Obținerea datelor generate sau prelucrate de către furnizorii de rețele publice de comunicații electronice sau furnizorii de servicii de comunicații electronice destinate publicului și reținute de către aceștia
2 februarie 2016 | Camelia TODERICĂ
Potrivit art. 152 C. proc. pen., ”organele de urmărire penală, cu autorizarea prealabilă a judecătorului de drepturi şi libertăţi, pot solicita unui furnizor de reţele publice de comunicaţii electronice sau unui furnizor de servicii de comunicaţii electronice destinate publicului transmiterea datelor reţinute, în baza legii speciale privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, altele decât conţinutul comunicaţiilor, în cazul în care există o suspiciune rezonabilă cu privire la săvârşirea unei infracţiuni şi există temeiuri pentru a se crede că datele solicitate constituie probe, pentru categoriile de infracţiuni prevăzute de Legea privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului. Judecătorul de drepturi şi libertăţi se pronunţă în termen de 48 de ore cu privire la solicitarea organelor de urmărire penală de transmitere a datelor, prin încheiere motivată, în camera de consiliu.”
Textul legal trimite, după cum este evident din chiar cuprinsul său, la o lege specială în materie, la data intrării în vigoare a Codului de procedură penală aceasta fiind ,privind reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului.
Articolul anterior citat reglementează procedura de autorizare prealabilă, de către judecătorul de drepturi și libertăți, a solicitării adresate acestor furnizori de către organele de urmărire penală, în vederea accesării și utilizării datelor reținute. Acest text, care reglementează una dintre metodele speciale de supraveghere sau cercetare prevăzute de titlul IV capitolul IV din Codul de procedură penală, și nu procedura de reținere și stocare a datelor generate sau prelucrate de către furnizorii de rețele publice de comunicații electronice și furnizorii de servicii de comunicații electronice destinate publicului de a reține datele generate sau prelucrate, este cel care asigură controlul judecătoresc asupra activităților reglementate de lege, constituind garanția procedurală a dreptului la viața intimă, familială și privată, prevăzut la art. 26 din Constituție, cum a reținut Curtea Constituțională în Decizia nr. 440/08.07.2014 (parag. 80)[1].
Este evident că, în condițiile inexistenței unei legi care să reglementeze procedura reținerii și stocării datelor, art. 152 C. proc. pen. rămâne fără aplicabilitate practică, fiind practic o ”formă fără fond”, aspect reținut și de Curtea Constituțională în decizia anterior citată. De altfel, practica judiciară ulterioară deciziei CCR nr. 440/2014 a fost constantă în acest sens.
La data de 17 octombrie 2015, a intrat în vigoare Legea nr. 235/12.10.2015[2], lege calificată de mass-media ca fiind ”legea big brother” și pe care instanțele de judecată au aplicat-o în corelare cu art. 152 C. proc. pen. încuviințând transmiterea de date reținute de către furnizorii de rețele de comunicații către organele de urmărire penală.
În opinia noastră, Legea nr. 235/2015 nu poate constitui temei al încuviințării de către judecătorul de drepturi și libertăți a transmiterii de date reținute de către furnizorii de rețele de comunicații pentru următoarele argumente:
1. Legea nr. 235/2015 nu este o lege de sine stătătoare, menită a înlocui Legea nr. 82/2012, declarată neconstituțională, și a completa ”în fond” dispozițiile procedurale ale art. 152 C. proc. pen.
Legea nr. 235/2015 este o lege pentru modificarea și completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, menirea ei nefiind aceea de a reglementa reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului.
Așa cum se reține în chiar expunerea de motive a Legii[3], și cum inițiatorii ei au ținut să precizeze, fiind astfel în prezența unei interpretări autentice a legii, menirea Legii nr. 235/2015 nu este de a înlocui Legea nr. 82/2012 declarată neconstituțională prin decizia CCR nr. 440/2014. ”Legea nr. 506/2004 transpune Directiva 2002/58/CE a Parlamentului European și a Consiliului privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, în vreme ce Legea nr. 82/2012 transpune Directiva 2006/24/CE a Parlamentului European și a Consiliului privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE, aceasta din urmă fiind invalidată de CJUE. Prin urmare, de vreme ce prezenta reglementare nu instituie o veritabilă obligație de reținere a datelor în afara scopului facturării și asigurării serviciului de comunicații, nu mai subzistă necesitatea asigurării unor garanții suplimentare privind prelucrarea și stocarea acestor date și nici a instituirii unui alt mecanism de control, garanții solicitate prin decizia CCR nr. 440/2014.”
Prin urmare, însăși inițiatorii legii nu au dorit ca proiectul de act normativ să înlocuiască Legea nr. 82/2012 declarată neconstituțională, ci doar să aducă unele modificări Legii nr. 506/2004 prin ”definirea datelor tehnice ce permit individualizarea echipamentelor utilizate de furnizorii de servicii și rețele publice de comunicații electronice” și statuarea unor garanții și condiții de legalitate.[4]
2. Legea nr. 235/2015 nu respectă exigențele statuate prin decizia CCR nr. 440/2014.
Potrivit deciziei CCR nr. 440/2014, ingerința în drepturile fundamentale privind viața intimă, familială și privată, secretul corespondenței și libertatea de exprimare fiind de o mare amploare, este necesar ca aceasta să fie reglementată de o manieră ”clară, previzibilă și lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului autorităților în acest domeniu.”
Printre garanțiile solicitate de Curte au fost ”un mecanism autentic de control, care să asigure acestor instituții o verificare permanentă și efectivă a respectării dispozițiilor legale, astfel încât să poată fi sesizate cu ușurință cazurile în care furnizorii de servicii încalcă dispozițiile legale privitoare la tipul de date reținute, durata în care acestea sunt stocate, distrugerea lor în cazurile prevăzute de lege ori organele și instituțiile cărora li se permite accesul la aceste date”. Reține Curtea faptul că ”nereglementarea unui mecanism real de control a activității furnizorilor de rețele publice și de servicii de comunicații electronice de către o autoritate independentă echivalează cu lipsa unor garanții, astfel cum sunt impuse de prevederile art. 26 și art. 28 din Constituție, care să permită o protecție eficientă a datelor păstrate împotriva riscurilor de abuz, precum și a oricărui acces ori utilizări ilicite a acestor date”[5].
Legea nr. 235/2015 nu a prevăzut aceste garanții, întrucât, așa cum am arătat anterior, scopul ei nu a fost de a înlocui Legea nr. 82/2012 și, prin urmare, cum au arătat chiar inițiatorii, nu s-au avut în vedere standardele de protecție a dreptului la viață privată indicate de Curtea Constituțională în decizia nr. 440/2014.
3. Scopul Legii nr. 235/2015 a fost acela de a eluda exigențele și standardele de protecție a drepturilor statuate prin decizia CCR nr. 440/2014.
În decizia CCR s-a arătat cu claritate faptul că art. 152 C. proc. pen. trebuie să fie corelat cu o nouă lege adoptată de Parlament, care să reglementeze reținerea datelor și care să respecte ”exigențele constituționale, așa cum au fost relevate în prezenta decizie”. Curtea reține faptul că ”până la adoptarea de către Parlament a unei noi legi privind reţinerea datelor(…) organele judiciare şi cele cu atribuţii în domeniul siguranţei naţionale nu au temei legal şi constituţional nici pentru accesarea şi utilizarea datelor reţinute de către furnizori pentru facturare, plăţi pentru interconectare ori în alte scopuri comerciale (deci, tocmai cele reținute conform Legii nr. 506/2004, n. ns.), pe care să le folosească în cadrul activităţilor de prevenire, de cercetare, de descoperire şi de urmărire penală a infracţiunilor grave sau pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei, tocmai datorită caracterului, naturii şi scopului diferit al acestora, aşa cum este prevăzut de Directiva 2002/58/CE. De altfel, chiar Legea nr. 82/2012 stabileşte în art. 11 că aceste ultime date reţinute sunt exceptate de la prevederile legii, având un alt regim juridic, fiind supuse prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.”[6]
Este evident astfel că Parlamentul, ca autoritate legiuitoare, trebuia să adopte o nouă lege care să reglementeze domeniul de aplicare al Legii nr. 82/2012, declarată neconstituțională, cu respectarea deciziei Curții[7], și nu să se procedeze la modificarea unei legi care reglementa un cu totul alt domeniu, doar pentru a da un temei organelor de urmărire penală și celor cu atribuții în domeniul apărării și securității naționale pentru acces la datele deținute de furnizori strict pentru scop comercial.
Potrivit art. 61 din Legea nr. 24/2000[8], ”modificarea sau completarea unui act normativ este admisă numai dacă nu se afectează concepţia generală ori caracterul unitar al acelui act sau dacă nu priveşte întreaga ori cea mai mare parte a reglementării în cauză; în caz contrar actul se înlocuieşte cu o nouă reglementare, urmând să fie în întregime abrogat. Prevederile modificate sau care completează actul normativ trebuie să se integreze armonios în actul supus modificării ori completării, asigurându-se unitatea de stil şi de terminologie, precum şi succesiunea normală a articolelor.”
Prin urmare, Legea nr. 235/2015 nu putea modifica domeniul de reglementare al Legii nr. 506/2004 (stabilit de art. 1, coroborat cu art. 15), prin extinderea acestuia și la domeniul de reglementare acoperit de fosta Lege nr. 82/2012.
4. Privită în ansamblul său și nu doar prin raportare la legea de modificare (Legea nr. 235/2015), Legea nr. 506/2004 nu poate înlocui Legea nr. 82/2012.
Dispozițiile art. 62 din Legea nr. 24/2000 prevăd că ”dispoziţiile de modificare şi de completare se încorporează, de la data intrării lor în vigoare, în actul de bază, identificându-se cu acesta. Intervenţiile ulterioare de modificare sau de completare a acestora trebuie raportate tot la actul de bază.”
Deși art. 12 indice 1 al Legii, nou introdus, reglementează accesul la date al autorităților, fiind invocat ca temei de drept pentru autorizarea obținerii datelor referite de art. 152 C. proc. pen., art. 1 alin. (4) al Legii nr. 506/2004 prevede că ”prezenta lege nu se aplică activităților de combatere a infracțiunilor și de menținere a ordinii publice, precum și în cadrul altor activități în domeniul dreptului penal, desfășurate în limitele și cu restricțiile stabilite de lege”.
În nicio dispoziție a Legii nu se prevăd, dincolo de cerințele stabilite de Curtea Constituțională în decizia nr. 440/2014, categoriile de infracțiuni pentru care ingerința în drepturile unei persoane poate fi încuviințată de judecătorul de drepturi și libertăți, categorie de infracțiuni la care disp. art. 152 C. proc. pen. fac trimitere și care ar fi trebuit reglementate dacă Legea nr. 506/2004 ar fi fost menită a completa articolul din procedura penală.
Art. 152 C. proc. pen. face trimitere expresă la legea specială care reglementează reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului.
Or, Legea nr. 506/2004 reglementează condițiile specifice de garantare a dreptului la protecția vieții private în privința prelucrării datelor cu caracter personal în sectorul comunicațiilor electronice, aplicându-se prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului, prin intermediul rețelelor publice de comunicații care presupun dispozitive de colectare a datelor și de identificare[9], un domeniu total diferit de cel reglementat de fosta Lege nr. 82/2012 declarată neconstituțională.
Potrivit art. 50 din Legea nr. 24/2000[10], ”în cazul în care o normă este complementară altei norme, pentru evitarea repetării în text a acelei norme se va face trimitere la articolul, respectiv la actul normativ care o conţine. Nu poate fi făcută, de regulă, o trimitere la o altă normă de trimitere. Dacă norma la care se face trimitere este cuprinsă în alt act normativ, este obligatorie indicarea titlului acestuia, a numărului şi a celorlalte elemente de identificare. Trimiterea la normele unui alt act normativ se poate face la întregul său conţinut ori numai la o subdiviziune, precizată ca atare. Când actul ce face obiect de trimitere a fost modificat, completat ori republicat, se face menţiune şi despre aceasta. La modificarea, completarea şi abrogarea dispoziţiei la care s-a făcut trimitere, în actul de modificare, completare sau abrogare trebuie avută în vedere situaţia juridică a normei de trimitere.”
Or, din analiza art. 12 indice 1 al Legii nr. 506/2004, rezultă că autorizarea prealabilă ar trebui să fie dată de ”judecătorul stabilit potrivit legii”, fără a se face trimitere la care lege. Nu putem considera că textul face trimitere la art. 152 C. proc. pen., din moment ce însuși acest articol este o normă de trimitere.
În plus, dacă am fi în prezența unei excepții, când o normă de trimitere se completează tot cu o normă de trimitere, trebuie să constatăm că cele două norme nu sunt suficiente pentru că tot nu aflăm care sunt infracțiunile în cazul cărora judecătorul, presupus a fi cel de drepturi și libertăți, ar putea autoriza ingerința în dreptul la viață privată al unei persoane.
Dintr-o altă perspectivă, în Hotărârea Curții de Justiție a Uniunii Europene din 8 aprilie 2014[11], instanța europeană a reținut că ”prin faptul că impune păstrarea datelor enumerate la art. 5 alin. (1) din Directiva 2006/24 și prin faptul că permite accesul autorităților naționale competente la acestea, directiva menționată derogă, astfel cum a arătat avocatul general în special la punctele 39 și 40 din concluzii, de la regimul de protecție al dreptului la respectarea vieții private, instituit de Directivele 95/46 și 2002/58, în ceea ce privește prelucrarea datelor cu caracter personal în sectorul comunicațiilor electronice, întrucât aceste din urmă directive prevăd confidențialitatea comunicațiilor și a datelor de trafic, precum și obligația de a șterge sau de a trece în anonimat datele respective, atunci când ele nu mai sunt necesare pentru transmiterea unei comunicații, cu excepția cazului în care datele sunt necesare facturării și doar atâta timp cât persistă această necesitate.”
5. 152 coroborat cu Legea nr. 235/2015 nu reprezintă un temei legal valabil conform exigențelor CEDO pentru o ingerință în viața privată a unei persoane.
Prima condiție impusă de art. 8 parag. 2 al Convenției pentru justificarea unei atingeri a drepturilor protejate de primul paragraf al textului este ca aceasta să fie prevăzută de lege.
În cauza Rotaru împotriva României, Curtea Europeană a Drepturilor Omului a reținut că pentru a răspunde exigențelor art. 8 din Convenție, o astfel de ingerință trebuie să fie ”prevăzută de lege”, să urmărească unul dintre scopurile legitime menționate la alin. (2) și, în plus, să fie necesară într-o societate democratică pentru atingerea scopului respectiv. ”Curtea reamintește jurisprudența sa constantă, conform căreia ”prevăzut de lege” înseamnă nu doar o anume bază legală în dreptul intern, dar și calitatea legii în cauză: astfel, aceasta trebuie să fie accesibilă persoanei și previzibilă”.[12]
În ceea ce privește cerința previzibilității legii, Curtea a precizat că ”o normă este ”previzibilă” numai atunci când este redactată cu suficientă precizie, în așa fel încât să permită oricărei persoane – care, la nevoie, poate apela la consultantă de specialitate – să își corecteze conduita. Curtea a subliniat importanța acestui concept mai ales atunci când este vorba despre o supraveghere secretă. Curtea reamintește că sintagma ”prevăzută de lege” nu se ”referă doar la dreptul intern, ci vizează și calitatea ”legii”; prin această expresie se înțelege compatibilitatea legii cu principiul preeminenței dreptului, menționat explicit în preambulul Convenției (…). Înseamnă – și aceasta reiese din obiectul și din scopul articolului 8 – că dreptul intern trebuie să ofere o anume protecție împotriva încălcărilor arbitrare ale drepturilor garantate de paragraful 1 (…). Deoarece aplicarea unei măsuri secrete de supraveghere a convorbirilor telefonice nu poate fi cenzurată de persoana vizată sau de public, ”legea” contravine principiului preeminenței dreptului atunci când marja de apreciere acordată executivului, nu este limitată. Prin urmare, legea trebuie să definească suficient de clar limitele marjei de apreciere acordate executivului, dar și modalitățile de exercitare, având în vedere scopul legitim al măsurii în discuție, pentru a oferi persoanei protecție adecvată împotriva arbitrarului.”[13]
Or, așa cum am arătat și anterior, privită în ansamblul său, prin inconsecvența articolelor și a domeniului de reglementare, prin lipsa oricăror limitări ale accesului la datele de trafic, datele de identificare a echipamentului și datele de localizare autorizat de judecător, prin lipsa unui control eficient al încălcării securității datelor (control care are loc în primă fază de către însuși furnizor), Legea nr. 506/2004 este departe de a respecta exigențele CEDO anterior menționate.
Legea nr. 506/2004 reglementează securitatea prelucrării datelor cu caracter personal, stocarea informației, prelucrarea datelor de trafic și a datelor de localizare, însă pentru toate regulile stabilite de lege se precizează că nu trebuie să aducă ”atingere posibilității autorităților competente de a avea acces la datele păstrate de furnizori”. Prin urmare, orice limitare a legii este înlăturată în vederea aplicării dispozițiilor nou introduse ale art. 12 indice 1, dispoziții incomplete însă.
Or, în Hotărârea Curții de Justiție a Uniunii Europene din 8 aprilie 2014 anterior citată, instanța europeană reține că, întrucât protecția datelor cu caracter personal, care rezultă din obligația explicită prevăzută la art. 8 alin. (1) din cartă, prezintă o importanță deosebită pentru dreptul la respectarea vieții private consacrat la art. 7 din aceasta, reglementarea Uniunii în cauză trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime, astfel încât persoanele ale căror date au fost păstrate să dispună de garanții suficiente care să permită protejarea în mod eficient a datelor lor cu caracter personal împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date. Necesitatea de a dispune de asemenea garanții este cu atât mai importantă în cazul în care datele cu caracter personal sunt supuse unei prelucrări automate și există un risc important privind un acces ilicit la aceste date[14].
Ca și minim de garanții ale legii în materie CJCE reține că trebuie să existe o relație între datele a căror păstrare este prevăzută și o amenințare pentru siguranța publică, păstrare ce trebuie să fie limitată fie la date aferente unei perioade temporale și/sau unei zone geografice determinate și/sau unui cerc de persoane determinate care ar putea fi implicate, într‑un mod sau altul, în săvârșirea unei infracțiuni grave, fie la persoane care ar putea contribui, pentru alte motive, prin păstrarea datelor lor, la prevenirea, la detectarea sau la urmărirea penală a infracțiunilor grave.
În plus, trebuie să se prevadă un criteriu obiectiv care să permită delimitarea accesului autorităților naționale competente la date și utilizarea lor ulterioară în scopul prevenirii, detectării sau urmăririi penale în legătură cu infracțiuni care, având în vedere amploarea și gravitatea ingerinței în drepturile fundamentale consacrate la art. 7 și 8 din cartă, pot fi considerate ca fiind suficient de grave pentru a justifica o astfel de ingerință. Infracțiunile care justifică ingerința trebuie delimitate precis[15] și trebuie prevăzut un criteriu obiectiv care să permită limitarea numărului de persoane ce dispun de autorizația de acces și de utilizare ulterioară a datelor păstrate la strictul necesar, în lumina obiectivului urmărit.
Or, așa cum am arătat anterior, toate aceste garanții și limitări lipsesc cu desăvârșire din cuprinsul Legii nr. 506/2004 și nu sunt complinite de prevederile art. 152 C. proc. pen., text el însuși extrem de lapidar, criticat în literatura de specialitate încă de la intrarea în vigoare[16].
În concluzie, considerăm că la acest moment textul art. 152 C. proc. pen. nu are aplicabilitate practică, Legea nr. 506/2004 (modificată și completată prin Legea nr. 235/2015) neputând fi considerată lege specială, la care textul din Codul de procedură penală face trimitere expresă, întrucât nu înlocuiește Legea nr. 82/2012, declarată neconstituțională, și nu furnizează garanțiile constituționale reținute de Curte în decizia nr. 440/2014, coroborată cu decizia CJCE din 08.04.2014.
[1]. Decizia CCR nr. 440/2014 a fost publicată în MO nr. 653/04.09.2014.
[2]. Publicată în MO nr. 767 din 14.10.2015.
[3]. Disponibilă aici.
[4]. A se vedea expunerea de motive, f. 4.
[5]. A se vedea decizia CCR nr. 440/2014, paragr. 68.
[6]. A se vedea decizia CCR nr. 440/2014, paragr. 79.
[7]. „Forţa obligatorie ce însoţeşte actele jurisdicţionale, deci şi deciziile Curţii Constituţionale, se ataşează nu numai dispozitivului, ci şi considerentelor pe care se sprijină acesta. Astfel, Curtea a reţinut că atât considerentele, cât şi dispozitivul deciziilor sale sunt general obligatorii şi se impun cu aceeaşi forţă tuturor subiectelor de drept (a se vedea, în acest sens, Decizia Plenului Curţii Constituţionale nr. 1/1995 privind obligativitatea deciziilor sale pronunţate în cadrul controlului de constituţionalitate, publicată în Monitorul Oficial al României, Partea I, nr. 16 din 26 ianuarie 1995, Decizia nr. 1.415 din 4 noiembrie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 796 din 23 noiembrie 2009, şi Decizia nr. 414 din 14 aprilie 2010, publicată în Monitorul Oficial al României, Partea I, nr. 291 din 4 mai 2010)”, decizia CCR nr. 265/2014;
[8]. Legea nr. 24/2000 privind normele de tehnică legislativă, republicată în MO 260/2010.
[9]. Art. 1 din Legea nr. 506/2004, modificată, privind dispozițiile generale; potrivit art. 52 din Legea nr. 24/2000 – Dispoziţiile generale cuprind prevederi care orientează întreaga reglementare, determină obiectul şi principiile acesteia.
[10]. Legea nr. 24/2000 privind normele de tehnică legislativă, republicată în MO 260/2010.
[11]. Hotărârea Curții (Marea Cameră), din 8 aprilie 2014, în cauzele conexate C‑293/12 și C‑594/12.
[12]. A se vedea și Hotărârea Amann împotriva Elveției;
[13]. Motivarea deciziei CEDO în cauza Rotaru împotriva României, paragr. 55.
[14]. A se vedea motivarea Hotărârii Curții (Marea Cameră), din 8 aprilie 2014, în cauzele conexate C‑293/12 și C‑594/12.
[15]. A se vedea motivarea Hotărârii Curții (Marea Cameră), din 8 aprilie 2014, în cauzele conexate C‑293/12 și C‑594/12, parag. 61.
[16]. A se vedea în acest sens Cătălin Mihai Chiriță în Noul Cod de procedură penală comentat, p. 345.
Judecător Camelia Toderică
Tribunalul Iași, Secția penală
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
