Incompatibilitatea cu dreptul european a retenției datelor în temeiul Legii nr. 506/2004 şi a accesului la acestea în temeiul art. 152 Cod procedură penală. Efectele hotărârii CJUE în cauzele reunite Tele2 Sverige AB şi Tom Watson
24 octombrie 2017 | George ZLATI
George Zlati
În ceea ce ne priveşte, lucrurile sunt clare în momentul de faţă. Retenţia datelor este incompatibilă cu dreptul european încă de la decizia CJUE în cauza Digital Rights Ireland, hotărârea din Marea Cameră din 21 decembrie 2016 în cauzele reunite Tele2 Sverige AB şi Tom Watson nefăcând decât să statueze negru pe alb ceea ce a transmis anterior „printre rânduri” Curtea în cauza Digital Rights Ireland.
Doar o interpretare mai mult decât generoasă a Curţii Constituţionale a făcut ca retenţia datelor să fie declarată neconstituţională doar în ceea ce priveşte etapa de accesare a datelor deja reţinute, etapa iniţială constând în retenţia şi stocarea datelor de către furnizorul de servicii de comunicaţii fiind apreciată drept compatibilă cu prevederile Constituţionale. Cu toate că această abordare a Curţii Constituţionale este contrară propriei jurisprudenţe (vezi infra), suntem de părere că după hotărârea CJUE în cauzele reunite Tele2 Sverige AB şi Tom Watson din 21 decembrie 2016 nu ar mai trebui să existe niciun dubiu – ceea ce se înţelege în momentul de faţă prin retenţia datelor se plasează într-o incompatibilitate vădită cu dreptul european.
Dincolo de această incompatibilitate, nu avem rezerve în a susţine faptul că există de asemenea o veritabilă problemă de constituţionalitate (analiză expusă pe larg în G. Zlati, Comentariu în M. Udroiu (coord.), Codul de procedură penală. Comentariu pe articole, ediţia 2, Ed. C.H. Beck, Bucureşti, 2017, p. 736 şi urm.) asupra căreia Curtea Constituţională va trebui să revină pentru a pune în acord legislaţia naţională cu dreptul european. În cele din urmă, toate argumentele regăsite în jurisprudenţa CJUE în materia retenţiei datelor se pliază pe textele constituţionale referitoare la dreptul la viaţă privată şi principiul proporţionalităţii (art. 53 alin. 2 din Constituţie).
Fără a face o analiză in extenso cu privire la acest subiect şi fără a încerca să minimalizăm complexitatea juridică a instituţiei retenţiei datelor, considerăm ca fiind extrem de edificatoare sunt următoarele aspecte:
1. Neconstituţionalitatea retenţiei datelor reprezintă o problemă recurentă în dreptul intern. Astfel, Legea nr. 298/2008 a fost declarată neconstituţională prin D.C.C. nr. 1258/2009, iar Legea nr. 82/2012 ce a „soluţionat” problema de constituţionalitate a fost declarată la rândul ei neconstituţională prin D.C.C. nr. 440/2014. Nu putem să nu observăm în acest context o problemă sistemică în ceea ce priveşte respectarea drepturilor fundamentale ale cetăţenilor. De asemenea, nu putem să nu evidenţiem faptul că anumite critici ale Curţii Constituţionale regăsite în D.C.C. nr. 1258/2009 au fost reiterate în D.C.C. nr. 440/2014. Aceasta în contextul în care deciziile Curţii Constituţionale ajung adesea să fie lipsite de efecte juridice raportat la două argumente între care există o legătură intrinsecă: deciziile Curţii produc efecte doar pentru viitor, iar legea declarată neconstituţională se bucură de prezumţia de constituţionalitate până la momentul publicării deciziei Curţii în Monitorul Oficial. Ce înţelegem de aici? Că substituirea unei legi neconstituţionale cu o altă lege neconstituţională transformă drepturile fundamentale în drepturi iluzorii care nu mai sunt susceptibile să fie protejate în mod efectiv de prevederile constituţionale. Sub acest aspect, apreciem ca fiind o perpetuare a încălcării drepturilor fundamentale şi chiar o accentuare a acestei încălcări utilizarea unor mijloace de probă în procesul penal obţinute ca urmare a încălcării unor prevederi constituţionale. În materia retenţiei datelor, neconstituţionalitatea Legii nr 298/2008 ori a Legii nr. 82/2012 ar trebui/ar fi trebuit să producă două consecinţe imediate: stergerea tuturor datelor reţinute şi stocate de către furnizorii de servicii în temeiul legii declarate neconstituţionale – deci implicit imposibilitatea obţinerii acestor date de către organele de urmărire penală – şi excluderea tuturor probelor obţinute printr-o astfel de procedură şi folosite într-un proces penal.
2. Curtea Constituţională a evidenţiat în mod corect faptul că mecanismul retenţiei datelor implică două etape distincte: în primul rând trebuie să discutăm despre retenţia şi stocarea efectivă a acestora, iar pe urmă despre accesarea datelor transmise organelor de urmărire penală ce au făcut o solicitare în acest sens furnizorului de servicii de comunicaţii (a se vedea şi parag. 58 din D.C.C. nr. 440/2014).
3. De esenţa retenţiei datelor este ca aceasta să fie una generalizată, nediferenţiată şi sistematică, în sensul că nu se face distincţie între anumite categorii de persoane iar retenţia are loc în mod continuu. Cu alte cuvinte, toţi utilizatorii sunt afectaţi de această măsură în mod continuu, limita de timp în ceea ce priveşte retenţia datelor afectând doar posibilitatea organelor de urmărire penală de a accesa date mai vechi decât limita impusă de legiuitor. Ingerinţa în dreptul la viaţă privată a fiecărui cetăţean, indiferent dacă există ori nu suspiciuni cu privire la conduita acestuia, nu încetează însă în niciun moment din simplul motiv că retenţia şi stocarea datelor generează o astfel de ingerinţă independent de faptul dacă organele de urmărire penală accesează ori/şi utilizează respectivele respectivele date (cauza CtEDO Leander c. Sudiei; opinia Avocatului General în cauza CJUE Digital Rights Ireland [parag. 69 şi 72] etc.).
4. Deşi retenţia datelor nu vizează datele de conţinut ci doar datele de trafic, de localizare şi de identificare a echipamentului, ingerinţa în dreptul la viaţă privată este una deosebit de gravă. Cei care tratează cu uşurinţă consecinţele de a avea la dispoziţie acest tip de date obţinute pe o perioadă mare de timp, în mod continuu şi generalizat, susţin faptul că din moment ce nu sunt vizate datele de conţinut, criticile la adresa retenţiei datelor sunt exagerate. Ceea ce nu se înţelege însă este complexitatea consecinţelor unei retenţii generalizate şi sistematice. Nu puţini au fost cei care au atras atenţia că datele de trafic sunt susceptibile să ofere mult mai multe informaţii despre viaţa unei persoane decât cele de conţinut (a se vedea în acest sens P. Breyer, Telecommunications Data Retention and Human Rights: The Compatibility of Blanket Traffic Data with ECHR, în European Law Journal, vol. 11, nr. 3/2005, p. 370-371), în condiţiile în care coroborarea tuturor datelor de trafic reţinute pe o perioadă mare de timp sunt în măsură să răspundă la întrebări precum: Cu cine comunică o anumită persoană (o altă persoană, o pagina web etc.)? Când a comunicat (data şi ora)? De câte ori a comunicat (de exemplu de câte ori a accesat o anumită pagină web)? Prin ce mijloc (mail, voce, sms etc.)? De unde a comunicat (locaţia terminalului folosit)? Ce a folosit pentru comunicare (identificare caracteristicilor terminalului folosit)?
5. Cu toate acestea, Curtea Constituţională a statuat în Decizia nr. 440/2014 (a se vedea parag. 60) faptul că „nici Constituţia şi nici jurisprudenţa Curţii Constituţionale nu interzic stocarea preventivă, fără o ocazie anume a datelor de trafic şi de localizare, cu condiţia însă ca accesul la aceste date şi utilizarea lor să fie însoţite de garanţii şi să respecte principiul proporţionalităţii”. Este evidentă aşadar poziţia Curţii Constituţionale în ceea ce priveşte caracterul constituţional al etapei retenţiei şi stocării datelor de către furnizorul de servicii, atâta vreme cât etapa accesării şi utilizării acestor date de către organele de urmărire penală beneficiază de suficient de multe garanţii şi respectă principiul proporţionalităţii. Această poziţie este însă în totală contradicţie cu ceea ce a statuat Curtea în Decizia nr. 1258/2009 prin care s-a faptul că „nu utilizarea justificată, în condiţiile reglementate de Legea nr.298/2008, este cea care, în sine, prejudiciază într-un mod neacceptabil exercitarea dreptului la viaţă intimă sau libertatea de exprimare, ci obligaţia legală cu caracter continuu, general aplicabilă, de stocare a datelor [s.n.]”. Această schimbare de jurisprudenţă ridică în ceea ce ne priveşte serioase semne de întrebare, cu atât mai mult cu cât D.C.C. nr. 440/2014 a fost fără doar şi poate o consecinţă a deciziei CJUE în cauza Digital Rights Ireland. Or, decizia CJUE a dus la anularea Directivei 2006/24/CE care viza în mod exclusiv obligaţia furnizorilor de servicii de a reţine şi stoca anumite date generate de conduita utilizatorilor serviciilor de comunicaţii.
6. Extrem de relevant este faptul că după anularea Directivei 2006/24/CE, legiuitorul naţional putea stabili obligaţia legală de retenţie şi stocare a datelor în sarcina furnizorului de servicii doar în temeiul art. 15 alin. (1) din Directiva 2002/58/CE. În hotărârea CJUE din Marea Cameră în cauzele reunite Tele2 Sverige AB şi Tom Watson din 21 decembrie 2016 s-a statuat cât se poate de clar faptul că legislaţia privind retenţia datelor şi accesul la aceste date se află, ulterior anulării Directivei 2006/24/CE, sub incidenţa Directivei 2002/58/CE (a se vedea parag. 72-81 din hotărâre). Precizarea este de o importanţă deosebită deoarece în literatura de specialitate autohtonă s-a susţinut (a se vedea F. Gyula, Accesul la datele stocate de furnizorii serviciilor de comunicaţii electronice şi influenţa jurisprudenţei Curţii de Justiţie a Uniunii Europene, aplicată în cazul “Digital Rights”, în aplicarea dreptului naţional în acest domeniu, în Dreptul, nr. 5/2016, p. 163) că după anularea Directivei 2006/24/CE, legiuitorul naţional nu mai are obligaţia de a transpune dreptul european atunci când reglementează retenţia datelor. În realitate, în lipsa art. 15 alin. (1) din Directiva 2002/58/CE nu s-ar putea discuta despre retenţia datelor în forma actuală din moment ce art. 5 alin. (1) din Directiva 2002/58/CE prevede faptul că “Statele membre trebuie să asigure confidențialitatea Comunicațiilor şi a datelor de transfer aferente transmise prin intermediul unei reţele de comunicații publice sau unor servicii publice de comunicații electronice, prin legislația internă. Acestea interzic astfel în special ascultarea, înregistrarea, stocarea sau alte tipuri de interceptare sau supraveghere a comunicațiilorș lor de transfer aferente de către persoane altele decât utilizatorul, fără acordul utilizatorului în cauză, cu excepția cazurilor în care acest lucru este permis în temeiul articolului 15 alineatul (1)”. Cu alte cuvinte, regula în dreptul european este aceea că retenţia şi stocarea datelor poate avea loc doar cu consimţământul abonatului/utilizatorului, în măsura în care stocarea datelor nu este necesară pentru transmisia comunicaţiei în cauză. Art. 15 alin. (1) din Directivă stabileşte o excepţie de la regulă, în sensul că retenţia şi stocarea datelor poate avea loc pentru o perioadă limitată în scopul protejării securităţii naţionale ori pentru a preveni, investiga, detecta şi urmări penal anumite fapte penale sau a folosirii neautorizate a sistemelor de comunicaţii electronice.
7. Tocmai de aceea hotărârea CJUE din Marea Cameră în cauzele reunite Tele2 Sverige AB şi Tom Watson din 21 decembrie 2016 clarifică compatibilitatea retenţiei datelor cu dreptul european, prin această hotărâre fiind interpretat art. 15 alin. (1) din Directiva 2002/58/CE. Fără a face trimiteri in extenso la considerentele CJUE facem doar menţiunea că în viziunea acesteia „lecturat în lumina articolelor 7 și 8, precum și a articolului 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretat [ 15 alin. (1) – n.n.] în sensul că se opune unei reglementări naționale care prevede, în scopul combaterii infracționalității, o păstrare generalizată și nediferențiată a ansamblului datelor de transfer și al datelor de localizare ale tuturor abonaților și utilizatorilor înregistrați în ceea ce privește toate mijloacele de comunicare electronică” (parag. 134 pct. 1 din hotărâre). Ce înseamnă asta? În esenţă, CJUE a stabilit lipsit de echivoc că ceea ce înţelegem în momentul de faţă prin retenţia datelor de către furnizorii de servicii se află în contradicţie cu dreptul european. În această cauză, CJUE a reiterate criticile din considerentele hotărârii date în cauza Digital Rights Ireland statuând de această dată fără echivoc că retenţia nu poate avea loc în mod generalizat şi sistematic cu privire la toţi abonaţii şi utilizatorii serviciului de comunicare electronică. Poziţia Curţii este cât se poate de tranşantă sub acest aspect, aceasta mai statuând faptul că deși combaterea infracționalității grave poate justifica de principiu o asemenea măsură (parag. 102 din hotărâre), iar eficacitatea combaterii acesteia, în special combaterea crimei organizate și a terorismului, poate să depindă în mare măsură de utilizarea tehnicilor moderne de investigație,”un astfel de obiectiv de interes general, oricât de fundamental ar fi, nu poate, în sine, să justifice ca o reglementare națională care prevede păstrarea generalizată și nediferențiată a datelor de transfer și a datelor de localizare să fie considerată necesară în scopul acestei combateri” (parag. 103 din hotărâre).
Observăm aşadar că indiferent de orientarea Curţii Constituţionale în decizia 440/2014, retenţia datelor în forma actuală este incompatibilă cu dreptul European. Din acest motiv, am statuat şi cu o altă ocazie (G. Zlati, Comentariu în M. Udroiu (coord.), Codul de procedură penală. Comentariu pe articole, ediţia 2, Ed. C.H. Beck, Bucureşti, 2017, p. 743) faptul că este necesară schimbarea de îndată a jurisprudenţei Curţii Constituţionale. Până atunci, legislaţia naţională trebuie înlătură prin aplicarea directă a dreptului european ce stabileşte în sarcina utilizatorilor drepturi incompatibile cu retenţia datelor în forma actuală.
În ceea ce priveşte viitorul retenţiei datelor, CJUE nu a exclus posibilitatea statelor membre de a adopta o legislație care, cu titlu preventiv, să permită păstrarea direcționată (targeted) a datelor de transfer și a datelor de localizare, cu condiția ca păstrarea datelor să fie, în ceea ce privește categoriile de date care trebuie păstrate, mijloacele de comunicare vizate, persoanele în cauză, precum și durata de păstrare reținută, limitată la strictul necesar (parag. 108 din hotărârea CJUE din Marea Cameră în cauzele reunite Tele2 Sverige AB şi Tom Watson). Rezultă așadar poziția tranșantă a CJUE conform căreia, legislația referitoare la retenția datelor este conformă cu dreptul uniunii doar în măsura în care retenția încetează să fie una continuă, generalizată și care să afecteze toți abonații/utilizatorii.
Or, în ceea ce ne priveşte, acest lucru se poate realiza doar prin renunţarea la instituţia retenţiei datelor şi reformarea instituţiei conservării datelor prevăzută de art. 154 Cod proc. pen. În acest sens, propunem ca art. 152 Cod proc. pen. să fie abrogat împreună cu dispoziţiile art. 12 ind. 1 din Legea nr. 506/2004 şi cu cele ce stabilesc în sarcina furnizorului de servicii obligaţia de a reţine şi stoca alte date decât cele necesare pentru transmisia comunicaţiei şi facturea serviciului oferit abonatului/utilizatorului. În acelaşi timp propunem reformarea instituţiei conservării datelor în sensul de a crea în sarcina furnizorului de servicii obligaţia de a reţine, stoca şi conserva datele de trafic, localizare şi identificare a echipamentului doar de la momentul la care organul de urmărire penală transmite o solicitare în acest sens. De asemenea, solicitarea acestor date de către organul de urmărire penală să poată avea loc doar ulterior obţinerii unui mandat din partea judecătorului de drepturi şi libertăţi. Apreciem că doar o astfel de reformă ar fi compatibilă cu dreptul european raportat la jurisprudenţa CJUE în materie.
Avocat George Zlati
SERGIU BOGDAN & ASOCIAȚII
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
