datelor personale, aşa cum decurg acestea din Legea nr. 677/2001, se remarcă stabilirea în sarcina procurorului a obligaţiei de informare a persoanelor vizate „de solicitare”, în termen de 5 zile, în acele cazuri în care s-a dispus o soluţie de neîncepere a urmăririi penale, de scoatere de sub urmărire penală, de încetare a urmăririi penale sau de clasare (art. 17), deşi sunt neclar reglementate conţinutul informării şi sfera exactă a persoanelor vizate ce vor fi informate. Această prevedere este în acord cu dispoziţiile art. 16 din Legea nr. 677/2001 care impune autorităţilor implicate în prevenirea, cercetarea şi reprimarea infracţiunilor şi în menţinerea ordinii publice, precum şi în alte activităţi desfăşurate în domeniul dreptului penal, să ia măsurile necesare pentru respectarea drepturilor persoanelor vizate (printre care şi dreptul de informare), de îndată ce a încetat motivul pentru care acestea nu au putut fi asigurate pentru a nu prejudicia eficienţa acţiunii sau obiectivul urmărit în îndeplinirea atribuţiilor legale ale autorităţii publice. Interesantă este opţiunea fermă a legiuitorului de a incrimina penal nerespectarea obligaţiei de „comunicare în termenul de 5 zile” (adică, nerespectarea obligaţiei de informare, de către procuror), conform art. 23 din Legea nr. 82/2012. Din nou însă, textul legii suferă de lipsă de precizie şi claritate a normei de incriminare penală, lăsând astfel loc arbitrariului în stabilirea răspunderii penale, de vreme ce nu au fost stabilite criterii certe care să permită o încadrare juridică a acestei fapte; prin urmare, se poate reţine încălcarea principiului securităţii juridice, un principiu fundamental nu doar pentru ordinea constituţională internă, dar şi pentru ordinea juridică a UE. Lipsa unor dispoziţii clare şi previzibile privind încadrarea penală a acestei fapte (tipurile de sancţiuni care să permită individualizarea acestora) conduce la inaplicabilitatea de facto a acestui articol.

Dreptul de informare a persoanelor ale căror date au fost reţinute şi furnizate autorităţilor competente este reglementat doar parţial, întrucât, cu excepţia cazului anterior analizat, nu a fost reglementată obligaţia de informare a persoanelor vizate ale căror date au fost incluse (posibil) fără relevanţă pe suportul electronic furnizat autorităţilor competente în celelalte situaţii decât cele prevăzute de art. 17. Considerăm că în această situaţie devin incidente dispoziţiile legii-cadru în materie, respectiv, prevederile art. 12 şi 16 din Legea nr. 677/2001, anterior citate, iar nerespectarea obligaţiei de informare poate atrage aplicarea unor sancţiuni contravenţionale în temeiul art. 32 şi 35 din această lege.

O altă regulă referitoare la protecţia datelor personale se referă la stabilirea unei destinaţii ulterioare a datelor reţinute, la expirarea termenului de reţinere. În legătură cu această chestiune, trebuie făcută distincţia între situaţia datelor reţinute de către furnizori şi care nu au făcut obiectul unor solicitări [caz în care Legea nr. 82/2002 dispune expressis verbis obligaţia de distrugere ireversibilă a datelor la expirarea termenului de 6 luni – art. 12 alin. (3), potrivit unei proceduri ce urmează a fi stabilită prin normele metodologice de aplicare a legii] şi situaţia datelor care au fost solicitate de către autorităţile competente în sarcina cărora se transferă obligaţia de a lua măsuri cu privire la destinaţia datelor. Elementul de noutate introdus în acest context de Legea nr. 82/2012 constă în reglementarea clară a obligaţiei de distrugere a suportului cu datele reţinute, la expirarea termenului de prescripţie a răspunderii penale, în forma anterioară a legii dispoziţiile privind termenul la care datele urmau să fie distruse fiind imprecise.

Sub aspectul monitorizării aplicării prevederilor legale (în fapt, de sancţionare contravenţională a anumitor încălcări ale legii), un aspect pozitiv este determinat de partajarea competenţei legale între Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) şi Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii (ANCOM), în timp ce Legea nr. 298/2008 prevedea, în mod excesiv, în opinia noastră, competenţa exclusivă a ANSPDCP. Cu toate acestea, legiuitorul persistă în a menţine în competenţa de sancţionare a ANSPDCP nerespectarea obligaţiei legale de reţinere a datelor pentru 6 luni, o contravenţie care ar intra mai degrabă în atribuţiile ANCOM. Considerăm că ANSPDCP a fost înfiinţată pentru a asigura respectarea dreptului la viaţă intimă, familială şi privată a persoanelor fizice ale căror date personale sunt supuse unor prelucrări, iar nu a obligaţiilor impuse furnizorilor în detrimentul abonaţilor/ utilizatorilor lor. Situaţiile reglementate de Legea nr. 82/2012 prevăd, dimpotrivă, o restrângere a acestui drept, pe considerente legate de apărarea ordinii publice sau desfăşurarea instrucţiei penale (în sensul art. 53 din Constituţie). Faţă de aceste atribuţii, ANSPDCP putea să fie învestită cel mult cu competenţa de a sancţiona reţinerea şi păstrarea datelor cu depăşirea perioadei legale de 6 luni, o astfel de chestiune fiind legată în mod direct de respectarea unuia dintre principiile de protecţie a datelor (stocarea datelor personale se poate face strict pe durata necesară atingerii scopurilor prelucrării). În aceeaşi măsură, apreciem ca fiind inoportună şi atribuirea în competenţa de sancţionare a ANSPDCP a nerespectării obligaţiilor furnizorilor de a comunica datele solicitate în 48 de ore (sau în cel mult 5 zile şi de a anunţa o posibilă întârziere în satisfacerea cererii) – art. 21 alin. (1) lit. e) şi alin. (2) din Legea nr. 82/2012; şi această prevedere intră în contradicţie cu rolul ANSPDCP de garant al dreptului la viaţă intimă, familială şi privată, transformând-o într-un organ constatator al unor abateri de la norme de ordine publică. O astfel de contravenţie putea fi constatată de însuşi organul care a efectuat solicitarea (pentru similitudine, a se vedea răspunderea contravenţională stabilită de Legea nr. 677/2001 în cazul în care operatorii de date personale refuză să furnizeze ANSPDCP informaţii în legătură cu desfăşurarea unei investigaţii a acestei autorităţi – art. 34 din Legea nr. 677/2001 sau sancţiunea pe care o poate aplica ANCOM, în baza art. 21 alin. (1) lit. f) şi alin. (3) din Legea nr. 82/2012 pentru refuzul de a informa această autoritate, la cerere, cu privire la acţiunile întreprinse în vederea creării bazelor de date de către furnizori; în ambele

situaţii exemplificate, organele din care fac parte agenţii constatatori sunt identice cu cele care sunt beneficiarele informaţiilor cerute şi refuzate).

Pe de altă parte, opinăm că absenţa unor dispoziţii privind sancţionarea contravenţională sau penală a faptelor rezultate din nerespectarea confidenţialităţii datelor reţinute şi a condiţiilor de păstrare a datelor primite, de către autorităţile competente, reprezintă o lacună majoră a Legii nr. 82/2012. Desigur, s-ar putea invoca incidenţa dispoziţiilor Legii nr. 677/2001 (lege-cadru) care, potrivit art. 33, permite sancţionarea oricărui operator de date personale pentru nerespectarea măsurilor de securitate şi confidenţialitate. Într-o asemenea situaţie, însă, considerăm că s-ar nesocoti principiul echităţii în stabilirea condiţiilor de răspundere contravenţională, având în vedere că limitele amenzilor prevăzute de Legea nr. 82/2012 în sarcina furnizorilor, pentru neaplicarea principiilor de protecţie a datelor în activitatea de reţinere (printre care şi aplicarea măsurilor de securitate şi confidenţialitate) sunt sensibil mai mari decât cele prevăzute de art. 33 din Legea nr. 677/2001.

III. Perspective privind controlul de constituţionalitate

 Principalele motive pentru care CCR a declarat neconstituţională, în anul 2009, Legea nr. 298/2008, pot fi astfel rezumate: sfera largă de aplicabilitate a legii, caracterul continuu al reţinerii datelor de trafic şi localizare şi a altor „date conexe” necesare identificării utilizatorilor. Faţă de aspectele reţinute în Decizia nr. 1258/2009, Legea nr. 82/2012 nu aduce modificări esenţiale, cu excepţia definirii cu mai mare precizie a datelor „conexe”, evitând de altfel, să mai utilizeze acest termen relativ ambiguu. În ceea ce priveşte obligaţia de reţinere continuă a datelor, legea a păstrat acelaşi obiect de reglementare, care coincide, de fapt, cu rezultatul impus de Directiva 2006/24/CE. După cum am arătat în acest articol, prevederile Legii nr. 82/2012, deşi aduc o serie de elemente de noutate, în multe privinţe, creează cadrul necesar pentru reducerea drastică a nivelului de protecţie a dreptului la viaţă intimă, familială şi privată, prin caracterul evaziv, incomplet şi lipsit de previzibilitate al garanţiilor procedurale şi de protecţie a datelor personale.

Legea nr. 82/2012 nu a făcut obiectul controlului de constituţionalitate a priori, în temeiul art. 146 lit. a) din Constituţie. Adoptarea acestui nou act normativ nu a mai ocazionat o dezbatere intensă în mass-media şi în societatea civilă, aşa cum s-a întâmplat în perioada care a premers vechea reglementare declarată neconstituţională. Cu toate acestea, date fiind elementele de neconstituţionalitate sesizate deja de o parte din organizaţiile neguvernamentale specializate în apărarea drepturilor fundamentale în era digitală, este posibilă ridicarea unei excepţii de neconstituţionalitate pe cale incidentală sau direct, de către Avocatul Poporului, pentru apărarea drepturilor constituţionale, în conformitate cu procedura controlului posterior de constituţionalitate prevăzut de art. 146 lit. d) din Constituţie. Având în vedere termenele relativ generoase pentru punerea în aplicare a dispoziţiilor de bază ale legii, teoretic, doar după împlinirea acestor termene ar exista motive plauzibile pentru ridicarea unei excepţii de neconstituţionalitate in concreto. În cazul în care căile jurisdicţionale interne vor fi epuizate în defavoarea apărării drepturilor fundamentale, poate fi avută în vedere inclusiv o acţiune formulată la CEDO, întemeiată pe dispoziţiile art. 8 din Convenţia Europeană a Drepturilor Omului.

IV. Evoluţii la nivel european

În alte state europene unde legile naţionale au fost declarate neconstituţionale, situaţia actuală se prezintă diferit: în Cipru se află în curs de dezbatere parlamentară o nouă lege de transpunere a Directivei 2006/24/CE, în timp ce autorităţile germane au refuzat adoptarea unei noi legi, puternic contestate nu doar de societatea civilă, dar şi de o parte din coaliţia aflată la guvernare, admiţând ipoteza introducerii unei acţiuni de către CE în temeiul tratatelor constitutive. Recent, Curtea Supremă din Irlanda (stat care, alături de Slovacia, a votat împotriva adoptării de către Consiliu a Directivei 2006/24/CE) a acceptat cererea unei organizaţii pentru apărarea drepturilor omului de a trimite la CJUE o serie de întrebări preliminare (chestiuni prejudiciale) cu privire la compatibilitatea dintre prevederile Directivei 2006/24/CE ce trebuie transpuse de Irlanda şi dispoziţiile TFUE privind dreptul la liberă circulaţie, cât şi ale Convenţiei Europene a Drepturilor Omului şi, respectiv, ale Cartei, privind dreptul la viaţă privată, dreptul la protecţia datelor personale, dreptul la liberă exprimare şi dreptul la o bună administrare (una dintre întrebări se referă inclusiv la limitele în care o instanţă naţională poată să se pronunţe asupra compatibilităţii dintre o lege naţională ce transpune o directivă şi drepturile rezultate din Cartă). Instanţa irlandeză solicită, de fapt, pronunţarea indirectă asupra validităţii Directivei 2006/24/CE sub aspectul respectării standardelor de respectare a drepturilor fundamentale în UE. Într-o hotărâre recentă, CJUE a reţinut că prevederile Directivei 2006/24/CE nu se opun aplicării unei legislaţii naţionale, instituită în temeiul Directivei 2004/48/CE a Parlamentului European şi a Consiliului din 29 aprilie 2004 privind respectarea drepturilor de proprietate intelectuală, care permite, în scopul de a identifica un abonat la internet sau un utilizator de internet, somarea unui furnizor de acces la internet să comunice titularului unui drept de autor sau succesorului său în drepturi identitatea abonatului căruia i‑a fost atribuită o adresă IP („Internet Protocol”) care ar fi fost utilizată pentru a se aduce atingere respectivului drept, întrucât o asemenea legislaţie nu intră în domeniul de aplicare ratione materiae al Directivei 2006/24/CE. În alte cauze care puneau în balanţă dreptul la protecţia datelor personale cu alte drepturi, Curtea a nuanţat punctul său de vedere, înclinând spre recunoaşterea preeminenţei dreptului la protecţia datelor personale, dar şi a libertăţii de exprimare, în faţa dreptului de proprietate intelectuală atunci când se solicită monitorizarea traficului de Internet pentru depistarea persoanelor care încalcă drepturile autorilor de opere muzicale, cinematografice sau audiovizuale. Ca atare, CJUE s-a pronunţat, indirect, împotriva „unei somaţii adresate unui furnizor de acces la internet de a institui un sistem de filtrare a tuturor comunicaţiilor electronice care circulă prin intermediul serviciilor sale, în special prin folosirea programelor informatice, peer‑to‑peer, care se aplică, fără deosebire, întregii sale clientele, cu titlu preventiv, pe cheltuiala sa exclusivă şi pentru perioadă nelimitată, apt să identifice în cadrul reţelei acestui furnizor circulaţia de fişiere electronice care conţin o operă muzicală, cinematografică sau audiovizuală cu privire la care solicitantul pretinde că deţine drepturi de proprietate intelectuală, în vederea blocării transferului de fişiere al căror schimb aduce atingere dreptului de autor”.

Având în vedere această linie jurisprudenţială, este de aşteptat ca instanţa de la Luxemburg să considere reţinerea nediferenţiată a datelor în baza Directivei 2006/24/CE, independent de existenţa unor suspiciuni care să poată fi opuse abonaţilor/ utilizatorilor supuşi monitorizării, ca fiind contrară drepturilor fundamentale în context unional, în special, dreptului la viaţă privată şi dreptului la protecţia datelor personale.

Din punct de vedere legislativ, este puţin probabil ca Directiva 2006/24/CE, în urma procesului de revizuire iniţiat de CE, să sufere modificări majore, propunerea societăţii civile din statele membre ale UE, de a se înlocui obligaţia a priori de reţinere nediferenţiată a datelor cu obligaţia de conservare ulterioară a acestora pentru punerea datelor la dispoziţia autorităţilor competente în cazuri specifice (aşa-numita procedură, de inspiraţie americană, quick freeze) nu pare să fie o soluţie agreată de CE şi de o parte a statelor membre, în ciuda faptului că nu există dovezi certe (şi importante calitativ şi cantitativ) cu privire la utilitatea datelor reţinute în activitatea de cercetare şi urmărire penală.

 V. Concluzii

 În România, spre deosebire de Germania, s-a observat un mai mare ataşament faţă de obligaţiile ce revin unui stat membru de a transpune o directivă (supremaţia dreptului UE) decât faţă de caracterul obligatoriu al deciziilor CCR (supremaţia Constituţiei). De aceea, orice demers de a obţine din nou declararea neconstituţionalităţii Legii nr. 82/2012 va avea un efect limitat. „Testul de rezistenţă” a Directivei 2006/24/CE nu va fi dat în cadrul unei proceduri contencioase în faţa CCR (care, până în prezent, cel puţin, a manifestat reticenţă în afirmarea unei poziţii proprii tranşante cu privire la prioritatea dispoziţiilor constituţionale în domeniul drepturilor fundamentale în faţa normelor juridice obligatorii ale UE), ci în cadrul unei acţiuni judecate de CJUE. De aceea, ar fi poate recomandabil ca, în ipoteza sesizării CCR în cadrul controlului a posteriori asupra Legii nr. 82/2012, aceasta să formuleze o întrebare preliminară (chestiune prejudicială) adresată CJUE, dacă, illo tempore, aceasta nu s-ar fi pronunţat deja în cauza introdusă de Irlanda. O pondere însemnată în argumentarea încălcării (sau nu) a drepturilor fundamentale va trebui să o reprezinte aplicarea principiilor proporţionalităţii şi necesităţii la procedura de reţinere a datelor.


Revista Curierul Judiciar este o publicatie a Editurii C. H. Beck si poate fi accesata si in format digital in Biblioteca pentru informare juridica si economica online Legalis 2.0