DECIZIE nr. 461 din 16 septembrie 2014 asupra obiecţiei de neconstituţionalitate a dispoziţiilor Legii pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice

Augustin Zegrean

- preşedinte

Valer Dorneanu

- judecător

Toni Greblă

- judecător

Petre Lăzăroiu

- judecător

Mircea Ştefan Minea

- judecător

Daniel Marius Morar

- judecător

Mona-Maria Pivniceru

- judecător

Puskas Valentin Zoltan

- judecător

Tudorel Toader

- judecător

Mihaela Senia Costinescu

- magistrat-asistent-şef

1.Pe rol se află soluţionarea obiecţiei de neconstituţionalitate a dispoziţiilor Legii pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, obiecţie formulată de Avocatul Poporului, în temeiul prevederilor art. 146 lit. a) din Constituţie şi art. 15 din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale.
2.Sesizarea de neconstituţionalitate a fost transmisă cu Adresa nr. 6.835 din 9 iulie 2014, a fost înregistrată la Curtea Constituţională cu nr. 3.093 din 9 iulie 2014 şi constituie obiectul Dosarului nr. 695A/2014.
3.În motivarea obiecţiei de neconstituţionalitate autorul susţine că dispoziţiile legii criticate sunt contrare art. 147 alin. (4) din Constituţie, întrucât soluţia legislativă referitoare la obligaţia de a stoca datele cu caracter personal pentru o perioadă de 6 luni de la data reţinerii acestora este afectată de un viciu de constituţionalitate din perspectiva considerentelor reţinute în Decizia Curţii Constituţionale nr. 1.258/2009. Se arată, în esenţă, că referitor la termenul de stocare a datelor cu caracter personal, Curtea Constituţională a arătat, în considerentele deciziei sale, că obligaţia de reţinere a datelor, pe o perioadă de 6 luni, reglementată de Legea nr. 298/2008, cu titlu de excepţie sau derogare de la principiul protejării datelor cu caracter personal şi al confidenţialităţii lor, prin natura, întinderea şi domeniul ei de aplicare, goleşte de conţinut acest principiu, fiind de natură să afecteze, chiar şi pe cale indirectă, exerciţiul drepturilor sau al libertăţilor fundamentale, în speţă al dreptului la viaţă intimă, privată şi de familie, al dreptului la secretul corespondenţei şi al libertăţii de exprimare, într-o manieră ce nu corespunde cerinţelor stabilite de art. 53 din Constituţia României. În consecinţă, autorul sesizării apreciază că Parlamentul are obligaţia de a respecta cele stabilite de Curtea Constituţională în considerentele şi dispozitivul deciziei pronunţate în materie.
4.În ceea ce priveşte atingerea adusă principiului garantării şi ocrotirii vieţii intime, familiale şi private de către autorităţile publice, şi principiului proporţionalităţii prevăzut expres de art. 53 alin. (2) din Constituţie, Avocatul Poporului consideră, în acord cu jurisprudenţa Curţii Constituţionale, că instituirea unei reguli în ceea ce priveşte prelucrarea datelor cu caracter personal, şi anume aceea a reţinerii acestora în mod continuu, pe o perioadă de 6 luni de la momentul interceptării lor este de natură să golească de conţinut art. 26 din Constituţie. Prin urmare, reglementarea unei obligaţii pozitive care priveşte limitarea în mod necontenit a exerciţiului dreptului la viaţă intimă, familială şi privată aduce atingere esenţei acestuia. Persoanele fizice, utilizatori în masă ai serviciilor de comunicaţii electronice sau de reţele publice de comunicaţii, sunt supuse în permanenţă acestei ingerinţe în exerciţiul drepturilor lor. Or, în materia drepturilor personale, regula este aceea a garantării şi respectării acestora, respectiv a confidenţialităţii, statul având, în acest sens, obligaţii majoritar negative, de abţinere, prin care să fie evitată, pe cât posibil, ingerinţa sa în exerciţiul dreptului sau al libertăţii. Obligaţia legală care impune reţinerea în mod continuu a datelor cu caracter personal transformă însă excepţia de la principiul protejării efective a dreptului la viaţă intimă, familială şi privată în regulă absolută. Pe cale de consecinţă, se impune examinarea în cauză a respectării principiului proporţionalităţii, o altă cerinţă imperativă necesar a fi respectată în cazurile de restrângere a exerciţiului unor drepturi sau libertăţi fundamentale, prevăzută expres de art. 53 alin. (2) din Constituţie.
5.Se mai susţine că legea criticată are o largă aplicabilitate-practic, asupra tuturor persoanelor fizice utilizatoare ale serviciilor de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, astfel că nu poate fi considerată ca fiind conformă prevederilor din Constituţie şi din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale referitoare la garantarea drepturilor la viaţă intimă, familială şi privată. Drepturile individuale nu pot fi exercitate in absurdum, ci pot constitui obiectul unor restrângeri care sunt justificate în funcţie de scopul urmărit.
6.Referitor la încălcarea art. 1 alin. (5) din Constituţie, Avocatul Poporului precizează că dispoziţiile constituţionale instituie o obligaţie generală, impusă tuturor subiecţilor de drept, inclusiv puterii legiuitoare, care, în activitatea de legiferare, trebuie să respecte Legea fundamentală a ţării şi să asigure calitatea legislaţiei. Este evident că, pentru a fi aplicat în înţelesul său, un act normativ trebuie să fie precis, previzibil şi totodată să asigure securitatea juridică a destinatarilor săi. Or, Legea pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice nu reglementează criteriile obiective pe baza cărora trebuie stabilită durata stocării datelor cu caracter personal, astfel încât să fie garantată limitarea sa la strictul necesar. Mai mult, legea criticată nu prevede garanţii suficiente care să permită asigurarea unei protecţii eficiente a datelor faţă de riscurile de abuz, precum şi faţă de orice accesare şi utilizare ilicită a datelor cu caracter personal.
7.În concluzie, Avocatul Poporului solicită Curţii Constituţionale să constate neconstituţionalitatea Legii pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, în ansamblu său, în raport cu art. 1 alin. (5), art. 26, art. 53 alin. (2) şi art. 147 alin. (4) din Constituţia României.
8.În conformitate cu dispoziţiile art. 16 alin. (2) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, sesizarea a fost comunicată preşedinţilor celor două Camere ale Parlamentului, precum şi Guvernului, pentru a comunica punctul lor de vedere.
9.Preşedintele Camerei Deputaţilor a transmis prin Adresa nr. 2/3.963/4 septembrie 2014, înregistrată la Curtea Constituţională cu nr. 4.006 din 4 septembrie 2014, punctul său de vedere, în care se arată că sesizarea de neconstituţionalitate este neîntemeiată. În argumentare se arată că prevederile legale criticate întrunesc cerinţele de precizie, claritate şi lipsă de echivoc ale reglementării, cerinţe la care Curtea Constituţională face referire în Decizia nr. 1.258/2009, fiind determinată cu exactitate sfera acelor date necesare identificării persoanelor fizice sau juridice utilizatoare.
10.Preşedintele Camerei Deputaţilor apreciază că, întrucât prelucrarea datelor cu caracter personal are o funcţie de identificare, îi sunt în mod expres aplicabile prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare. Aceste date se bucură aşadar de un regim de protecţie normativă adecvat, dezvoltat, în baza fundamentelor constituţionale, prin lege, astfel cum impune Legea fundamentală. Aşa fiind, prin legea criticată este reglementat exerciţiul unor drepturi în vederea concilierii proporţionale a acestora, într-o societate democratică pluralistă, cu exerciţiul altor drepturi şi libertăţi ale cetăţenilor, la care se face referire în art. 53 alin. (1) din Constituţie, precum şi cu imperativul apărării ordinii publice şi a securităţii naţionale, prevăzut în acelaşi articol.
11.Se mai arată că nici încălcarea art. 1 alin. (5) din Constituţia României nu poate fi susţinută, deoarece legea adoptată nu încalcă principiul legalităţii. Dimpotrivă, ea stabileşte într-o manieră clară, precisă, previzibilă şi predictibilă, un cadru juridic bine definit care ţine de domeniul luptei împotriva criminalităţii organizate şi în mod special a celei cu caracter transfrontalier, precum şi a actelor de terorism. Din această perspectivă teleologică, este evident că normele criticate se află în deplină concordanţă cu principiul proporţionalităţii, pe care orice acţiune a statului trebuie să îl respecte, inclusiv cea de normare. Astfel, scopul prevederilor criticate - rezultatul lor mediat-respectă necesara relaţie de adecvare atât cu raţiunile de facto şi de jure care au justificat adoptarea lor, cât şi cu obiectul lor - rezultatul lor imediat -, câtă vreme constă în crearea unui climat de normalitate şi siguranţă civică menit să asigure protecţia populaţiei, a bunurilor materiale şi valorilor structurante ale societăţii democratice, printre care se numără siguranţa individuală, în contextul specific naţional.
12.Preşedintele Senatului şi Guvernul nu au comunicat punctele lor de vedere asupra obiecţiei de neconstituţionalitate.

CURTEA,

examinând obiecţia de neconstituţionalitate, raportul judecătorului-raportor, punctul de vedere al Camerei Deputaţilor, dispoziţiile Legii pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, precum şi prevederile Constituţiei, reţine următoarele:
13.Curtea a fost legal sesizată şi este competentă, potrivit dispoziţiilor art. 146 lit. a) din Constituţie şi ale art. 1, art. 10, art. 15, art. 16 şi art. 18 din Legea nr. 47/1992, să se pronunţe asupra constituţionalităţii prevederilor legale criticate.
14.Obiectul controlului de constituţionalitate, astfel cum rezultă din sesizarea formulată, îl constituie dispoziţiile Legii pentru modificarea şi completarea Ordonanţei de urgenţă nr. 111/2011 privind comunicaţiile electronice, publicată în Monitorul Oficial al României, Partea I, nr. 925 din 27 decembrie 2011. Prevederile legale reglementează înregistrarea utilizatorilor de cartele preplătite, colectarea şi stocarea datelor utilizatorilor de servicii de comunicaţii, condiţiile de realizare a operaţiunilor tehnice specifice şi responsabilităţile corespunzătoare ce revin furnizorilor de servicii de comunicaţii electronice, instituirea unor sancţiuni pentru încălcarea unor obligaţii prevăzute de lege. De asemenea, legea criticată instituie în sarcina persoanelor juridice care pun la dispoziţia publicului puncte de acces la internet atât obligaţia de a identifica utilizatorii conectaţi la aceste puncte de acces, cât şi obligaţia de a stoca pentru o perioada de 6 luni de la data reţinerii acestora a datelor cu caracter personal, obţinute prin reţinerea datelor de identificare ale utilizatorului sau a numărului de telefon, prin plata cu cardul bancar sau orice altă procedură de identificare care asigură direct sau indirect cunoaşterea identităţii utilizatorului.
15.Dispoziţiile constituţionale pretins a fi încălcate sunt cele ale art. 1 alin. (5) referitoare la obligaţia respectării legii şi a supremaţiei Constituţiei, art. 26 privind viaţa intimă, familială şi privată, art. 53 alin. (2) referitor la restrângerea exerciţiului unor drepturi sau al unor libertăţi şi ale art. 147 alin. (4) privitoare la efectele deciziilor Curţii Constituţionale.
16.În scopul soluţionării obiecţiei de neconstituţionalitate, Curtea apreciază necesar un scurt istoric al legislaţiei europene şi naţionale referitoare la materia reţinerii şi păstrării datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice.
17.Astfel, în scopul asigurării liberei circulaţii a datelor cu caracter personal în cadrul Uniunii Europene, instituţiile europene au adoptat mai multe documente juridice sau norme de recomandare prin care s-a solicitat statelor membre să protejeze drepturile şi libertăţile persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, în special dreptul la viaţă privată.
18.La nivelul Uniunii, păstrarea şi utilizarea datelor în scopul aplicării legii au fost abordate pentru prima dată de Directiva 97/66/CE a Parlamentului European şi a Consiliului din 15 decembrie 1997 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul telecomunicaţiilor. Această directivă a prevăzut pentru prima dată posibilitatea ca statele membre să adopte astfel de măsuri legislative dacă este necesar pentru protecţia securităţii publice, a apărării sau a ordinii publice, inclusiv a bunăstării economice a statului, atunci când activităţile se referă la securitatea statului şi la aplicarea dreptului penal.
19.Un document important din această perspectivă îl constituie Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice) în temeiul căreia sunt armonizate dispoziţiile în domeniu ale statelor membre, în vederea asigurării unui nivel echivalent de protecţie a drepturilor şi libertăţilor fundamentale, mai ales a dreptului la confidenţialitatea datelor personale, în domeniul prelucrării de date personale în sectorul comunicaţiilor electronice şi a liberei circulaţii a acestor date şi a serviciilor aferente în interiorul Uniunii. Principiul general aplicabil impus de directivă stabileşte că aceste date privind traficul, generate de utilizarea serviciilor de comunicaţii electronice trebuie să fie şterse sau trecute în anonimat atunci când nu mai sunt necesare pentru transmiterea unei comunicaţii, cu excepţia cazului în care, şi numai atât timp cât, acestea sunt necesare pentru facturare sau atunci când a fost obţinut consimţământul abonatului sau al utilizatorului.
20.Aceeaşi directivă precizează că, în anumite condiţii, statele membre pot limita domeniul de aplicare al acestui principiu, prin reglementarea unor restricţii necesare, adecvate şi proporţionale, proprii unei societăţi democratice, impuse de garantarea siguranţei naţionale, apărare, siguranţă publică sau prevenirea, cercetarea, detectarea şi urmărirea penală a infracţiunilor sau a utilizării neautorizate a sistemelor de comunicaţii electronice. În acest sens, în Concluziile Consiliului de Justiţie şi Afaceri Interne din decembrie 2002 s-a apreciat că este esenţial ca statele membre să adopte un regim juridic unitar şi armonizat, care să îndeplinească condiţiile impuse de realizarea echilibrului între interesul personal şi interesul social, în consens cu principiile generale necesare funcţionării unui stat de drept.
21.Ulterior a fost adoptată Directiva 2006/24/CE a Parlamentului European şi a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modificare a Directivei 2002/58/CE. Cadrul legal reglementat de această directivă se referă numai la acele date generate sau prelucrate ca urmare a unei comunicaţii sau a unui serviciu de comunicaţii şi nu se referă la date care să reprezinte şi conţinutul acestor informaţii.
22.În temeiul art. 14 din Directiva 2006/24/CE, Comisia Europeană a întocmit un raport către Consiliu şi către Parlamentul European - COM(2011) 225 final din 18 aprilie 2011, în care a analizat aplicarea directivei de către statele membre şi impactul acesteia asupra operatorilor economici şi a consumatorilor. În acesta se precizează că "Ponderea utilizatorilor de telefonie mobilă care folosesc servicii preplătite variază în UE. Unele state membre au susţinut că, în special atunci când sunt achiziţionate într-un alt stat membru, cartelele SIM preplătite, ai căror posesori nu sunt identificaţi, ar putea fi, de asemenea, utilizate de persoane implicate în activităţi infracţionale ca mijloc de evitare a identificării în cursul cercetării penale. Şase state membre (Danemarca, Spania, Italia, Grecia, Slovacia şi Bulgaria) au adoptat măsuri care necesită înregistrarea cartelor SIM preplătite. Acestea şi alte state membre (Polonia, Cipru, Lituania) au susţinut opţiunea adoptării de măsuri la nivelul U.E. pentru înregistrarea obligatorie a identităţii utilizatorilor de servicii preplătite. Eficacitatea acestor măsuri naţionale nu a fost dovedită. Au fost evidenţiate limitări potenţiale, de exemplu, în cazurile de furt de identitate sau atunci când cartela SIM este achiziţionată de un terţ ori atunci când un utilizator activează serviciul de roaming prin conectarea cu o cartelă cumpărată într-o ţară terţă. în general, Comisia nu este convinsă de necesitatea de a acţiona în acest domeniu la nivelul U.E."
23.În anul 2008, Directiva 2006/24/CE a fost transpusă în legislaţia naţională prin Legea nr. 298/2008 privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, precum şi pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr. 780 din 21 noiembrie 2008. Însă, în urma efectuării controlului de constituţionalitate declanşat prin invocarea unei excepţii de neconstituţionalitate, legea a fost declarată neconstituţională prin Decizia Curţii Constituţionale nr. 1.258 din 8 octombrie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 798 din 23 noiembrie 2009.
24.A doua transpunere a Directivei 2006/24/CE a fost realizată în anul 2012, prin Legea nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, lege republicată în Monitorul Oficial al României, Partea I, nr. 211 din 25 martie 2014. Legea nr. 82/2012 nu conţine nicio prevedere referitoare la cartelele SIM preplătite sau la conectarea la punctele de acces la internet puse la dispoziţia publicului.
25.Directiva 2006/24/CE a fost declarată nevalidă prin Hotărârea din 8 aprilie 2014 a Curţii de Justiţie a Uniunii Europene, pronunţată în cauzele conexate C-293/12 - Digital Rights Ireland LTD împotriva Minister for Communicatios, Marine and natural Resources şi alţii şi C-594/12 - Kartner Landesregierung şi alţii. Prin hotărârea pronunţată, instanţa europeană a constatat că directiva analizată încalcă dispoziţiile art. 7, art. 8 şi art. 52 alin. (2) din Carta drepturilor fundamentele a Uniunii Europene, care consacră dreptul la respectarea vieţii private, dreptul la protecţia datelor cu caracter personal şi principiul proporţionalităţii.
26.Recent, în urma efectuării controlului de constituţionalitate al Legii nr. 82/2012, prin Decizia nr. 440 din 8 iulie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 653 din 4 septembrie 2014, Curtea Constituţională a constatat neconstituţionalitatea legii interne.
27.Curtea observă că Ordonanţa de urgenţă a Guvernului nr. 111/2011, publicată în Monitorul Oficial al României, Partea I, nr. 925 din 27 decembrie 2011, aprobată cu modificări şi completări prin Legea nr. 140/2012, reglementează materia cu caracter general a comunicaţiilor electronice. Ordonanţa de urgenţă transpune o serie de directive care reglementează autorizarea reţelelor şi serviciilor de comunicaţii electronice (Directiva 2002/20/CE a Parlamentului European şi a Consiliului din 7 martie 2002), cadru de reglementare comun pentru reţelele şi serviciile de comunicaţii electronice (Directiva 2002/21/CE a Parlamentului European şi a Consiliului din 7 martie 2002), accesul la reţelele de comunicaţii electronice şi la infrastructura asociată, precum şi interconectarea acestora (Directiva 2002/19/CE a Parlamentului European şi a Consiliului din 7 martie 2002), serviciul universal şi drepturile utilizatorilor cu privire la reţelele şi serviciile electronice de comunicaţii (Directiva 2002/22/CE a Parlamentului European şi a Consiliului din 7 martie 2002), precum şi alte directive prin care s-au modificat şi completat actele normative menţionate mai sus. Ordonanţa de urgenţă reglementează, în principal, drepturile şi obligaţiile furnizorilor de reţele şi de servicii de comunicaţii electronice, regimul resurselor limitate, drepturile utilizatorilor finali, serviciul universal, obligaţiile furnizorilor de reţele şi servicii de comunicaţii electronice cu putere semnificativă pe piaţă.
28.Guvernul României, iniţiatorul proiectului de lege pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, lege supusă prezentului control de constituţionalitate, a avut în vedere completarea cadrului legislativ în materia comunicaţiilor electronice. Schimbările preconizate prin noua reglementare vizează înregistrarea utilizatorilor de cartele preplătite, identificarea utilizatorilor conectaţi la punctele de acces de internet puse la dispoziţie de persoanele juridice, colectarea şi stocarea datelor utilizatorilor de servicii de comunicaţii, condiţiile de realizare a operaţiunilor tehnice specifice şi responsabilităţile corespunzătoare ce revin furnizorilor de servicii de comunicaţii electronice, termenul de păstrare a datelor cu caracter personal, precum şi instituirea unor sancţiuni pentru încălcarea unor obligaţii prevăzute de lege. Iniţiativa legislativă a fost motivată de necesitatea adoptării unor măsuri care să faciliteze activităţile de cercetare penală ori cele pentru cunoaşterea, prevenirea şi contracararea riscurilor ori ameninţărilor la adresa securităţii naţionale.
29.Cu privire la măsurile propuse, Consiliul Legislativ a avizat favorabil proiectul de lege prin Avizul nr. 353 din 7 iulie 2014, dar a semnalat existenţa mai multor acte normative care reglementează acest domeniu, în principal, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, precum şi Legea nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. Consiliul Legislativ a remarcat că unele norme din proiect sunt similare cu cele din Legea nr. 82/2012, rezultând astfel o dublă reglementare. Ca atare, având în vedere obiectul de reglementare al proiectului de lege supus avizării, precum şi dispoziţiile Legii nr. 82/2012, a supus analizei iniţiatorului posibilitatea regândirii actului normativ ca un proiect de modificare şi completare a respectivei legi, considerând că, în caz contrar, aplicarea prevederilor sale ar fi de natură a crea dificultăţi tehnice şi practice. Proiectul de lege a fost însă adoptat de Parlamentul României, în formă iniţiată de Guvern.
30.Premisele controlului de constituţionalitate. Deşi legea criticată are ca obiect de reglementare modificarea cadrului normativ general cu privire la comunicaţiile electronice, din examinarea argumentelor prezentate de iniţiatorul proiectului de lege în "Expunerea de motive", a avizului Consiliului Legislativ, precum şi a modificărilor operate prin dispoziţiile legii, rezultă că, în realitate, actul normativ completează cadrul legislativ privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, cadru reglementat prin Legea nr. 82/2012. Sub acest aspect, Curtea Constituţională constată maniera defectuoasă în care legiuitorul a înţeles să aplice normele de tehnică legislativă necesare elaborării actelor normative, norme prevăzute expres de Legea nr. 24/2000.
31.Cu privire la dispoziţiile Legii nr. 82/2012, în urma efectuării controlului de constituţionalitate, prin Decizia nr. 440 din 8 iulie 2014, Curtea a constatat neconstituţionalitatea acestui act normativ, în ansamblu, întemeindu-şi soluţia pe următoarele considerente de principiu: "prevederile art. 26, art. 28 şi art. 30 din Constituţie reglementează dreptul la viaţă intimă, familială şi privată, secretul corespondenţei, precum şi libertatea de exprimare, condiţii în care obiectul de reglementare al legii criticate intră în sfera de protecţie a acestor texte constituţionale. Legea criticată, antamând probleme ce ţin de protecţia drepturilor constituţionale invocate, reprezintă o intervenţie legislativă în sfera acestora, motivată chiar de scopul acestei legi, care coincide, la nivel naţional, cu cel al Directivei 2006/24/CE şi constă în prevenirea, descoperirea şi cercetarea infracţiunilor grave de către organele de urmărire penală, instanţele de judecată şi organele de stat cu atribuţii în domeniul siguranţei naţionale, scop pe deplin realizat prin legea supusă controlului de constituţionalitate.
Analizând dispoziţiile Legii nr. 82/2012, precum şi considerentele de principiu cuprinse în Hotărârea Curţii de Justiţie a Uniunii Europene din 8 aprilie 2014, prin care Directiva 2006/24/CE a fost declarată nevalidă, şi în Decizia Curţii Constituţionale nr. 1.258 din 8 octombrie 2009, Curtea reţine că acestea sunt aplicabile, în principiu, şi Legii nr. 82/2012.
În primul rând, ingerinţa în drepturile fundamentale privind viaţa intimă, familială şi privată, secretul corespondenţei şi libertatea de exprimare este de o mare amploare şi trebuie considerată ca fiind deosebit de gravă, iar împrejurarea că păstrarea datelor şi utilizarea lor ulterioară sunt efectuate fără ca abonatul sau utilizatorul înregistrat să fie informat cu privire la aceasta este susceptibilă să imprime în conştiinţa persoanelor vizate sentimentul că viaţa lor privată face obiectul unei supravegheri constante.
În al doilea rând, datele care fac obiectul reglementării, deşi au un caracter predominant tehnic, sunt reţinute în scopul furnizării informaţiilor cu privire la persoana şi viaţa sa privată. Chiar dacă. potrivit art. 1 alin. (3) din lege, aceasta nu se aplică şi conţinutului comunicării sau informaţiilor consultate în timpul utilizării unei reţele de comunicaţii electronice, celelalte date reţinute, având ca scop identificarea apelantului şi a apelatului, respectiv a utilizatorului şi a destinatarului unei informaţii comunicate pe cale electronică, a sursei, destinaţiei, datei, orei şi duratei unei comunicări, a tipului de comunicare, a echipamentului de comunicaţie sau a dispozitivelor folosite de utilizator, a locaţiei echipamentului de comunicaţii mobile, precum şi a altor «date necesare» - nedefinite în lege -, sunt de natură să prejudicieze manifestarea liberă a dreptului la comunicare sau la exprimare. În concret, datele avute în vedere conduc la concluzii foarte precise privind viaţa privată a persoanelor ale căror date au fost păstrate, concluzii ce pot viza obiceiurile din viaţa cotidiană, locurile de şedere permanentă sau temporară, deplasările zilnice sau alte deplasări, activităţile desfăşurate, relaţiile sociale ale acestor persoane şi mediile sociale frecventate de ele. Or, o atare limitare a exerciţiului dreptului la viaţă intimă, familială şi privată şi la secretul corespondenţei, precum şi a libertăţii de exprimare trebuie să aibă loc într-o manieră clară, previzibilă şi lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului autorităţilor în acest domeniu.
În al treilea rând, legea criticată nu cuprinde norme clare şi precise cu privire la conţinutul şi aplicarea măsurii reţinerii şi utilizării, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, că accesul autorităţilor naţionale la datele stocate nu este condiţionat, în toate cazurile, de controlul prealabil efectuat de către o instanţă sau de o entitate administrativă independentă, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă." (paragrafele 53, 54, 55, 56 şi 57).
32.Mai mult, analizând mecanismul reţinerii datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, Curtea a distins două etape, prima fiind aceea a reţinerii şi stocării datelor, iar cea de-a doua, aceea a accesului la aceste date şi a folosirii lor. Astfel, "Reţinerea şi stocarea datelor, care în mod firesc este prima operaţiune din punct de vedere cronologic, revine, ca obligaţie, furnizorilor de reţele publice şi de servicii de comunicaţii electronice destinate publicului. Această operaţiune este una tehnică, fiind realizată automat în baza unor programe informatice atâta timp cât legea prevede obligaţia furnizorilor desemnaţi de lege de a reţine respectivele date. Întrucât atât potrivit Directivei 2006/24/CE, cât şi conform Legii nr. 82/2012, scopul reţinerii şi stocării este unul general, urmărindu-se garantarea siguranţei naţionale, a apărării, precum şi prevenirea, cercetarea, detectarea şi urmărirea penală a infracţiunilor grave, reţinerea şi stocarea nefiind legate şi determinate de un caz concret, apare ca evident caracterul continuu al obligaţiei furnizorilor de reţele publice de comunicaţii electronice şi a furnizărilor de servicii electronice de a reţine aceste date pe întreaga perioadă prevăzută expres de cadrul normativ în vigoare, respectiv pe o perioadă de 6 luni, conform Legii nr. 82/2012. De asemenea, în această etapă, fiind vorba exclusiv de reţinerea şi stocarea unei mase de informaţii, identificarea ori localizarea celor care sunt subiecţii unei comunicaţii electronice nu se realizează în concret, aceasta urmând a avea loc abia în a doua etapă, după ce este permis accesul la date şi utilizarea acestora.
Curtea apreciază că tocmai datorită naturii şi specificului primei etape, din moment ce legiuitorul consideră necesară reţinerea şi stocarea datelor, prin ea însăşi doar această operaţiune nu contravine dreptului la viaţă intimă, familială şi privată, ori secretului corespondenţei. Nici Constituţia şi nici jurisprudenţa Curţii Constituţionale nu interzic stocarea preventivă, fără o ocazie anume a datelor de trafic şi de localizare, cu condiţia însă ca accesul la aceste date şi utilizarea lor să fie însoţite de garanţii şi să respecte principiul proporţionalităţii." (paragrafele 59 şi 60).
33.Având în vedere modificările propuse prin legea supusă în prezent controlului de constituţionalitate, argumentele reţinute de Curte în fundamentarea soluţiei de neconstituţionalitate a dispoziţiilor Legii nr. 82/2012, precum şi faptul că, în ceea ce priveşte mecanismul de reţinere a datelor, dispoziţiile criticate vizează prima etapă a reţinerii şi stocării datelor de către furnizorii de telefonie mobilă cu cartele preplătite, respectiv de către furnizorii de puncte de acces la internet, Curtea urmează a analiza în ce măsură considerentele Deciziei nr. 440 din 8 iulie 2014 sunt incidente şi în prezenta cauză.
34.Analiza dispoziţiilor criticate. Articolul I pct. 1 din lege prevede completarea dispoziţiilor art. 4 din Ordonanţa de urgenţă a Guvernului nr. 111/2011 referitoare la definirea unor termeni, cu trei definiţii, pct. 55, 56 şi 57, astfel "55. date necesare pentru identificarea unui abonat sau utilizator - numărul de telefon ori identificatorul serviciului de comunicaţii cu plata în avans sau cu plata ulterioară, împreună cu numele, prenumele şi codul numeric personal, seria şi numărul documentului de identitate, respectiv ţara emitentă - în cazul cetăţenilor străini -, denumirea şi codul de identificare fiscală - în cazul persoanelor juridice, precum şi numele, prenumele şi codul numeric personal al reprezentantului legal al persoanei juridice, după caz; 56. identificatorul serviciului - codul unic de identificare alocat unui serviciu de acces la internet ori la un serviciu de comunicaţii, inclusiv prin internet; 57. document de identitate - cartea de identitate, cartea electronică de identitate, paşaportul sau permisul de conducere.
35.Prin Decizia nr. 1.258 din 8 octombrie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 798 din 23 noiembrie 2009, Curtea Constituţională reţinea că "lipsa unei reglementări legale precise, care să determine cu exactitate sfera acelor date necesare identificării persoanelor fizice sau juridice utilizatoare, deschide posibilitatea unor abuzuri în activitatea de reţinere, prelucrare şi utilizare a datelor stocate de furnizorii serviciilor de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii. Limitarea exerciţiului dreptului la viaţă intimă şi la secretul corespondenţei şi a libertăţii de exprimare, de asemenea, trebuie să aibă loc într-o manieră clară, previzibilă şi lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrariului sau a abuzului autorităţilor în acest domeniu".
36.Prin norma criticată, legiuitorul a reglementat expres datele necesare pentru identificarea unui abonat sau utilizator, prevăzând, pe lângă nume/denumire şi numărul de telefon ori identificatorul serviciului de comunicaţii, codul numeric personal, seria şi numărul documentului de identitate şi ţara emitentă, în privinţa persoanelor fizice, respectiv codul de identificare fiscală, în privinţa persoanelor juridice. Trebuie subliniat faptul că obligaţia reţinerii codului numeric personal, a seriei şi numărului documentului de identitate, respectiv a codului de identificare fiscală necesare pentru identificarea unui abonat sau utilizator nu era prevăzută de Legea nr. 82/2012, baza de date constituită conform prevederilor art. 4 din această lege referindu-se, atât în cazul reţelelor de telefonie fixă şi de telefonie mobilă, cât şi în cazul serviciilor de acces la internet, poştă electronică şi telefonie prin internet, doar la numărul de telefon, precum şi la numele şi adresa abonatului sau ale utilizatorului înregistrat. Aşa fiind, din perspectiva argumentelor reţinute de Curte în Decizia nr. 1.258 din 8 octombrie 2009, criticile referitoare la claritatea şi previzibilitatea normei nu mai subzistă, întrucât noua normă determină cu exactitate sfera datelor necesare identificării, însă, având în vedere suplimentarea datelor solicitate abonatului sau utilizatorului, precum şi caracterul lor strict personal, dispoziţiile legale modificatoare ar fi trebuit să fie completate în mod corespunzător cu prevederi care să asigure standarde sporite în materie de protecţie şi securitate a acestora de-a lungul întregului proces de reţinere, stocare şi utilizare, tocmai pentru a reduce la minimum riscul de încălcare a dreptului la viaţă intimă, familială şi privată, secretul corespondenţei, precum şi libertatea de exprimare a cetăţenilor. Or, Curtea constată că Legea pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 nu operează nicio modificare în materia garanţiilor protecţiei acestor drepturi, astfel că motivele pe care s-a fundamentat soluţia de neconstituţionalitate a Legii nr. 82/2012 sunt cu atât mai justificate în această cauză.
37.Mai mult, legea dedusă controlului de constituţionalitate nu numai că nu stabileşte garanţii şi măsuri de securitate tehnice şi operaţionale, ci lărgeşte sfera subiectelor de drept cărora le incumbă obligaţia de a reţine şi stoca datele generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului.
38.Astfel, art. I pct. 3 din legea criticată, referitor la completarea art. 51 din Ordonanţa de urgenţă a Guvernului nr. 111/2011, cu un nou alineat, alineatul (11), prevede următoarele: "(11) Achiziţionarea serviciilor de comunicaţii electronice pentru care plata se face în avans este condiţionată de completarea de către utilizator a unui formular tipizat, pe format hârtie sau în format electronic securizat, pus la dispoziţie de către furnizor, cu datele personale de identificare."În vreme ce primele 10 alineate ale art. 51 reglementează cadrul general privind conţinutul contractelor încheiate între furnizori şi utilizatorii finali pentru a beneficia de servicii de acces şi conectare la reţele publice de comunicaţii electronice ori de servicii de comunicaţii electronice destinate publicului, deci a unor acte juridice care implică acordul de voinţă a celor două părţi contractante (pe de o parte, operatorii de servicii de comunicaţii electronice destinate publicului sau persoanele împuternicite să acţioneze ca intermediari în operaţiuni comerciale specifice - dealeri - şi, pe de altă parte, persoanele fizice sau juridice beneficiari ai serviciilor prestate de aceştia), acte prin care sunt stabilite drepturi şi obligaţii reciproce, în cazul serviciilor de comunicaţii electronice pentru care plata se face în avans, norma modificatoare face vorbire doar despre completarea unui formular tipizat pus la dispoziţia utilizatorului de către furnizor. Or, noua reglementare este de natură a genera confuzii din cel puţin două perspective. În primul rând, norma nu determină cu exactitate sfera persoanelor care pun la dispoziţie formularul tipizat şi care, astfel, colectează aceste date, respectiv dacă aceasta se referă doar la furnizorii de servicii de comunicaţii electronice destinate publicului şi la persoanele împuternicite de aceştia ca intermediari (dealeri) sau cuprinde şi alţi distribuitori prin intermediul cărora se vând servicii de comunicaţii electronice pentru care plata se face în avans (aşa cum se petrece, în prezent, pe piaţa serviciilor de telefonie şi internet preplătite), împrejurare care creează premisele săvârşirii unor abuzuri în activitatea de reţinere, prelucrare şi utilizare a datelor stocate. În al doilea rând nu apare cu certitudine dacă obligaţiei ce revine utilizatorului privind completarea formularului tipizat (care reprezintă, cel puţin în aparenţă, un act juridic unilateral), îi corespunde sau nu o obligaţie corelativă din partea persoanei care colectează datele cu caracter personal de a garanta confidenţialitatea, securitatea şi utilizarea acestor date potrivit scopului stabilit de lege, atâta vreme cât depozitarii formularelor tipizate doar receptează aceste documente, fără a avea angajată din punct de vedere juridic vreo răspundere în acest sens. Aceasta cu atât mai mult cu cât, potrivit dispoziţiilor art. 46 alin. (1) şi (2) din Ordonanţa de urgenţă a Guvernului nr. 111/2011, obligaţia de a lua toate măsurile tehnice şi organizatorice adecvate pentru a administra riscurile care pot afecta securitatea reţelelor şi serviciilor, măsuri menite să asigure un nivel de securitate corespunzător riscului identificat şi să prevină sau să minimizeze impactul incidentelor de securitate asupra utilizatorilor şi reţelelor interconectate, având în vedere cele mai noi tehnologii, revine doar furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, iar nu şi altor persoane care intermediază achiziţionarea serviciilor de comunicaţii electronice pentru care plata se face în avans.
39.O situaţie similară, sub aspectul nerespectării condiţiilor de claritate şi previzibilitate a normei, o reprezintă cea prevăzută de art. I pct. 4 din legea criticată, referitoare la introducerea unui nou articol în Ordonanţa de urgenţă a Guvernului nr. 111/2011, art. 732, cu următorul cuprins:
"(1) Persoanele juridice care pun la dispoziţia publicului puncte de acces la internet sunt obligate să identifice utilizatorii conectaţi la aceste puncte.
(2) Identificarea prevăzută la alin. (1) se face prin reţinerea datelor de identificare ale utilizatorului sau a numărului de telefon, prin plata cu cardul bancar sau orice altă procedură de identificare care asigură direct sau indirect cunoaşterea identităţii utilizatorului.
(3) Datele cu caracter personal reţinute potrivit alin. (2) se păstrează pentru o perioadă de 6 luni de la data reţinerii acestora.
(4) Prelucrării datelor cu caracter personal reţinute potrivit alin. (2) îi sunt aplicabile prevederile Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare."
40.Norma modificatoare lărgeşte sfera persoanelor obligate să identifice utilizatorii serviciilor de comunicaţii electronice, prevăzând expres în sarcina persoanelor juridice care pun la dispoziţia publicului puncte de acces la internet obligaţia reţinerii datelor de identificare ale utilizatorilor; numărul de telefon ori identificatorul serviciului de comunicaţii cu plata în avans sau cu plata ulterioară; numele, prenumele şi codul numeric personal, seria şi numărul documentului de identitate, respectiv ţara emitentă - în cazul cetăţenilor străini; datele de identificare care rezultă prin plata cu cardul bancar; orice altă procedură de identificare care asigură direct sau indirect cunoaşterea identităţii utilizatorului. Obligaţia de reţinere este dublată de obligaţia de păstrare a datelor pentru o perioadă de 6 luni de la data reţinerii lor.
41.În prezent, persoanele juridice care pun la dispoziţia publicului puncte de acces la internet sunt persoane juridice private, în special în spaţii comerciale şi de agrement, cafenele, restaurante, hoteluri, aeroporturi etc., sau persoane juridice de drept public - instituţii publice care oferă cetăţenilor accesul direct şi rapid la informaţii de interes public (inclusiv cele distribuite pe paginile de internet proprii), precum primării, instituţii de învăţământ, biblioteci publice, clinici medicale, teatre etc. Instituirea în sarcina acestor persoane a obligaţiei de a reţine şi de a stoca date cu caracter personal impune, în mod corelativ, reglementarea expresă a unor măsuri adecvate, ferme şi neechivoce, de natură să asigure încrederea cetăţenilor că datele cu vădit caracter personal pe care le pun la dispoziţie sunt înregistrate şi păstrate în condiţii de confidenţialitate. Sub acest aspect, legea se limitează la a institui măsurile de reţinere şi stocare a datelor, fără a modifica sau completa dispoziţiile legale cu privire la garanţiile pe care statul trebuie să le asigure în exercitarea drepturilor fundamentale ale cetăţenilor. Or, cadrul normativ într-un domeniu atât de sensibil trebuie să se realizeze într-o manieră clară, previzibilă şi lipsită de confuzie, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrariului sau a abuzului celor chemaţi să aplice dispoziţiile legale.
42.De asemenea, prevederea potrivit căreia identificarea se realizează prin "orice altă procedură de identificare"care asigură direct sau indirect cunoaşterea identităţii utilizatorului constituie o reglementare imprecisă, de natură să creeze premisele unor abuzuri în activitatea de reţinere şi stocare a datelor de către persoanele juridice aflate în ipoteza normei.
43.Reţinerea şi păstrarea datelor constituie în mod evident o limitare a dreptului la protecţia datelor cu caracter personal, respectiv a drepturilor fundamentale protejate constituţional referitoare la viaţă intimă, familială şi privată, la secretul corespondenţei, precum şi libertatea de exprimare. O astfel de limitare poate opera însă în conformitate cu dispoziţiile art. 53 din Constituţie, care prevăd posibilitatea restrângerii exerciţiului unor drepturi sau al unor libertăţi numai prin lege şi numai dacă se impune, după caz, pentru apărarea securităţii naţionale, a ordinii, a sănătăţii ori a moralei publice, a drepturilor şi a libertăţilor cetăţenilor, pentru desfăşurarea instrucţiei penale, prevenirea consecinţelor unei calamităţi naturale, ale unui dezastru ori ale unui sinistru deosebit de grav. Măsura restrângerii poate fi dispusă numai dacă este necesară într-o societate democratică, trebuie să fie proporţională cu situaţia care a determinat-o, să fie aplicată în mod nediscriminatoriu şi fără a aduce atingere existenţei dreptului sau a libertăţii.
44.Or, în condiţiile în care măsurile adoptate prin legea supusă controlului de constituţionalitate nu au un caracter precis şi previzibil, ingerinţa statului în exercitarea drepturilor mai sus menţionate, deşi prevăzută de lege, nu este formulată clar, riguros şi exhaustiv pentru a oferi încredere cetăţenilor, caracterul strict necesar într-o societate democratică nu este pe deplin justificat, iar proporţionalitatea măsurii nu este asigurată prin reglementarea unor garanţii corespunzătoare, Curtea constată că dispoziţiile Legii pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice încalcă prevederile art. 1 alin. (5), art. 26, art. 28, art. 30 şi art. 53 din Constituţie. Aşadar, limitarea exerciţiului acestor drepturi personale în considerarea unor drepturi colective şi interese publice, ce vizează siguranţa naţională, ordinea publică sau prevenţia penală, rupe justul echilibru care ar trebui să existe între interesele şi drepturile individuale, pe de o parte, şi cele ale societăţii, pe de altă parte, legea criticată nereglementând garanţii suficiente care să permită asigurarea unei protecţii eficiente a datelor faţă de riscurile de abuz, precum şi faţă de orice accesare şi utilizare ilicită a datelor cu caracter personal.
45.Distinct de cele analizate mai sus, Curtea observă că, dacă în ipoteza modificărilor care vizează achiziţionarea serviciilor de comunicaţii electronice pentru care plata se face în avans, legiuitorul a acordat un termen de 12 luni în care utilizatorii pot opta pentru menţinerea serviciului şi completarea formularului tipizat, sub sancţiunea suspendării serviciului furnizat la împlinirea acestui termen, în situaţia persoanelor juridice care pun la dispoziţia publicului puncte de acces la internet, obligaţiile de reţinere şi stocare a datelor prevăzute de lege iau naştere la data intrării în vigoare a actului normativ. Astfel, legiuitorul nu a prevăzut o normă tranzitorie, care să permită acestor din urmă persoane conformarea la noile prevederi, fără a afecta dreptul utilizatorilor de a accesa internetul în perioada de graţie pusă la dispoziţie.
46.În concluzie, Curtea apreciază că, deşi nici Constituţia şi nici jurisprudenţa Curţii Constituţionale nu interzic stocarea preventivă, fără o ocazie anume, a datelor de trafic şi de localizare, modalitatea prin care sunt obţinute şi stocate datele necesare pentru identificarea utilizatorilor serviciilor de comunicaţii electronice pentru care plata se face în avans, respectiv a utilizatorilor conectaţi la puncte de acces la internet nu respectă condiţiile impuse de principiul proporţionalităţii, nu oferă garanţii care să asigure confidenţialitatea datelor cu caracter personal, aducând atingere însăşi esenţei drepturilor fundamentale referitoare la viaţă intimă, familială şi privată sila secretul corespondenţei, precum şi libertăţii de exprimare.
47.De asemenea, Curtea reţine incidenţa în prezenta cauză a considerentelor Deciziei nr. 440 din 8 iulie 2014, întrucât actul normativ dedus controlului de constituţionalitate nu reprezintă în fapt decât o completare a dispoziţiilor Legii nr. 82/2012, preluând parţial soluţii legislative acolo reglementate, dar care au încetat să mai producă efecte juridice ca urmare a constatării neconstituţionalităţii lor.
48.Aşa cum s-a arătat în prealabil, deşi legea criticată are ca titulatură modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice, din examinarea argumentelor prezentate de iniţiatorul proiectului de lege în "Expunerea de motive", precum şi a modificărilor operate prin dispoziţiile legii, rezultă că, în realitate, actul normativ completează cadrul legislativ privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, cadru reglementat prin Legea nr. 82/2012. Completarea vizează lărgirea sferei stabilite de această lege privind utilizatorii de comunicaţii electronice ale căror date personale urmează a fi reţinute şi stocate, reglementând înregistrarea utilizatorilor de cartele preplătite, precum şi colectarea şi stocarea datelor utilizatorilor de internet prin intermediul punctelor de acces puse la dispoziţie de persoane juridice. Or, maniera defectuoasă în care legiuitorul a înţeles să modifice cadrul legislativ existent generează grave probleme de interpretare şi aplicare a legii - completând doar sfera persoanelor care utilizează serviciile de comunicaţii electronice, precum şi baza de date care urmează să fie stocată pentru o anumită perioadă şi impunând obligaţii de reţinere şi stocare în sarcina persoanelor juridice care pun la dispoziţia publicului servicii de comunicaţii electronice pentru care plata se face în avans sau puncte de acces la internet -, operaţiuni care se încadrează în prima etapă delimitată de Curtea Constituţională prin Decizia nr. 440 din 8 iulie 2014, aceea a reţinerii şi stocării datelor, legea omite să reglementeze cu privire la cea de-a doua etapă, respectiv cea referitoare la modalitatea în care vor fi accesate şi utilizate aceste date. Astfel, dispoziţiile modificatoare nu prevăd nicio normă de trimitere la Legea nr. 82/2012, care constituie cadrul general de reglementare a procedurilor de acces la datele reţinute (tipul de date accesate, persoanele care pot solicita accesul, condiţiile de autorizare, scopul în care pot fi utilizate aceste date, controlul asupra operaţiunilor desfăşurate etc.), şi nici nu reglementează distinct, de sine-stătător, aceste proceduri. Prin urmare, legea criticată, în ansamblul său, este lacunară, confuză şi, astfel, susceptibilă de a genera abuzuri în activitatea de punere în aplicare a dispoziţiilor sale. Sub aceste aspecte, dispoziţiile legale nu numai că relativizează garanţiile de siguranţă a reţinerii şi păstrării datelor, neimpunând standarde corespunzătoare de asigurare a nivelului de securitate şi confidenţialitate care să poată fi controlate efectiv, aşa cum a reţinut Curtea în argumentarea soluţiei pronunţate prin Decizia nr. 440 din 8 iulie 2014, ci, prin lipsa oricărei reglementări cu privire la modalitatea de accesare şi utilizare a datelor cu caracter personal, legea este viciată în mod iremediabil.
49.Având în vedere toate aceste argumente, Curtea apreciază că obiecţia de neconstituţionalitate având ca obiect dispoziţiile Legii pentru modificarea şi completarea Ordonanţei de urgenţă nr. 111/2011 privind comunicaţiile electronice este întemeiată şi constată neconstituţionalitatea actului normativ în ansamblul său.
50.Pentru considerentele arătate, în temeiul art. 146 lit. a) şi al art. 147 alin. (4) din Constituţie, precum şi al art. 11 alin. (1) lit. A.a), al art. 15 alin. (1) şi al art. 18 alin. (2) din Legea nr. 47/1992, cu majoritate de voturi,

CURTEA CONSTITUŢIONALĂ

În numele legii

DECIDE:

Admite obiecţia de neconstituţionalitate şi constată că Legea pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice este neconstituţională, în ansamblul ei.
Definitivă şi general obligatorie.
Decizia se comunică Preşedintelui României, preşedinţilor celor două Camere ale Parlamentului şi prim-ministrului şi se publică în Monitorul Oficial al României, Partea I.
Pronunţată în şedinţa din data de 16 septembrie 2014.
-****-

PREŞEDINTELE CURŢII CONSTITUŢIONALE

AUGUSTIN ZEGREAN

Magistrat-asistent-şef,

Mihaela Senia Costinescu

*
OPINIE SEPARATĂ
În dezacord cu soluţia de admitere a obiecţiei de neconstituţionalitate, considerăm că dispoziţiile Legii pentru modificarea şi completarea Ordonanţei de urgenţă a Guvernului nr. 111/2011 privind comunicaţiile electronice sunt constituţionale sub aspectul obligaţiei înregistrării utilizatorilor de cartele preplătite, precum şi de identificare a utilizatorilor conectaţi la punctele de acces la internet.
Astfel, considerăm că nu se justifică o diferenţă de regim juridic sub acest aspect între utilizatorii de cartele preplătite şi abonaţii serviciilor de telefonie, care sunt supuşi obligaţiei de înregistrare şi identificare în condiţiile legii. Instituirea acestei obligaţii pentru abonaţi, pe lângă raţiunea asigurării plăţii serviciilor prestate acestora, asigură şi posibilitatea unor măsuri ce se subsumează combaterii fenomenului infracţional, în special a criminalităţii organizate şi actelor de terorism. Realizarea acestui obiectiv, care vizează, în esenţă, binele public, este în aceeaşi măsură necesară şi în cazul utilizatorilor de cartele preplătite, justificând ingerinţa reglementată de lege. Această ingerinţă este în concordanţă cu prevederile art. 53 din Constituţie care prevăd posibilitatea restrângerii exerciţiului unor drepturi sau al unor libertăţi numai prin lege şi numai dacă se impune, după caz, pentru apărarea securităţii naţionale, a ordinii, a sănătăţii ori a moralei publice, a drepturilor şi libertăţilor cetăţenilor, pentru desfăşurarea instrucţiei penale, prevenirea consecinţelor unei calamităţi naturale, ale unui dezastru ori ale unui sinistru deosebit de grav; măsura restrângerii poate fi dispusă numai dacă este necesară într-o societate democratică, trebuie să fie proporţională cu situaţia care a determinat-o, să fie aplicată în mod nediscriminatoriu şi fără a aduce atingere existenţei dreptului sau libertăţii.
De altfel, într-o cauză care a privit problema de principiu a reţinerii datelor referitoare la convorbirile telefonice, admiţând excepţia de neconstituţionalitate ridicată, Curtea nu a declarat neconstituţionale operaţiunile de reţinere şi stocare a datelor, în sine, ci doar faptul că accesul la aceste date şi utilizarea lor nu sunt însoţite de garanţiile necesare care să asigure ocrotirea drepturilor fundamentate menţionate mai sus, în special faptul că organele cu atribuţii în domeniul securităţii naţionale au acces la aceste date fără autorizarea judecătorului. De asemenea, Curtea Constituţională nu a declarat neconstituţionale celelalte metode speciale de supraveghere sau de cercetare prevăzute în legislaţia penală sau în legile privind securitatea naţională, acestea rămânând la dispoziţia organelor statului în vederea contracarării fenomenului infracţional sau a terorismului. Astfel de metode sunt, de exemplu, cele privind interceptarea comunicaţiilor ori a oricărui tip de comunicare la distanţă sau localizarea sau urmărirea prin mijloace tehnice, care pot fi utilizate în condiţiile autorizării lor de către judecătorul de drepturi şi libertăţi. (A se vedea Decizia nr. 440 din 8 iulie 2014 referitoare la excepţia de neconstituţionalitate a dispoziţiilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice şi ale art. 152 din Codul de procedură penală, publicată în Monitorul Oficial al României, Partea I, nr. 653 din 4 septembrie 2014.) Aşa fiind, nu pot fi reţinute aceleaşi considerente care au justificat soluţia pronunţată de Curte în acea cauză, pentru a susţine constatarea neconstituţionalităţii obligaţiei înregistrării utilizatorilor de cartele preplătite, precum şi de identificare a utilizatorilor conectaţi la punctele de acces la internet.

Judecător,

Toni Greblă

Judecător,

Petre Lăzăroiu

Judecător,

prof. univ. dr. Tudorel Toader

Publicat în Monitorul Oficial cu numărul 775 din data de 24 octombrie 2014