Opinia INM ref. efectele Deciziei CCR nr. 295/2022 în cauzele având ca obiect obţinere de date de trafic
24 august 2023 | JURIDICE.ro
Problema de drept: Efectele Deciziei Curţii Constituţionale nr. 295/2022 în cauzele având ca obiect obţinere de date de trafic și localizare prelucrate de către furnizorii de rețele publice de comunicații electronice ori furnizorii de servicii de comunicații electronice destinate publicului (art. 152 C.proc. pen.) (Judecătoria Sectorului 2 București)
Act normativ incident: C. proc. pen., art. 152.
Prezentarea problemei de drept:
Problema de drept care a generat practică neunitară se referă la posibilitatea autorizării prealabile, de către judecătorul de drepturi și libertăți, în procedura prevăzută de art. 152 C. proc. pen., a solicitării organelor de urmărire penală adresate furnizorilor de rețele publice de comunicații electronice ori furnizorilor de servicii de comunicații electronice destinate publicului, de obținere a datelor de trafic și de localizare prelucrate de către aceștia, ulterior pronunțării de către Curtea Constituțională a Deciziei nr. 295/2022 (M. Of., Partea I, nr. 568 din 10 iunie 2022).
Într-o opinie, judecătorul de drepturi și libertăți nu poate autoriza solicitarea datelor de trafic şi localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului, formulată de organele de urmărire penală, în conformitate cu art. 152 C. proc. pen. Aceasta deoarece organele judiciare nu pot face abstracție de considerentele Deciziei amintite, prin care s-a constatat, în esență, lipsa unui temei legal pentru organele de urmărire penală pentru a proceda la solicitarea datelor în discuție, considerente obligatorii în acord cu prevederile constituţionale ale art. 1 alin. (3) şi (5), care consacră principiul securităţii juridice, ale art. 1 alin. (4) referitoare la principiul separaţiei şi echilibrului puterilor – legislativă, executivă şi judecătorească – în cadrul democraţiei constituţionale, ale art. 126 alin. (3) și ale art. 142 alin. (1), potrivit cărora „Curtea Constituţională este garantul supremaţiei Constituţiei” şi ale art. 147 alin. (1) şi (4) referitoare la efectele deciziilor Curţii Constituţionale.
Într-o altă opinie, deoarece Decizia amintită a fost pronunțată de instanța de contencios constituțional în procedura de control a priori a proiectelor de lege, vizează o dispoziție care nu se află în fondul legislativ activ. Prin urmare, judecătorul de drepturi și libertăți poate autoriza în continuare solicitarea datelor de trafic şi localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului, formulată de organele de urmărire penală, în conformitate cu art. 152 C. proc. pen.
Opinia INM:
Cea de-a doua opinie este cea corectă. Aceasta deoarece Decizia Curții Constituționale nr. 295/2022, publicată în Monitorul Oficial, Partea I, nr. 568 din 10 iunie 2022 nu produce efecte juridice cu privire la procedura de obținere a datelor de trafic și de localizare prelucrate de către furnizorii de rețele publice de comunicații electronice ori furnizorii de servicii de comunicații electronice destinate publicului, prevăzută de art. 152 C. proc. pen. Procedura de acces la aceste date este reglementată și de art. 12 ind. 1 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, care se referă chiar la datele de trafic, datele de identificare a echipamentului şi datele de localizare reținute de furnizorii de servicii de comunicaţii electronice destinate publicului şi furnizorii de reţele publice de comunicaţii electronice, dar și de furnizorii de servicii de găzduire electronică cu resurse IP şi de furnizorii de servicii de comunicaţii interpersonale care nu se bazează pe numere (cei din urmă, ca urmare a introducerii alin. 1 ind. 1 în cuprinsul art. 12 ind. 1 din Legea nr. 506/2004, prin Legea nr. 198/2022 pentru modificarea şi completarea unor acte normative în domeniul comunicaţiilor electronice şi pentru stabilirea unor măsuri de facilitare a dezvoltării reţelelor de comunicaţii electronice).
Astfel, art. 152 C. proc. pen. reglementează obţinerea datelor de trafic şi de localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului, ca metodă specială de cercetare ce poate fi dispusă în cursul urmăririi penale.
Aceasta este reglementată, totodată, la lit. j) a art. 138 alin. (1) C. proc. pen., articol care enumeră, cu titlu general, metodele speciale de supraveghere şi de cercetare ce pot fi dispuse în cursul urmăririi penale şi care, de fapt, reprezintă procedee probatorii ce vizează investigarea unei infracţiuni grave. Având în vedere prevederile art. 138 alin. (13) C. proc. pen., obţinerea datelor de trafic şi de localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului nu constituie o metodă de supraveghere tehnică, ci o metodă de cercetare.
Dispozițiile art. 152 C. proc. pen. au fost supuse controlului de constituționalitate, ultima oară prin Decizia nr. 504/2020 (publicată în M. Of., Partea I, nr. 1077 din 13 noiembrie 2020) în cadrul controlului a posteriori, excepțiile de neconstituționalitate ridicate fiind respinse, ca neîntemeiate.
Totodată, dispozițiile art. 12 ind. 1 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice au fost supuse controlului de constituționalitate, prin Decizia nr. 589/2017 (publicată în M. Of., Partea I, nr. 89 din 30 ianuarie 2018) în cadrul controlului a posteriori, excepția de neconstituționalitate ridicată fiind respinsă, ca neîntemeiată.
Deși este de necontestat că solicitarea şi obţinerea de către organele judiciare a datelor de trafic şi de localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului reprezintă operaţiuni procedurale intruzive în drepturile fundamentale ale persoanelor vizate, limitând exercitarea dreptului la viaţa intimă, familială şi privată şi a dreptului la secretul corespondenţei, astfel cum acestea sunt reglementate la art. 26 alin. (1) şi, respectiv, la art. 28 alin. (1) din Constituţie, dar și la art. 8 din Convenția E.D.O., tocmai în vederea asigurării protecţiei drepturilor fundamentale mai sus menţionate în cadrul procedurii reglementate la art. 152 alin. (1) C. proc. pen., legiuitorul a prevăzut o serie de garanţii:
Astfel, organele de urmărire penală, cu autorizarea prealabilă a judecătorului de drepturi şi libertăţi, pot solicita date de trafic şi localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului dacă sunt îndeplinite, cumulativ, condiţiile expres și limitativ prevăzute de textul de lege și care se referă la i) existența unei suspiciuni rezonabile cu privire la săvârșirea unei infracțiuni dintre cele prevăzute la art. 139 alin. (2) C. proc. pen. sau a unei infracțiuni dintre cele prevăzute la lit. a) a alin. (1) al art. art. 152 C. proc. pen., ii) existența unor temeiuri justificate pentru a se crede că datele solicitate constituie probe, iii) respectarea principiului subsidiarității (probele nu ar putea fi obținute în alt mod sau obținerea lor ar presupune dificultăți deosebite ce ar prejudicia ancheta ori există pericol pentru siguranța persoanelor sau a unor bunuri de valoare) și iv) respectarea principiului proporționalității (măsura este proporțională cu restrângerea drepturilor și libertăților fundamentale, date fiind particularitățile cauzei, importanța informațiilor ori a probelor ce urmează a fi obținute sau gravitatea infracțiunii).
Mai mult, măsura de cercetare analizată poate fi dispusă, conform art. 152 alin. (1) C. proc. pen., doar cu autorizarea prealabilă a judecătorului de drepturi şi libertăţi.
Potrivit art. 152 alin. (2) C. proc. pen., solicitarea astfel formulată de organele de urmărire penală este soluţionată prin încheiere motivată, pronunţată în camera de consiliu.
Totodată, alin. (3) al art. 152 C. proc. pen. prevede obligaţia de confidenţialitate a furnizorilor de reţele publice de comunicaţii electronice şi a furnizorilor de servicii de comunicaţii electronice destinate publicului care colaborează cu organele de urmărire penală în privinţa operaţiunii efectuate.
Important de menționat că art. 152 C. proc. pen. a fost anterior modificat prin articolul unic pct. 2 din Legea nr. 75/2016 privind aprobarea Ordonanţei de urgenţă a Guvernului nr. 82/2014 pentru modificarea şi completarea Legii nr. 135/2010 privind Codul de procedură penală, publicată în Monitorul Oficial al României, Partea I, nr. 334 din 29 aprilie 2016, astfel că dispoziţiile procesual penale în vigoare nu mai fac referire la o lege specială privind reţinerea datelor.
Prin art. 2 pct. 27 din Legea pentru modificarea şi completarea unor acte normative în domeniul comunicaţiilor electronice pentru stabilirea unor măsuri de facilitare a dezvoltării reţelelor de comunicaţii electronice, a fost introdus art. 10 ind. 2 în Ordonanţa de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, publicată în Monitorul Oficial al României, Partea I, nr. 925 din 27 decembrie 2011, care se referă numai la furnizorii de servicii de găzduire electronică cu resurse IP, astfel:
„(1) Furnizorii de servicii de găzduire electronică cu resurse IP au obligaţia să sprijine organele de aplicare a legii şi organele cu atribuţii în domeniul securităţii naţionale, în limitele competenţelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991 privind securitatea naţională, republicată, cu completările ulterioare, respectiv:
a) să permită interceptarea legală a comunicaţiilor, inclusiv să suporte costurile aferente, pe durata şi în condiţiile menţionate în actele de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991, republicată, cu modificările şi completările ulterioare;
b) să acorde, la solicitarea organelor autorizate, conţinutul criptat al comunicaţiilor tranzitate în reţele proprii, care fac obiectul actelor de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991, republicată, cu modificările şi completările ulterioare;
c) să furnizeze informaţiile reţinute sau stocate referitoare la date de trafic, date de identificare a abonaţilor sau clienţilor, modalităţi de plată şi istoricul accesărilor cu momentele de timp aferente, corespunzătoare adresei IP identificate în actele de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991, republicată, cu modificările şi completările ulterioare;
d) să permită accesul la propriile sisteme informatice, în vederea copierii sau extragerii exclusiv a datelor care fac obiectul actelor de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991, republicată, cu modificările şi completările ulterioare.
(2) Obligaţiile prevăzute la alin. (1) lit. a)-c) se aplică în mod corespunzător şi furnizorilor de reţele sau servicii de comunicaţii electronice.
(3) Furnizorii de servicii de găzduire electronică cu resurse IP au obligaţia ca, în termen de 60 de zile de la data începerii furnizării serviciilor, să transmită o informare în acest sens ANCOM care să conţină cel puţin următoarele:
a) datele de identificare ale furnizorului;
b) datele de contact ale furnizorului;
c) tipul de serviciu de găzduire electronică prestat.
(4) ANCOM publică pe propria pagină de internet tipurile de servicii de găzduire electronică pentru care furnizorii de servicii de găzduire electronică cu resurse IP au obligaţiile prevăzute de prezentul articol.
(5) Orice modificare a datelor transmise potrivit alin. (3) se comunică ANCOM în termen de 10 zile de la data apariţiei evenimentului.
(6) Prin decizia ANCOM se poate stabili ca informarea prevăzută la alin. (3) să se realizeze într-un anumit format.”
Dispozițiile Legii pentru modificarea şi completarea unor acte normative în domeniul comunicaţiilor electronice pentru stabilirea unor măsuri de facilitare a dezvoltării reţelelor de comunicaţii electronice au fost supuse controlului de constituţionalitate a priori (înainte de promulgare), obiecția de neconstituționalitate formulată fiind admisă prin Decizia Curții Constituționale nr. 295/2022 (publicată în M.Of., Partea I, nr. 568 din 10 iunie 2022).
O critică de neconstituţionalitate analizată din perspectiva art. 26 din Constituție a vizat încălcarea dreptului la viaţă intimă, familială şi privată al persoanei prin extinderea categoriilor de date care urmează să constituie obiectul acestor măsuri.
Această din urmă analiză a presupus una suplimentară în cele două etape pe care mecanismul reţinerii datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului le presupune:
– prima fiind aceea a reţinerii şi stocării datelor, adică a datelor de trafic, datelor de identificare a abonaţilor sau clienţilor, modalităţilor de plată şi istoricului accesărilor cu momentele de timp aferente, corespunzătoare adresei IP,
– cea de-a doua, aceea a accesului la aceste date şi a folosirii lor.
Dacă în privința celei de-a doua etape s-a concluzionat, în esență, prin Decizia amintită, că garanţiile care o însoțesc „sunt menite să îndepărteze teama că drepturile personale, de natură intimă, sunt violate, astfel că persoanele beneficiază de o protecţie suficientă împotriva abuzurilor şi a oricărui acces ilicit sau a oricărei utilizări ilicite” (paragraful 144),
În privința primei etape, care în mod firesc este prima operațiune din punct de vedere cronologic și fără de care cea de-a doua etapă nu este posibilă, s-au arătat următoarele: „legiuitorul omite să o reglementeze, limitându-se doar la o menţiune vagă şi implicită în textul de lege criticat. Astfel, folosind sintagma „informaţiile reţinute sau stocate” în cuprinsul dispoziţiilor art. 10 ind. 2 alin. (1) lit. c) din Ordonanţa de urgenţă a Guvernului nr. 111/2011, cu privire la care este reglementată obligaţia furnizorilor de reţele sau servicii de comunicaţii electronice de a le furniza organelor de urmărire penală sau organelor cu atribuţii în domeniul securităţii naţionale, legiuitorul creează doar aparenţa unei reglementări a mecanismului de retenţie a informaţiilor electronice. În fapt, analizând obligaţiile care cad în sarcina furnizorilor de reţele sau servicii de comunicaţii electronice, potrivit art. 10 ind. 2 alin. (1) din ordonanţa de urgenţă, Curtea constată că în enumerarea prevăzută de textul de lege nu se regăseşte obligaţia reţinerii şi a stocării informaţiilor şi, implicit, nu se regăsesc nici garanţiile aferente acestei obligaţii.” (paragraful 145).
În continuare, prin aceeași Decizie, analizând cadrul normativ referitor la retenţia datelor generate sau prelucrate ca urmare a unei comunicaţii ori a unui serviciu de comunicaţii, Curtea a observat că, prin Decizia nr. 440 din 8 iulie 2014, în urma admiterii excepţiei de neconstituţionalitate, a constatat neconstituţionalitatea Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
Legea constituia a doua transpunere în dreptul naţional a Directivei 2006/24/CE a Parlamentului European şi a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modificare a Directivei 2002/58/CE, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 105 din 13 aprilie 2006.
Prima transpunere în dreptul naţional a directivei, Legea nr. 298/2008 privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, precum şi pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr. 780 din 21 noiembrie 2008, fusese anterior declarată neconstituţională, în integralitatea sa, prin Decizia nr. 1.258 din 8 octombrie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 798 din 23 noiembrie 2009 (paragrafele 146 și 147).
Într-adevăr și în continuare, Curtea a constatat că, nici până în prezent, legiuitorul nu a reglementat o nouă lege referitoare la reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului. „Concret, aceasta înseamnă că de la publicarea deciziei Curţii Constituţionale a României, furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului nu mai au nici obligaţia, dar nici posibilitatea legală de a reţine anumite date generate sau prelucrate în cadrul activităţii lor şi de a le pune la dispoziţia organelor judiciare şi a celor cu atribuţii în domeniul siguranţei naţionale” (Decizia nr. 440 din 8 iulie 2014, paragraful 78, reiterat în Decizia nr. 295 din 18 mai 2022, paragraful 151).
Față de acestea, în condiţiile în care legiuitorul nu a adoptat un act normativ prin care să reglementeze procedura reţinerii şi stocării informaţiilor referitoare la date de trafic, date de identificare a abonaţilor sau clienţilor, modalităţi de plată şi istoricul accesărilor cu momentele de timp aferente, corespunzătoare unei adrese IP, de către furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, dispoziţiile art. 10 ind. 2 alin. (1) lit. c) din Ordonanţa de urgenţă a Guvernului nr. 111/2011 sunt lipsite de efecte juridice, reglementând o obligaţie ulterioară, dar aflată într-un raport de necesitate sine qua non cu o obligaţie anterioară, aceea a reţinerii şi stocării informaţiilor, pe care legiuitorul omite să o reglementeze. Chiar dacă norma prevede garanţiile necesare accesului şi folosirii informaţiilor reţinute sau stocate (a doua etapă a mecanismului retenţiei datelor), prin modul defectuos/ambiguu de redactare, lipsit de precizie şi predictibilitate, Curtea a constatat că aceleaşi dispoziţii sunt susceptibile de a crea aparenţa de legalitate cu privire la activitatea de reţinere şi stocare a informaţiilor electronice (prima etapă a mecanismului retenţiei datelor), lăsând posibilitatea interpretării acestora în sensul că obligaţia reţinerii şi stocării informaţiilor electronice poate fi reglementată prin acte normative infralegale, adoptate de autorităţi publice administrative cu competenţe în materia comunicaţiilor electronice. Or, o atare concluzie este incompatibilă cu drepturile fundamentale a căror protecţie este consacrată constituţional, astfel că dispoziţiile art. 2 pct. 27 din Legea pentru modificarea şi completarea unor acte normative în domeniul comunicaţiilor electronice pentru stabilirea unor măsuri de
facilitare a dezvoltării reţelelor de comunicaţii electronice prin care se introduce art. 10 ind. 2 alin. (1) lit. c) în Ordonanţa de urgenţă a Guvernului nr. 111/2011 au fost declarate neconstituţionale prin raportare la art. 1 alin. (5), art. 26, 28 şi 30 din Constituţie (paragraful 155).
Cu toate acestea, revenind la problema de drept care a generat practică neunitară, câtă vreme dispozițiile art. 152 C. proc. pen. nu sunt declarate neconstituționale și nici dispozițiile art. 12 ind. 1 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, în cadrul controlului de neconstituționalitate a posteriori și, având în vedere analiza efectuată de judecătorul de drepturi și libertăți în procedeul probatoriu al obţinerii datelor de trafic şi de localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului, limitată la verificarea îndeplinirii condițiilor prevăzute de același articol, cererile de autorizare prealabilă în acest sens formulate de organele de urmărire penală pot fi admise.
În privința efectelor Deciziei amintite, se impun următoarele precizări: Conform art. 147 alin. (4) al Constituției, ,,deciziile Curții Constituționale se publică în Monitorul Oficial al României. De la data publicării, deciziile sunt general obligatorii și au putere numai pentru viitor”.
Dispozițiile legale ultim menționate nu disting în funcție de natura deciziilor, determinate de atribuția în exercitarea căreia au fost pronunțate, și nici în funcție de sfera subiecților de drept cărora le sunt opozabile aceste acte ale Curții. Prin urmare, aceleași dispoziții trebuie interpretate în concordanță cu alte prevederi și principii constituționale.
Or, în temeiul art. 146 lit. a) din Constituție, în cadrul controlului constituționalității legilor înainte de promulgarea acestora, în coroborare cu art. 147 alin. (2) din aceeași Lege, potrivit căruia ,,în cazurile de neconstituționalitate care privesc legile, înainte de promulgarea acestora, Parlamentul este obligat să reexamineze dispozițiile respective pentru punerea lor de acord cu decizia Curții Constituționale”, deciziile astfel pronunțate dau naștere la obligația Parlamentului de a recurge la reexaminarea legii a cărei neconstituționalitate a fost constatată și la obligația Președintelui de a nu promulga legea până la realizarea acestei activități de către Parlament.
Participanţii la întâlnire au agreat, în unanimitate, opinia INM, pentru argumentele prezentate în susținerea acesteia.
În cadrul dezbaterilor s-a evidențiat necesitatea intervenției legiuitorului prin reglementarea, la nivellegislativ, a reţinerii datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, având în vedere jurisprudența Curții Constituționale redată.
Nota J: Prezenta opinie a fost exprimată în cadrul întâlnirii preşedinţilor secţiilor penale ale Înaltei Curţi de Casaţie şi Justiţie şi curţilor de apel, dedicată discutării aspectelor de practică neunitară în materia dreptului penal şi procesual penal. La întâlnire au participat reprezentanţi ai Consiliului Superior al Magistraturii, Înaltei Curţi de Casaţie şi Justiţie şi curţilor de apel, ai Parchetului de pe lângă Înalta Curte de Casaţie şi Justiţie şi Ministerului Justiţiei. Dezbaterile au fost moderate de judecător Carmen Alina Gohoreanu şi judecător Ionuţ Victor Voina, formatori ai Institutului Naţional al Magistraturii la disciplina Drept penal şi drept procesual penal, în calitate de experţi selectaţi în cadrul proiectului. București, 27-28 februarie 2023.
- Flux integral: www.juridice.ro/feed
- Flux secţiuni: www.juridice.ro/*url-sectiune*/feed
Pentru suport tehnic contactaţi-ne: tehnic@juridice.ro
