DECIZIE nr. 440 din 8 iulie 2014 referitoare la excepţia de neconstituţionalitate a dispoziţiilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice şi ale art. 152 din Codul de procedură penală

Augustin Zegrean

- preşedinte

Valer Dorneanu

- judecător

Toni Greblă

- judecător

Mircea Ştefan Minea

- judecător

Daniel Marius Morar

- judecător

Mona-Maria Pivniceru

- judecător

Puskas Valentin Zoltan

- judecător

Tudorel Toader

- judecător

Cristina Teodora Pop

- magistrat-asistent

Cu participarea reprezentantului Ministerului Public, procuror Marinela Mincă.
1. Pe rol se află soluţionarea excepţiei de neconstituţionalitate a prevederilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice şi ale art. 152 din Codul de procedură penală, excepţie ridicată de Judecătoria Constanţa - Secţia penală, din oficiu, în Dosarul nr. 11.972/212/2014 şi care formează obiectul Dosarului Curţii Constituţionale nr. 424 D/2014.
2. Curtea, în temeiul art. 12 alin. (1) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, hotărăşte judecarea prezentei cauze în şedinţă nepublică, având în vedere obiectul dosarului în care a fost ridicată excepţia de neconstituţionalitate.
3. Preşedintele, în condiţiile anterior arătate, dispune a se face apelul şi în Dosarul nr. 478 D/2014, având ca obiect excepţia de neconstituţionalitate a dispoziţiilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, excepţie ridicată de Judecătoria Târgovişte, din oficiu, în Dosarul nr. 4.753/315/2014.
4. Curtea, având în vedere identitatea parţială de obiect al excepţiilor de neconstituţionalitate ridicate în dosarele susmenţionate, din oficiu, pune în discuţie conexarea Dosarului nr. 478D/2014 la Dosarul nr. 424D/2014. Reprezentantul Ministerului Public este de acord cu măsura conexării dosarelor. Curtea, în temeiul dispoziţiilor art. 53 alin. (5) din Legea nr. 47/1992, dispune conexarea Dosarului nr. 478 D/2014 la Dosarul nr. 424 D/2014, care este primul înregistrat.
5. Cauza fiind în stare de judecată, preşedintele acordă cuvântul reprezentantului Ministerului Public, care pune concluzii de respingere ca neîntemeiată a excepţiei de neconstituţionalitate. Se arată că declararea ca nevalidă de către Curtea de Justiţie a Uniunii Europene a Directivei 2006/24/CE, prin Hotărârea din 8 aprilie 2014, lasă o marjă de apreciere statelor membre în privinţa aplicabilităţii actelor normative de transpunere în legislaţiile naţionale a directivei anterior arătate, statele membre fiind obligate să analizeze dacă reglementările în cauză mai pot fi menţinute în vigoare.
6. Se susţine că examinarea constituţionalităţii Legii nr. 82/2012 trebuie făcută din două perspective, impunându-se analiza, pe de o parte, a încălcării prin dispoziţiile acesteia a drepturilor prevăzute în Carta drepturilor fundamentale a Uniunii Europene şi în Constituţia României, precum şi a proporţionalităţii eventualelor ingerinţe cu interesele ocrotite, iar, pe de altă parte, a garanţiilor asigurate persoanelor ale căror date sunt stocate şi accesate de către autorităţile judiciare şi de către restul autorităţilor naţionale competente. Prin prisma celei dintâi perspective enunţate, se arată că Legea nr. 82/2012 nu încalcă dreptul la respectarea vieţii private şi de familie şi dreptul la protecţia datelor cu caracter personal, prevăzute la art. 7 şi art. 8 din Cartă, şi dreptul la viaţă intimă, familială şi privată, reglementat la art. 26 din Constituţie, nefiind încălcate, în acest fel, nici prevederile constituţionale ale art. 53 cu privire la restrângerea exerciţiului unor drepturi sau al unor libertăţi. Se observă, în acest sens, că obligaţia furnizorilor de servicii de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice de a păstra anumite date generate sau prelucrate este limitată în timp la un interval de 6 luni, stocarea datelor nefiind impusă pentru o perioadă nedeterminată, şi că reţinerea şi punerea lor la dispoziţia organelor judiciare şi a celorlalte autorităţi naţionale competente sunt absolut necesare în cazul comiterii unor infracţiuni grave şi în cazul dispariţiilor de persoane. Din cea de-a doua perspectivă analizată se arată că Legea nr. 82/2012 asigură garanţiile necesare protecţiei drepturilor fundamentale ale persoanelor, reglementând cu suficientă rigoare cazurile în care pot fi solicitate datele reţinute de furnizorii de servicii de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice, precum şi autorităţile naţionale care au acces la astfel de date, şi că, aşa cum a fost precizat anterior, perioada reţinerii acestor date este limitată la 6 luni. De asemenea, se subliniază faptul că, potrivit art. 17 din Legea nr. 82/2012, dacă în cauza în care au fost solicitate date reţinute de furnizorii de servicii de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice se dispune o soluţie de clasare sau renunţare la urmărirea penală, în termen de 5 zile de la pronunţarea soluţiei, procurorul este obligat să înştiinţeze despre aceasta persoana ale cărei date au făcut obiectul solicitării. Se mai semnalează faptul că la data la care au loc dezbaterile, la nivelul Guvernului, există un grup de lucru ce are ca obiectiv îmbunătăţirea conţinutului Legii nr. 82/2012 în raport cu cele reţinute de Curtea de Justiţie a Uniunii Europene prin Hotărârea din 8 aprilie 2014.

CURTEA,

având în vedere actele şi lucrările dosarelor, constată următoarele:
7. Prin Încheierea din 30 aprilie 2014, pronunţată în Dosarul nr. 11.972/212/2014, Judecătoria Constanţa - Secţia penală a sesizat Curtea Constituţională cu excepţia de neconstituţionalitate a prevederilor art. 152 din Codul de procedură penală şi ale Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, excepţie ridicată de Judecătoria Constanţa - Secţia penală, din oficiu, într-o cauză având ca obiect solicitarea autorizării prealabile a transmiterii datelor necesare pentru identificarea sursei comunicărilor, a datelor necesare pentru a determina data, ora şi durata comunicărilor, a locaţiei echipamentelor de comunicaţii mobile, precum şi a datelor necesare pentru identificarea numerelor de telefon alocate cartelelor SIM care au fost introduse într-un anumit terminal mobil, într-o perioadă determinată, formulată de Parchetul de pe lângă Judecătoria Constanţa.
8. Prin Încheierea din 17 mai 2014, pronunţată în Dosarul nr. 4.753/315/2014, Judecătoria Târgovişte a sesizat Curtea Constituţională cu excepţia de neconstituţionalitate a prevederilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, excepţie ridicată de Judecătoria Târgovişte, din oficiu, într-o cauză având un obiect similar dosarului precedent.
9. În motivarea excepţiei de neconstituţionalitate se arată că Legea nr. 82/2012 reprezintă transpunerea în legislaţia naţională a Directivei 2006/24/CE a Parlamentului European şi a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modificare a Directivei 2002/58/CE, directivă declarată nevalidă prin Hotărârea din 8 aprilie 2014 a Curţii de Justiţie a Uniunii Europene. Se învederează că, prin hotărârea anterior arătată, Curtea de Justiţie a Uniunii Europene a reţinut că păstrarea datelor impusă de Directiva 2006/24/CE este aptă să realizeze obiectivul urmărit, respectiv combaterea criminalităţii grave, precum şi păstrarea siguranţei publice, însă aceasta presupune o ingerinţă amplă şi deosebit de gravă în drepturile fundamentale la respectarea vieţii private şi la protecţia datelor cu caracter personal, fără ca această ingerinţă să fie limitată la strictul necesar.
10. Se observă că instanţa europeană a argumentat că directiva vizează, în mod generalizat, toate persoanele şi mijloacele de comunicare electronică şi datele privind traficul fără a fi operată vreo diferenţă, limitare sau excepţie în funcţie de obiectivul combaterii infracţiunilor grave şi că aceasta nu garantează faptul că autorităţile naţionale competente nu au acces la date şi că nu pot să le utilizeze decât în scopul prevenirii, depistării şi urmăririi penale a infracţiunilor care pot fi considerate suficient de grave pentru a justifica o astfel de ingerinţă. Se susţine că, dimpotrivă, Directiva 2006/24/CE face trimiteri generale la infracţiuni grave, aşa cum ele sunt definite în dreptul intern al fiecărui stat membru şi că nu prevede în mod clar condiţiile materiale şi procedurale în care autorităţile interne pot avea acces la date şi le pot utiliza ulterior, accesul la date nefiind condiţionat de controlul prealabil al unei instanţe sau al unei entităţi administrative independente.
11. Cu privire la durata păstrării datelor, se arată că instanţa europeană a reţinut că directiva analizată impune o perioadă cuprinsă între 6 şi 24 de luni, fără a distinge în funcţie de persoanele vizate sau de felul utilizării respectivelor date în raport cu obiectivul urmărit şi fără a preciza criteriile obiective care stau la baza stabilirii duratei reţinerii datelor, criterii care să garanteze limitarea acestei reţineri la strictul necesar.
12. Se susţine că aceeaşi instanţă a constatat lipsa din cuprinsul Directivei 2006/24/CE a unor garanţii suficiente, care să asigure o protecţie eficientă a datelor împotriva eventualelor abuzuri sau utilizări ilicite a acestora şi distrugerea definitivă a datelor la sfârşitul perioadei de păstrare.
13. Se arată că Curtea de Justiţie a Uniunii Europene a reţinut şi lipsa obligativităţii păstrării datelor pe teritoriul Uniunii Europene, Directiva 2006/24/CE negarantând astfel respectarea de către autorităţile independente a cerinţelor impuse de Carta drepturilor fundamentale a Uniunii Europene privind protecţia şi securitatea, cerinţe ce reprezintă un element esenţial al ocrotirii persoanelor în raport cu administrarea datelor cu caracter personal.
14. Se susţine că, pentru aceste motive, s-a constatat că dispoziţiile Directivei 2006/24/CE nu respectă principiul proporţionalităţii în aplicarea prevederilor art. 7, art. 8 şi art. 52 alin. (1) din Cartă, principiu potrivit căruia drepturile fundamentale pot fi restrânse numai dacă respectivele restrângeri sunt necesare şi răspund obiectivelor de interes general recunoscute de Uniunea Europeană sau sunt necesare pentru protejarea drepturilor şi libertăţilor prevăzute în Cartă.
15. Se arată că, întrucât Curtea de Justiţie a Uniunii Europene nu a limitat în timp efectele Hotărârii din 8 aprilie 2014, aceste efecte se produc de la data intrării în vigoare a Directivei 2006/24/CE, dar că declararea ca nevalidă a acesteia nu atrage automat nelegalitatea actelor normative de transpunere a sa în legislaţia statelor membre. Se susţine că statele membre sunt obligate să intervină legislativ, în sensul abrogării sau al modificării respectivelor acte normative, intervenţie legislativă ce nu s-a realizat în privinţa Legii nr. 82/2012.
16. Din perspectiva argumentelor anterior enunţate, se susţine că dispoziţiile art. 152 din Codul de procedură penală şi ale Legii nr. 82/2012 apar ca fiind neconstituţionale, contravenind prevederilor art. 26 din Constituţie. În acest sens, se arată că Legea nr. 82/2012 incriminează doar accesarea intenţionată, alterarea sau transferul fără autorizare a datelor reţinute potrivit dispoziţiilor acestei legi, fără a oferi o protecţie eficientă a datelor faţă de riscurile de abuz sau de utilizări ilicite. Se mai observă că aceeaşi lege impune păstrarea datelor pentru o perioadă de 6 luni, fără a distinge între categorii de date, în funcţie de persoanele vizate sau de utilizarea lor eventuală în raport cu obiectivul urmărit şi că nu sunt prevăzute criterii obiective de stabilire a duratei păstrării, pentru limitarea acesteia la strictul necesar. Se mai susţine că, la fel ca şi Directiva 2006/24/CE, Legea nr. 82/2012 nu prevede obligaţia păstrării datelor pe teritoriul Uniunii Europene, nefiind pe deplin asigurat controlul respectării cerinţelor privind protecţia şi securitatea de către o autoritate independentă, aspect ce contravine Cartei drepturilor fundamentale a Uniunii Europene, un astfel de control constituind un element esenţial al protecţiei persoanelor în raport cu administrarea datelor cu caracter personal.
17. Potrivit art. 30 alin. (1) din Legea nr. 47/1992, încheierile de sesizare au fost comunicate preşedinţilor celor două Camere ale Parlamentului, Guvernului şi Avocatului Poporului, pentru aşi exprima punctele de vedere asupra excepţiei de neconstituţionalitate.
18. Preşedinţii celor două Camere ale Parlamentului, Guvernul şi Avocatul Poporului nu au comunicat punctele lor de vedere asupra excepţiei de neconstituţionalitate.

CURTEA,

examinând încheierile de sesizare, rapoartele întocmite de judecătorul-raportor, concluziile procurorului, dispoziţiile legale criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:
19. Curtea Constituţională a fost legal sesizată şi este competentă, potrivit dispoziţiilor art. 146 lit. d) din Constituţie, precum şi ale art. 1 alin. (2), ale art. 2, 3, 10 şi 29 din Legea nr. 47/1992, să soluţioneze excepţia de neconstituţionalitate.
20. Obiectul excepţiei de neconstituţionalitate îl constituie dispoziţiile Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, republicată în Monitorul Oficial al României, Partea I, nr. 211 din 25 martie 2014, şi ale art. 152 din Codul de procedură penală.
- Art. 152 din Codul de procedură penală are următorul cuprins: "(1) Organele de urmărire penală, cu autorizarea prealabilă a judecătorului de drepturi şi libertăţi, pot solicita unui furnizor de reţele publice de comunicaţii electronice sau unui furnizor de servicii de comunicaţii electronice destinate publicului transmiterea datelor reţinute, în baza legii speciale privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, altele decât conţinutul comunicaţiilor, în cazul în care există o suspiciune rezonabilă cu privire la săvârşirea unei infracţiuni şi există temeiuri pentru a se crede că datele solicitate constituie probe, pentru categoriile de infracţiuni prevăzute de legea privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului.
(2) Judecătorul de drepturi şi libertăţi se pronunţă în termen de 48 de ore cu privire la solicitarea organelor de urmărire penală de transmitere a datelor, prin încheiere motivată, în camera de consiliu.
(3) Furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului care colaborează cu organele de urmărire penală au obligaţia de a păstra secretul operaţiunii efectuate."
21. Se susţine că textele criticate încalcă prevederile constituţionale ale art. 26 referitoare la viaţa intimă, familială şi privată.
22. Examinând excepţia de neconstituţionalitate, Curtea constată următoarele:
23. Legea nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice reprezintă transpunerea în legislaţia naţională a Directivei 2006/24/CE a Parlamentului European şi a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modificare a Directivei 2002/58/CE. Insă Directiva 2006/24/CE a fost declarată nevalidă prin Hotărârea Curţii de Justiţie a Uniunii Europene din 8 aprilie 2014, pronunţată în cauzele conexate C-293/12 - Digital Rights Ireland Ltd împotriva Minister for Communications, Marine and Natural Resources şi alţii - şi C-594/12 - Karntner Landesregierung şi alţii. Prin hotărârea menţionată instanţa europeană a constatat că directiva analizată încalcă dispoziţiile art. 7, art. 8 şi art. 52 alin. (1) din Carta drepturilor fundamentale a Uniunii Europene.
24. Curtea de Justiţie a Uniunii Europene a arătat, în acest sens, că Directiva 2006/24/CE are ca obiectiv principal armonizarea legislaţiei statelor membre privind obligaţiile furnizorilor de servicii de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice de a păstra anumite date generate sau prelucrate, în vederea asigurării disponibilităţii acestor date pentru prevenirea, cercetarea, depistarea şi urmărirea penală a infracţiunilor grave, cum sunt criminalitatea organizată şi terorismul. S-a constatat, totodată, că păstrarea datelor în cauză răspunde unui interes general, contribuind la combaterea criminalităţii grave şi, prin urmare, la siguranţa publică, şi că aceasta nu afectează substanţa drepturilor fundamentale ocrotite de Cartă. S-a conchis însă că măsurile dispuse prin Directiva 2006/24/CE, cu toate că sunt de natură a realiza obiectivul urmărit, reprezintă o ingerinţă în drepturile garantate prin art. 7 şi art. 8 din Cartă, care nu respectă principiul proporţionalităţii între măsurile luate şi interesul public ocrotit.
25. Curtea de Justiţie a Uniunii Europene a reţinut, în acest sens, prin Hotărârea din 8 aprilie 2014, că datele ce fac obiectul reglementării directivei invalidate conduc la concluzii foarte precise privind viaţa privată a persoanelor ale căror date au fost păstrate, concluzii ce pot viza obiceiurile din viaţa cotidiană, locurile de şedere permanentă sau temporară, deplasările zilnice sau alte deplasări, activităţile desfăşurate, relaţiile sociale ale acestor persoane şi mediile sociale frecventate de ele (paragraful 27) şi că, în aceste condiţii, chiar dacă, potrivit art. 1 alin. (2) şi art. 5 alin. (2) din Directiva 2006/24/CE, este interzisă păstrarea conţinutului comunicaţiilor şi al informaţiilor consultate prin utilizarea unei reţele de comunicaţii electronice, păstrarea datelor în cauză poate afecta utilizarea de către abonaţi sau de către utilizatorii înregistraţi a mijloacelor de comunicare prevăzute de această directivă şi, în consecinţă, libertatea lor de exprimare, garantată prin art. 11 din Cartă (paragraful 28).
26. S-a constatat, prin aceeaşi hotărâre, că păstrarea datelor în scopul asigurării eventualului acces al autorităţilor naţionale competente la acestea, astfel cum este prevăzută de dispoziţiile Directivei 2006/24/CE, priveşte în mod direct şi specific viaţa privată şi, în consecinţă, drepturile garantate prin art. 7 din Cartă şi că o astfel de stocare a datelor încalcă şi prevederile art. 8 din Cartă, întrucât constituie o prelucrare a unor date cu caracter personal, în sensul acestui articol, şi trebuie să îndeplinească cerinţele de protecţie a datelor care decurg din articolul menţionat (paragraful 29).
27. În sensul încălcării prevederilor art. 7 şi art. 8 din Cartă, instanţa europeană a concluzionat că obligaţia impusă prin art. 3 şi art. 6 din Directiva 2006/24/CE furnizorilor de servicii de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice de a păstra pentru o anumită perioadă date referitoare la viaţa privată a unei persoane şi la comunicaţiile sale, precum cele prevăzute la art. 5 din această directivă constituie per se o ingerinţă în drepturile garantate prin art. 7 din Cartă (paragraful 34). S-a constatat, totodată, că aceeaşi obligaţie constituie o ingerinţă în dreptul fundamental la protecţia datelor cu caracter personal garantat la art. 8 din Cartă, întrucât prevede o prelucrare a datelor cu caracter personal (paragraful 36).
28. Cu acelaşi prilej, Curtea de Justiţie a Uniunii Europene a arătat că ingerinţa în drepturile fundamentale consacrate la art. 7 şi art. 8 din Cartă, cauzată de dispoziţiile Directivei 2006/24/CE, este de o mare amploare şi trebuie considerată ca fiind deosebit de gravă, iar împrejurarea că păstrarea datelor şi utilizarea lor ulterioară sunt efectuate fără ca abonatul sau utilizatorul înregistrat să fie informat cu privire la aceasta este susceptibilă să genereze în mintea persoanelor vizate sentimentul că viaţa lor privată face obiectul unei supravegheri constante (paragraful 37).
29. În privinţa proporţionalităţii ingerinţei, s-a reţinut în hotărârea anterior menţionată că obiectivul de interes general al Directivei 2006/24/CE, chiar dacă este fundamental, nu poate justifica necesitatea unor măsuri precum cele prevăzute prin aceeaşi directivă, în scopul combaterii infracţiunilor indicate de aceasta (paragraful 51).
30. S-a mai reţinut că protecţia datelor cu caracter personal, care rezultă din obligaţia explicită prevăzută la art. 8 alin. (1) din Cartă, prezintă o importanţă deosebită pentru dreptul la respectarea vieţii private, consacrat la art. 7 din aceeaşi Cartă (paragraful 51), motiv pentru care directiva în cauză ar trebui să cuprindă norme clare şi precise cu privire la conţinutul şi aplicarea măsurii reţinerii datelor şi să prevadă o serie de limitări, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau utilizări ilicite (paragraful 54).
31. Curtea de Justiţie a Uniunii Europene a mai reţinut, prin Hotărârea din 8 aprilie 2014, că Directiva 2006/24/CE priveşte ansamblul persoanelor care utilizează servicii de comunicaţii electronice, fără însă ca persoanele ale căror date sunt stocate să se regăsească, fie şi în mod indirect, într-o situaţie susceptibilă să declanşeze începerea urmăririi penale, prevederile directivei aplicându-se chiar şi acelora în privinţa cărora nu există indicii că ar putea avea vreo legătură, chiar indirectă sau îndepărtată, cu săvârşirea unor infracţiuni grave. S-a subliniat faptul că directiva analizată nu prevede nicio excepţie în privinţa persoanelor ale căror comunicaţii sunt supuse, conform dreptului naţional, secretului profesional (paragraful 58).
32. În continuare, instanţa europeană a reţinut că Directiva 2006/24/CE nu prevede niciun criteriu obiectiv care să permită delimitarea accesului autorităţilor naţionale competente la date şi utilizarea lor ulterioară în scopul prevenirii, detectării sau urmăririi penale în legătură cu infracţiuni care, având în vedere amploarea şi gravitatea ingerinţei în drepturile fundamentale consacrate la art. 7 şi art. 8 din Cartă, pot fi considerate ca fiind suficient de grave pentru a justifica o astfel de ingerinţă şi că aceasta se limitează la a face trimitere în general, în cuprinsul art. 1 alin. (1), la infracţiunile grave, astfel cum sunt definite în dreptul intern al fiecărui stat membru (paragraful 60).
33. În plus, s-a constatat că directiva nu prevede în mod expres că accesul autorităţilor naţionale competente la datele stocate şi utilizarea ulterioară a acestora trebuie să se facă în mod strict în scopul prevenirii şi al descoperirii unor infracţiuni precis delimitate sau al desfăşurării urmăririi penale în cazul lor, ci prevede doar că fiecare stat membru defineşte procedurile care trebuie să fie urmate şi condiţiile care trebuie să fie îndeplinite pentru obţinerea accesului la datele păstrate, în conformitate cu cerinţele de necesitate şi proporţionalitate (paragraful 61).
34. Prin aceeaşi hotărâre, s-a mai reţinut că Directiva 2006/24/CE nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, că accesul autorităţilor naţionale la datele stocate nu este condiţionat de controlul prealabil efectuat de către o instanţă sau de o entitate administrativă independentă, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit şi că nu este prevăzută obligaţia statelor membre de a stabili astfel de limitări (paragraful 62).
35. Referitor la durata păstrării datelor, s-a reţinut că Directiva 2006/24/CE impune stocarea acestora pentru o perioadă de la 6 la 24 de luni, fără să prevadă criterii obiective de limitare a păstrării datelor la strictul necesar şi fără a distinge între categoriile de date în funcţie de utilitatea lor pentru realizarea obiectivului urmărit sau în funcţie de persoanele vizate (paragraful 63-64).
36. S-a constatat, totodată, că Directiva 2006/24/CE nu prevede norme clare şi precise care să reglementeze întinderea ingerinţei în drepturile fundamentale consacrate la art. 7 şi art. 8 din Cartă, că directiva conţine o ingerinţă în aceste drepturi fundamentale de o mare amploare şi de o gravitate deosebită şi că această încălcare nu este limitată la strictul necesar (paragraful 65). S-a reţinut, de asemenea, că Directiva 2006/24/CE nu prevede garanţii suficiente, conform art. 8 din Cartă, pentru asigurarea unei protecţii eficiente a datelor stocate împotriva eventualelor abuzuri, accesului sau utilizării ilicite a acestor date (paragraful 66).
37. În fine, s-a arătat că directiva nu impune ca datele stocate să fie păstrate pe teritoriul Uniunii Europene, aşa încât controlul respectării cerinţelor de protecţie şi de securitate, prevăzut la alin. (3) al art. 8 din Cartă şi care constituie un element esenţial al ocrotirii persoanelor în ceea ce priveşte prelucrarea datelor cu caracter personal, nu este garantat în totalitate (paragraful 68).
38. Pentru motivele arătate, Curtea de Justiţie a Uniunii Europene a hotărât că legiuitorul Uniunii a încălcat, prin dispoziţiile Directivei 2006/24/CE, principiul proporţionalităţii, această directivă contravenind prevederilor art. 7, art. 8 şi art. 52 alin. (1) din Cartă (paragraful 69).
39. Pe de altă parte, se constată că Legea nr. 82/2012 a fost adoptată de Parlament ca urmare a pronunţării de către instanţa constituţională a Deciziei nr. 1.258 din 8 octombrie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 798 din 23 noiembrie 2009, prin care s-a constatat că dispoziţiile Legii nr. 298/2008 privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, precum şi pentru modificarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice sunt neconstituţionale, Legea nr. 298/2008 reprezentând prima transpunere în legislaţia naţională a Directivei 2006/24/CE.
40. Prin Decizia nr. 1.258 din 8 octombrie 2009, Curtea a reţinut că art. 1 alin. (2) din Legea nr. 298/2008 include în categoria datelor de trafic şi localizare a persoanelor fizice şi juridice şi "datele conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat", fără însă a defini în mod expres ce se înţelege prin sintagma "date conexe". S-a arătat că lipsa unei reglementări legale precise, care să determine cu exactitate sfera acelor date necesare identificării persoanelor fizice sau juridice utilizatoare, deschide posibilitatea unor abuzuri în activitatea de reţinere, prelucrare şi utilizare a datelor stocate de furnizorii serviciilor de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii şi că limitarea exerciţiului dreptului la viaţă intimă şi la secretul corespondenţei şi a libertăţii de exprimare, de asemenea, trebuie să aibă loc într-o manieră clară, previzibilă şi lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului autorităţilor în acest domeniu.
41. De asemenea, Curtea Constituţională a observat aceeaşi manieră ambiguă de redactare, neconformă cu normele de tehnică legislativă, a dispoziţiilor art. 20 din Legea nr. 298/2008, potrivit cărora, "În scopul prevenirii şi contracarării ameninţărilor la adresa securităţii naţionale, organele de stat cu atribuţii în acest domeniu pot avea acces, în condiţiile stabilite prin actele normative ce reglementează activitatea de realizare a securităţii naţionale, la datele reţinute de furnizorii de servicii şi reţele publice de comunicaţii electronice". S-a constatat că legiuitorul nu arată ce se înţelege prin "ameninţări la adresa securităţii naţionale", astfel că, în lipsa unor criterii precise de delimitare, diverse acţiuni, informaţii sau activităţi obişnuite, de rutină, ale persoanelor fizice şi juridice pot fi apreciate, în mod arbitrar şi abuziv, ca având natura unor astfel de ameninţări. S-a arătat, totodată, că destinatarii legii pot fi incluşi în categoria persoanelor suspecte fără a cunoaşte acest lucru şi fără a putea preveni, prin conduita lor, consecinţa aplicării rigorilor legii şi, de asemenea, că utilizarea sintagmei "pot avea" induce ideea că datele la care se referă Legea nr. 298/2008 nu sunt reţinute în scopul exclusiv al utilizării acestora numai de către organele statului cu atribuţii specifice în protejarea securităţii naţionale şi a ordinii publice, ci şi de către alte persoane sau entităţi, din moment ce acestea "pot", şi nu "au", acces la aceste date, în condiţiile legii.
42. Prin aceeaşi decizie, Curtea Constituţională a constatat că Legea nr. 298/2008, în ansamblul ei, instituie regula reţinerii continue a datelor cu caracter personal, pe o perioadă de 6 luni de la momentul interceptării lor. Or, în materia drepturilor personale, cum sunt dreptul la viaţă intimă şi libertatea de exprimare, precum şi a prelucrării datelor cu caracter personal, regula unanim recunoscută este aceea a garantării şi respectării acestor drepturi, respectiv a confidenţialităţii, statul având, în acest sens, obligaţii majoritar negative, de abţinere, prin care să fie evitată, pe cât posibil, ingerinţa sa în exerciţiul dreptului sau al libertăţii. S-a subliniat că excepţiile sunt permise limitativ, în condiţiile expres prevăzute de Constituţie şi de actele juridice internaţionale aplicabile în domeniu, iar Legea nr. 298/2008 reprezintă o astfel de excepţie, după cum o arată însuşi titlul acesteia.
43. Curtea a constatat, de asemenea, că obligaţia de reţinere a datelor reglementată de Legea nr. 298/2008, cu titlu de excepţie sau derogare de la principiul protejării datelor cu caracter personal şi al confidenţialităţii lor, prin natura, întinderea şi domeniul ei de aplicare, goleşte însă de conţinut acest principiu, astfel cum era garantat prin Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date şi Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. Or, este unanim recunoscut în jurisprudenţa Curţii Europene a Drepturilor Omului, de exemplu, prin Hotărârea din 12 iulie 2001, pronunţată în Cauza Prinţul Hans-Adam II de Lichtenstein împotriva Germaniei, paragraful 45, că statele membre semnatare ale Convenţiei pentru apărarea drepturilor omului şi a libertăţilor fundamentale şi-au asumat obligaţii de natură să asigure ca drepturile garantate de Convenţie să fie concrete şi efective, nu teoretice şi iluzorii, măsurile legislative adoptate urmărind apărarea eficientă a drepturilor. Obligaţia legală care impune reţinerea în mod continuu a datelor cu caracter personal transformă însă excepţia de la principiul protejării efective a dreptului la viaţă intimă şi liberă exprimare în regulă absolută. Astfel, dreptul apare ca fiind reglementat într-o manieră negativă, latura sa pozitivă pierzând caracterul predominant.
44. S-a reţinut, totodată, că reglementarea unei obligaţii pozitive care priveşte limitarea în mod necontenit a exerciţiului dreptului la viaţă intimă şi la secretul corespondenţei face să dispară însăşi esenţa dreptului, prin îndepărtarea garanţiilor privind exercitarea acestuia. Persoanele fizice şi juridice care sunt utilizatori în masă ai serviciilor de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii sunt supuse în permanenţă acestei ingerinţe în exerciţiul drepturilor lor intime la corespondenţă şi liberă exprimare, fără a exista posibilitatea unor manifestări libere, necenzurate, decât sub forma comunicării directe, fiind excluse mijloacele de comunicare principale folosite în prezent.
45. Tot prin Decizia nr. 1.258 din 8 octombrie 2009 Curtea a statuat că într-o logică firească a analizei se impune şi examinarea în cauză a respectării principiului proporţionalităţii, o altă cerinţă imperativă necesar a fi îndeplinită în cazurile de restrângere a exerciţiului unor drepturi sau libertăţi fundamentale, prevăzută expres de art. 53 alin. (2) din Constituţie. Acest principiu impune ca măsura de restrângere să fie în acord cu situaţia care a determinat aplicarea ei şi, de asemenea, să înceteze odată cu dispariţia cauzei determinante. Legea nr. 298/2008 impune obligaţia reţinerii datelor în mod continuu, de la momentul intrării în vigoare, respectiv al aplicării sale (şi anume 20 ianuarie 2009, respectiv 15 martie 2009 în privinţa datelor de trafic de localizare corespunzătoare serviciilor de acces la internet, poştă electronică şi telefonie prin internet), fără a se avea în vedere necesitatea încetării măsurii de limitare odată cu dispariţia cauzei ce a determinat luarea acestei măsuri.
46. Curtea a constatat că, deşi Legea nr. 298/2008 se referea la date cu un caracter predominant tehnic, acestea erau reţinute în scopul furnizării informaţiilor cu privire la persoana şi viaţa sa privată. Chiar dacă, potrivit art. 1 alin. (3) din lege, aceasta nu se aplica şi conţinutului comunicării sau informaţiilor consultate în timpul utilizării unei reţele de comunicaţii electronice, celelalte date reţinute, având ca scop identificarea apelantului şi a apelatului, respectiv a utilizatorului şi a destinatarului unei informaţii comunicate pe cale electronică, a sursei, destinaţiei, datei, orei şi duratei unei comunicări, a tipului de comunicare, a echipamentului de comunicaţie sau a dispozitivelor folosite de utilizator, a locaţiei echipamentului de comunicaţii mobile, precum şi a altor "date conexe" - nedefinite în lege -, erau de natură să prejudicieze, să stingherească manifestarea liberă a dreptului la comunicare sau la exprimare.
47. S-a arătat că garanţiile legale privind utilizarea în concret a datelor reţinute - referitoare la excluderea conţinutului comunicării sau a informaţiilor consultate, ca obiect al stocării datelor, la autorizarea motivată şi prealabilă a preşedintelui instanţei competente să judece fapta pentru care s-a început urmărirea penală, în condiţiile prevăzute de art. 16 din Legea nr. 298/2008 şi cu aplicarea sancţiunilor reglementate la art. 18 şi art. 19 din aceasta - nu erau suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă.
48. Astfel, Curtea Constituţională nu a negat scopul în sine avut în vedere de legiuitor la adoptarea Legii nr. 298/2008, în sensul că este imperios necesară asigurarea unor mijloace legale adecvate şi eficiente, compatibile cu procesul continuu de modernizare şi tehnologizare a mijloacelor de comunicare, astfel încât fenomenul infracţional să poată fi controlat şi contracarat. S-a arătat că tocmai de aceea drepturile individuale nu pot fi exercitate in absurdum, ci pot constitui obiectul unor restrângeri care sunt justificate în funcţie de scopul urmărit. Limitarea exerciţiului unor drepturi personale, în considerarea unor drepturi colective şi interese publice, ce vizează siguranţa naţională, ordinea publică sau prevenţia penală, a constituit în permanenţă o operaţiune sensibilă sub aspectul reglementării, fiind necesară menţinerea unui just echilibru între interesele şi drepturile individuale, pe de o parte, şi cele ale societăţii, pe de altă parte. Curtea a reţinut însă că nu este mai puţin adevărat, astfel cum a remarcat Curtea Europeană a Drepturilor Omului în Hotărârea din 6 septembrie 1978 pronunţată în Cauza Klass şi alţii împotriva Germaniei, paragraful 49, că luarea unor măsuri de supraveghere, fără garanţii adecvate şi suficiente, poate duce la "distrugerea democraţiei sub pretextul apărării ei".
49. Comparând dispoziţiile Legii nr. 82/2012 cu cele ale Legii nr. 298/2008, Curtea constată că, în ambele legi, cazurile în care autorităţile judiciare ori organele cu atribuţii în domeniul siguranţei naţionale au acces la datele generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului sunt cele care au ca scop activităţile de prevenire, cercetare, descoperire şi urmărire penală a "infracţiunilor grave". De asemenea, se observă că ambele legi definesc noţiunea de "infracţiune gravă", însă Legea nr. 82/2012 extinde semnificativ sfera infracţiunilor care se circumscriu acestei noţiuni [a se vedea art. 2 lit. e)] comparativ cu Legea nr. 298/2008, a cărei sferă de cuprindere era mai redusă [a se vedea art. 2 lit. f)]. În plus, legea supusă prezentului control de constituţionalitate permite accesul organelor judiciare şi al organelor de stat cu atribuţii în domeniul siguranţei naţionale la datele reţinute şi pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei. Curtea apreciază că această extindere a fost posibilă, având în vedere dispoziţiile Directivei 2006/24/CE, care lăsau la latitudinea statelor membre stabilirea situaţiilor pentru care se aplică actul normativ de transpunere a directivei.
50. Curtea observă, de asemenea, că legiuitorul a renunţat în cuprinsul noii reglementări la sintagma "date conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat" din norma de la art. 1 alin. (2) din Legea nr. 298/2008, stabilind la art. 1 alin. (2) din Legea nr. 82/2012 că acest act normativ "se aplică datelor de trafic şi de localizare a persoanelor fizice şi a persoanelor juridice, precum şi datelor necesare pentru identificarea unui abonat sau unui utilizator înregistrat". Eliminarea din cuprinsul ipotezei reglementate a cuvântului "conexe" prin care sintagma "date conexe necesare" a fost reformulată devenind "datele necesare" nu este de natură a înlătura viciul de neconstituţionalitate semnalat prin Decizia nr. 1.258 din 8 octombrie 2009, care a criticat faptul că legiuitorul nu a definit în mod expres ce se înţelege prin "date conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat". Reglementarea actuală conservă caracterul imprecis al formulării, întrucât nu defineşte nici acum ce se înţelege prin "datele necesare pentru identificarea unui abonat sau unui utilizator înregistrat".
51. În ceea ce priveşte posibilitatea organelor de stat cu atribuţii în domeniul prevenirii şi contracarării ameninţărilor la adresa securităţii naţionale de a avea acces la datele reţinute de furnizorii de servicii şi reţele publice de comunicaţii electronice, prevăzută la art. 20 din Legea nr. 298/2008, Curtea constată că dreptul acestor organe de stat de a avea acces la datele reţinute se regăseşte în cuprinsul art. 16 alin. (1) din Legea nr. 82/2012, potrivit căruia "Furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia ca, la solicitarea organelor de urmărire penală, a instanţelor de judecată şi a organelor de stat cu atribuţii în domeniul securităţii naţionale, formulată în aplicarea dispoziţiilor Codului de procedură penală, precum şi a celor din legile speciale în materie, să transmită acestora, în cel mult 48 de ore de la data solicitării, datele reţinute potrivit prezentei legi", text ce reglementează o situaţie asemănătoare cu cea prevăzută de legea veche.
52. Cu privire la obligaţia continuă a furnizorilor de reţele publice de comunicaţii electronice şi furnizorilor de servicii de comunicaţii electronice destinate publicului de a reţine datele în cauză, Curtea constată că aceasta a fost menţinută şi în cuprinsul noii reglementări, Legea nr. 82/2012 stabilind la art. 1 alin. (1) "obligaţia furnizorilor de reţele publice de comunicaţii electronice şi a furnizorilor de servicii de comunicaţii electronice destinate publicului de a reţine anumite date generate sau prelucrate în cadrul activităţii lor pentru punerea acestora la dispoziţia [...]". Or, caracterul continuu al reţinerii datelor generate sau prelucrate în cadrul activităţii furnizorilor de reţele publice de comunicaţii electronice şi a furnizorilor de servicii de comunicaţii electronice destinate publicului a reprezentat, din perspectiva instanţei de contencios constituţional, exprimată prin Decizia nr. 1.258 din 8 octombrie 2009, un motiv de constatare a neconstituţionalităţii prevederilor Legii nr. 298/2008.
53. Procedând la efectuarea controlului de constituţionalitate al Legii nr. 82/2012, Curtea constată că prevederile art. 26, art. 28 şi art. 30 din Constituţie reglementează dreptul la viaţă intimă, familială şi privată, secretul corespondenţei, precum şi libertatea de exprimare, condiţii în care obiectul de reglementare al legii criticate intră în sfera de protecţie a acestor texte constituţionale. Legea criticată, antamând probleme ce ţin de protecţia drepturilor constituţionale invocate, reprezintă o intervenţie legislativă în sfera acestora, motivată chiar de scopul acestei legi, care coincide, la nivel naţional, cu cel al Directivei 2006/24/CE şi constă în prevenirea, descoperirea şi cercetarea infracţiunilor grave de către organele de urmărire penală, instanţele de judecată şi organele de stat cu atribuţii în domeniul siguranţei naţionale, scop pe deplin realizat prin legea supusă controlului de constituţionalitate.
54. Analizând dispoziţiile Legii nr. 82/2012, precum şi considerentele de principiu cuprinse în Hotărârea Curţii de Justiţie a Uniunii Europene din 8 aprilie 2014, prin care Directiva 2006/24/CE a fost declarată nevalidă, şi în Decizia Curţii Constituţionale nr. 1.258 din 8 octombrie 2009, Curtea reţine că acestea sunt aplicabile, în principiu, şi Legii nr. 82/2012.
55. În primul rând, ingerinţa în drepturile fundamentale privind viaţa intimă, familială şi privată, secretul corespondenţei şi libertatea de exprimare este de o mare amploare şi trebuie considerată ca fiind deosebit de gravă, iar împrejurarea că păstrarea datelor şi utilizarea lor ulterioară sunt efectuate fără ca abonatul sau utilizatorul înregistrat să fie informat cu privire la aceasta este susceptibilă să imprime în conştiinţa persoanelor vizate sentimentul că viaţa lor privată face obiectul unei supravegheri constante.
56. În al doilea rând, datele care fac obiectul reglementării, deşi au un caracter predominant tehnic, sunt reţinute în scopul furnizării informaţiilor cu privire la persoana şi viaţa sa privată. Chiar dacă, potrivit art. 1 alin. (3) din lege, aceasta nu se aplică şi conţinutului comunicării sau informaţiilor consultate în timpul utilizării unei reţele de comunicaţii electronice, celelalte date reţinute, având ca scop identificarea apelantului şi a apelatului, respectiv a utilizatorului şi a destinatarului unei informaţii comunicate pe cale electronică, a sursei, destinaţiei, datei, orei şi duratei unei comunicări, a tipului de comunicare, a echipamentului de comunicaţie sau a dispozitivelor folosite de utilizator, a locaţiei echipamentului de comunicaţii mobile, precum şi a altor "date necesare" - nedefinite în lege -, sunt de natură să prejudicieze manifestarea liberă a dreptului la comunicare sau la exprimare. În concret, datele avute în vedere conduc la concluzii foarte precise privind viaţa privată a persoanelor ale căror date au fost păstrate, concluzii ce pot viza obiceiurile din viaţa cotidiană, locurile de şedere permanentă sau temporară, deplasările zilnice sau alte deplasări, activităţile desfăşurate, relaţiile sociale ale acestor persoane şi mediile sociale frecventate de ele. Or, o atare limitare a exerciţiului dreptului la viaţă intimă, familială şi privată şi la secretul corespondenţei, precum şi a libertăţii de exprimare trebuie să aibă loc într-o manieră clară, previzibilă şi lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului autorităţilor în acest domeniu.
57. În al treilea rând, legea criticată nu cuprinde norme clare şi precise cu privire la conţinutul şi aplicarea măsurii reţinerii şi utilizării, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, că accesul autorităţilor naţionale la datele stocate nu este condiţionat, în toate cazurile, de controlul prealabil efectuat de către o instanţă sau de o entitate administrativă independentă, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă.
58. În plus faţă de argumentele aduse anterior, Curtea consideră necesar, pentru înţelegerea exactă a mecanismului reţinerii datelor, operarea unei distincţii între două etape diferite. Observând că datele în discuţie se referă, în principal, la datele de trafic şi de localizare a persoanelor, precum şi la datele necesare pentru identificarea unui abonat sau a unui utilizator înregistrat, mecanismul reglementat implică două etape, prima fiind aceea a reţinerii şi stocării datelor, iar cea de-a doua, aceea a accesului la aceste date şi a folosirii lor.
59. Reţinerea şi stocarea datelor, care în mod firesc este prima operaţiune din punct de vedere cronologic, revine, ca obligaţie, furnizorilor de reţele publice şi de servicii de comunicaţii electronice destinate publicului. Această operaţiune este una tehnică, fiind realizată automat în baza unor programe informatice atâta timp cât legea prevede obligaţia furnizorilor desemnaţi de lege de a reţine respectivele date. Întrucât atât potrivit Directivei 2006/24/CE, cât şi conform Legii nr. 82/2012, scopul reţinerii şi stocării este unul general, urmărindu-se garantarea siguranţei naţionale, a apărării, precum şi prevenirea, cercetarea, detectarea şi urmărirea penală a infracţiunilor grave, reţinerea şi stocarea nefiind legate şi determinate de un caz concret, apare ca evident caracterul continuu al obligaţiei furnizorilor de reţele publice de comunicaţii electronice şi a furnizărilor de servicii electronice de a reţine aceste date pe întreaga perioadă prevăzută expres de cadrul normativ în vigoare, respectiv pe o perioadă de 6 luni, conform Legii nr. 82/2012. De asemenea, în această etapă, fiind vorba exclusiv de reţinerea şi stocarea unei mase de informaţii, identificarea ori localizarea celor care sunt subiecţii unei comunicaţii electronice nu se realizează în concret, această urmând a avea loc abia în a doua etapă, după ce este permis accesul la date şi utilizarea acestora.
60. Curtea apreciază că tocmai datorită naturii şi specificului primei etape, din moment ce legiuitorul consideră necesară reţinerea şi stocarea datelor, prin ea însăşi doar această operaţiune nu contravine dreptului la viaţă intimă, familială şi privată, ori secretului corespondenţei. Nici Constituţia şi nici jurisprudenţa Curţii Constituţionale nu interzic stocarea preventivă, fără o ocazie anume a datelor de trafic şi de localizare, cu condiţia însă ca accesul la aceste date şi utilizarea lor să fie însoţite de garanţii şi să respecte principiul proporţionalităţii.
61. Prin urmare, Curtea apreciază că abia raportat la cea de-a doua etapă, aceea a accesului şi a utilizării acestor date, se ridică problema conformităţii reglementărilor legale cu dispoziţiile constituţionale. Examinând dispoziţiile Legii nr. 82/2012, cu privire la accesul organelor judiciare şi a celorlalte organe de stat cu atribuţii în domeniul siguranţei naţionale la datele stocate, Curtea constată că legea nu oferă garanţiile necesare protecţiei dreptului la viaţă intimă, familială şi privată, a secretului corespondenţei şi a libertăţii de exprimare ale persoanelor ale căror date stocate sunt accesate.
62. Astfel, aşa cum a fost arătat anterior, potrivit dispoziţiilor art. 1 din Legea nr. 82/2012, au acces la datele reţinute conform prevederilor acestei legi, organele de urmărire penală, instanţele de judecată şi organele de stat cu atribuţii în domeniul siguranţei naţionale. Insă, potrivit dispoziţiilor art. 18 din Legea nr. 82/2012, doar organele de urmărire penală sunt obligate să respecte dispoziţiile art. 152 din Codul de procedură penală, această obligaţie nefiind prevăzută şi pentru organele de stat cu atribuţii în domeniul securităţii naţionale, care pot accesa aceste date în conformitate cu "legile speciale în materie", aşa cum prevede art. 16 alin. (1) din Legea nr. 82/2012. Prin urmare, doar solicitarea adresată de organele de urmărire penală furnizorilor de reţele publice de comunicaţii electronice şi furnizorilor de servicii de comunicaţii electronice destinate publicului de transmitere a datelor reţinute este supusă autorizării prealabile a judecătorului de drepturi şi libertăţi.
63. Solicitările de acces la datele reţinute în vederea utilizării lor în scopul prevăzut de lege, formulate de către organele de stat cu atribuţii în domeniul securităţii naţionale, nu sunt supuse autorizării sau aprobării instanţei judecătoreşti, lipsind astfel garanţia unei protecţii eficiente a datelor păstrate împotriva riscurilor de abuz precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date. Această împrejurare este de natură a constitui o ingerinţă în drepturile fundamentale la viaţă intimă, familială şi privată şi a secretului corespondenţei şi, prin urmare, contravine dispoziţiilor constituţionale care consacră şi protejează aceste drepturi.
64. Din analiza "legilor speciale în materie", la care art. 16 alin. (1) din Legea nr. 82/2012 face trimitere, Curtea constată că organele de stat cu atribuţii în domeniul securităţii naţionale pot accesa şi folosi datele stocate fără a fi nevoie de autorizarea instanţei de judecată. Astfel, Legea nr. 51/1991 privind securitatea naţională a României, republicată în Monitorul Oficial al României, Partea I, nr. 190 din 18 martie 2014, stabileşte, la art. 8, organele de stat cu atribuţii în domeniul securităţii naţionale, acestea fiind Serviciul Român de Informaţii, Serviciul de Informaţii Externe şi Serviciul de Protecţie şi Pază, iar la art. 9 prevede că Ministerul Apărării Naţionale, Ministerul Afacerilor Interne şi Ministerul Justiţiei îşi organizează structuri de informaţii cu atribuţii specifice domeniilor lor de activitate. Curtea mai constată că, potrivit art. 13 lit. e) din lege, organele cu atribuţii în domeniul securităţii naţionale pot, în condiţiile existenţei unor ameninţări la adresa siguranţei naţionale a României, astfel cum sunt definite acestea la art. 3 din Legea nr. 51/1991, să solicite obţinerea datelor generate sau prelucrate de către furnizorii de reţele publice, de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului, altele decât conţinutul acestora, şi reţinute de către aceştia potrivit legii, fără ca acest articol ori art. 14 din lege să prevadă că această solicitare trebuie să fie autorizată de către judecător.
65. Curtea reţine, de asemenea, că, potrivit art. 9 din Legea nr. 14/1992 privind organizarea şi funcţionarea Serviciului Român de Informaţii, "În vederea stabilirii existenţei ameninţărilor la adresa securităţii naţionale, prevăzute la art. 3 din Legea nr. 51/1991 privind siguranţa naţională a României, cu modificările ulterioare, serviciile de informaţii pot efectua, cu respectarea legii, verificări prin: [...] e) obţinerea datelor generate sau prelucrate de către furnizorii de reţele publice de comunicaţii electronice sau furnizorii de servicii de comunicaţii electronice destinate publicului, altele decât conţinutul acestora, şi reţinute de către aceştia potrivit legii." Dar, la fel ca şi prevederile Legii nr. 82/2012 şi ale Legii nr. 51/1991, nici dispoziţiile Legii nr. 14/1992 nu prevăd obligaţia acestui serviciu de informaţii de a obţine autorizarea judecătorului pentru a avea acces la datele stocate.
66. Totodată, Curtea reţine că Legea nr. 1/1998 privind organizarea şi funcţionarea Serviciului de Informaţii Externe, republicată în Monitorul Oficial al României, Partea I, nr. 511 din 18 octombrie 2000, prevede la art. 10 alin. (1) că "Serviciul de Informaţii Externe este autorizat să folosească persoane juridice sub acoperire, înfiinţate în condiţiile legii, să utilizeze metode specifice, să creeze şi să deţină mijloace adecvate pentru obţinerea, verificarea, protecţia, evaluarea, valorificarea şi stocarea datelor şi informaţiilor referitoare la siguranţa naţională", iar, conform alin. (3) al aceluiaşi articol, "Folosirea mijloacelor de obţinere, verificare şi valorificare a datelor şi a informaţiilor nu trebuie să lezeze în niciun fel drepturile sau libertăţile fundamentale ale cetăţenilor, viaţa particulară, onoarea sau reputaţia lor ori să îi supună la îngrădiri ilegale". De asemenea, potrivit art. 11 al Legii nr. 1/1998, "Serviciul de Informaţii Externe are dreptul, în condiţiile prevăzute de lege, să solicite şi să obţină de la autorităţile publice române, agenţi economici, alte persoane juridice, precum şi de la persoane fizice informaţii, date sau documente necesare îndeplinirii atribuţiilor sale". Prin urmare, Curtea constată că Legea nr. 1/1998 nu reglementează în mod distinct accesul Serviciului de Informaţii Externe la datele reţinute de furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului, acest acces fiind însă reglementat de art. 13 din Legea nr. 51/1991, fără a fi condiţionat deci de autorizarea prealabilă a unei instanţe judecătoreşti.
67. Or, lipsa unor astfel de autorizări a fost criticată, printre altele, şi de către Curtea de Justiţie a Uniunii Europene prin Hotărârea din 8 aprilie 2014, această lipsă echivalând cu insuficienţa garanţiilor procesuale necesare ocrotirii dreptului la viaţa privată şi a celorlalte drepturi consacrate de art. 7 din Carta drepturilor şi libertăţilor fundamentale şi a dreptului fundamental la protecţia datelor cu caracter personal, consacrat de art. 8 din Cartă (paragraful 62).
68. De asemenea, Curtea constată că, deşi Legea nr. 82/2012 stabileşte contravenţiile care pot fi comise de către furnizorii de reţele publice şi de servicii de comunicaţii electronice în legătură cu procesul de reţinere, stocare şi accesare a datelor, precum şi instituţiile abilitate să constate aceste contravenţii şi să aplice sancţiunile (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal şi Autoritatea Naţională pentru Administrare şi Reglementare în Comunicaţii), legea nu prevede un mecanism autentic de control, care să asigure acestor instituţii o verificare permanentă şi efectivă a respectării dispoziţiilor legale, astfel încât să poată fi sesizate cu uşurinţă cazurile în care furnizorii de servicii încalcă dispoziţiile legale privitoare la tipul de date reţinute, durata în care acestea sunt stocate, distrugerea lor în cazurile prevăzute de lege ori organele şi instituţiile cărora li se permite accesul la aceste date. Prin urmare, dispoziţiile legale pun accent în principal pe diligenţa necesară în domeniul comunicaţiilor, dar relativizează garanţiile de siguranţă a reţinerii şi păstrării datelor, din moment ce operatorilor de comunicaţii electronice nu le sunt impuse standarde corespunzătoare de asigurare a nivelului de securitate care să poată fi controlate efectiv de instituţiile prevăzute de lege. Se mai observă că legea prevede ca infracţiune doar accesarea intenţionată, alterarea sau transferul datelor reţinute în baza legii, fără autorizare, iar toate celelalte fapte ilicite sunt considerate contravenţii, ceea ce nu asigură în toate cazurile o protecţie corespunzătoare a dreptului la viaţă intimă, familială şi privată, precum şi a secretului corespondenţei. Nereglementarea unui mecanism real de control a activităţii furnizorilor de reţele publice şi de servicii de comunicaţii electronice de către o autoritate independentă echivalează cu lipsa unor garanţii, astfel cum sunt impuse de prevederile art. 26 şi art. 28 din Constituţie, care să permită o protecţie eficientă a datelor păstrate împotriva riscurilor de abuz, precum şi a oricărui acces ori utilizări ilicite a acestor date.
69. Sunt relevante din perspectiva controlului de constituţionalitate efectuat, deciziile altor instanţe constituţionale europene, cu referire expresă la deciziile Curţii Constituţionale Federale a Germaniei, a Curţii Constituţionale a Cehiei, precum şi a Curţii Supreme Administrative a Bulgariei.
70. Astfel, prin Hotărârea din 2 martie 2010, Curtea Constituţională Federală a Germaniei a declarat neconstituţionale dispoziţiile art. 113a şi 113b din Legea privind noua reglementare a supravegherii telecomunicaţiilor din 21 decembrie 2007, precum şi art. 100g din Codul de procedură penală al Germaniei, arătând că acestea încalcă art. 10 alin. 1 din Constituţia Germaniei referitor la secretul telecomunicaţiilor.
71. Cu privire la neconstituţionalitatea dispoziţiilor art. 113a şi 113b din Legea privind noua reglementare a supravegherii telecomunicaţiilor din 21 decembrie 2007 s-a arătat că stocarea fără o ocazie anume a datelor de trafic în telecomunicaţii nu face obiectul interdicţiei stricte de stocare preventivă a datelor în sensul jurisprudenţei Curţii Constituţionale Federale şi că, în cazul în care se acordă atenţie acestei intervenţii şi ea se realizează în mod adecvat, pot fi întrunite cerinţele de proporţionalitate.
72. S-a subliniat importanţa stocării datelor de trafic din sectorul telecomunicaţiilor în scop preventiv, dar şi necesitatea unor reglementări suficient de stricte şi clare privind siguranţa datelor şi limitarea utilizării lor, în scopul asigurării transparenţei şi protecţiei legale. S-a atras atenţia însă că o astfel de stocare reprezintă o ingerinţă amplă, chiar şi în condiţiile în care conţinutul comunicărilor nu face obiectul stocării, întrucât datele astfel reţinute fac posibilă o cunoaştere detaliată a sferei intime a persoanei, în special în ceea ce priveşte apartenenţa socială sau politică, preferinţele, înclinaţiile şi slăbiciunile persoanelor, permiţând întocmirea unor profile pertinente şi creând riscul supunerii unor cetăţeni, care nu dau niciun motiv să fie supuşi unor investigaţii, de a fi expuşi la astfel de acţiuni.
73. S-a constatat că prevederile art. 113a şi 113b din Legea privind noua reglementare a supravegherii telecomunicaţiilor din 21 decembrie 2007 încalcă principiul proporţionalităţii, nefiind îndeplinite cerinţele constituţionale referitoare la siguranţa datelor şi transparenţa utilizării lor şi nici cele privind protecţia persoanelor. În acest sens, s-a reţinut că dispoziţiile legale criticate fac trimitere doar la diligenţa necesară, în general, în domeniul telecomunicaţiilor, dar relativizează cerinţele de siguranţă, lăsându-le la latitudinea operatorilor de telecomunicaţii, cărora nu le sunt impuse standarde suficient de înalte de asigurare a nivelului de securitate şi, în privinţa cărora, sunt stabilite sancţiuni mai mari în cazul încălcării obligaţiei de stocare, decât în cel al încălcării securităţii datelor.
74. S-a mai reţinut că prevederile art. 100g din Codul de procedură penală permit accesarea datelor şi în alte cazuri decât cele individuale, fără acordul judecătorului şi fără cunoştinţa persoanei vizate, motiv pentru care acestea sunt neconstituţionale.
75. În mod similar, Curtea Constituţională a Republicii Cehe, prin Decizia din 22 martie 2011, a constatat neconstituţionalitatea dispoziţiilor secţiunii 97 paragrafele 3 şi 4 ale Actului nr. 127/2005 cu privire la comunicaţiile electronice şi modificări referitoare la acte normative conexe (Actul privind comunicaţiile electronice) şi ale Decretului nr. 485/2005 cu privire la reţinerea datelor privind traficul, locaţia, data şi durata comunicaţiilor şi forma şi metoda de furnizare a acestora autorităţilor autorizate.
76. În conţinutul acestei decizii, Curtea a reţinut că textele criticate nu oferă cetăţenilor suficiente garanţii în ceea ce priveşte riscul folosirii abuzive a datelor stocate şi arbitrariul. S-a constatat că actele normative analizate nu definesc deloc sau definesc insuficient şi ambiguu regulile privind îndeplinirea cerinţelor referitoare la securitatea reţinerii datelor şi restricţionarea accesului terţilor la datele reţinute. A fost subliniată cu această ocazie importanţa în contextul actualului nivel de dezvoltare a societăţii a reţinerii datelor de trafic din domeniul comunicaţiilor, dar şi nevoia menţinerii unui echilibru între interesul public şi cel individual. Prin aceeaşi decizie a fost constatată şi lipsa definirii mijloacelor ce ar trebui puse la dispoziţia persoanelor afectate pentru a beneficia de o protecţie eficientă împotriva arbitrariului şi a folosirii abuzive a datelor stocate.
77. În fine, Curtea Supremă Administrativă a Bulgariei, prin Decizia nr. 13.627 din 11 decembrie 2008, a anulat un articol din legea naţională privind retenţia datelor care permitea Ministerului de Interne accesul pentru a reţine date în terminalele computerelor şi, de asemenea, furnizarea accesului serviciilor de securitate şi altor instituţii de aplicare a legii la aceste date, fără autorizarea unui organ judiciar, motivând că dispoziţia legală anulată nu prevedea nicio garanţie pentru protecţia dreptului la viaţă privată şi că nu era stabilit niciun mecanism care să garanteze această protecţie împotriva interferenţelor nelegale, astfel încât să se evite afectarea onoarei, demnităţii ori reputaţiei unei persoane.
78. În ceea ce priveşte efectele deciziilor sale, Curtea reaminteşte caracterul definitiv şi general obligatoriu al acestora. Prin urmare, în cazul de faţă, având în vedere şi Hotărârea din 8 aprilie 2014 a Curţii de Justiţie a Uniunii Europene, odată cu publicarea în Monitorul Oficial al României, Partea I, a prezentei decizii, devine lipsită de temei juridic, atât din punct de vedere al dreptului european, cât şi al celui naţional, activitatea de reţinere şi folosire a datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţelele de comunicaţii publice. Concret, aceasta înseamnă că de la publicarea deciziei Curţii Constituţionale a României, furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului nu mai au nici obligaţia, dar nici posibilitatea legală de a reţine anumite date generate sau prelucrate în cadrul activităţii lor şi de a le pune la dispoziţia organelor judiciare şi ale celor cu atribuţii în domeniul siguranţei naţionale. Prin excepţie, pot fi reţinute de către aceşti furnizori doar datele necesare pentru facturare sau plăţi pentru interconectare ori alte date prelucrate în scopuri de comercializare doar cu consimţământul prealabil al persoanei ale cărei date sunt prelucrate, aşa cum prevede Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice), în vigoare.
79. Corelativ, până la adoptarea de către Parlament a unei noi legi privind reţinerea datelor, care să respecte prevederile şi exigenţele constituţionale, aşa cum au fost relevate în prezenta decizie, organele judiciare şi organele de stat cu atribuţii în domeniul siguranţei naţionale nu mai au acces la datele care au fost reţinute şi stocate deja în baza Directivei 2006/24/CE şi a Legii nr. 82/2012 în vederea utilizării lor în cadrul activităţilor definite de art. 1 alin. (1) din Legea nr. 82/2012. De asemenea, organele judiciare şi cele cu atribuţii în domeniul siguranţei naţionale nu au temei legal şi constituţional nici pentru accesarea şi utilizarea datelor reţinute de către furnizori pentru facturare, plăţi pentru interconectare ori în alte scopuri comerciale, pe care să le folosească în cadrul activităţilor de prevenire, de cercetare, de descoperire şi de urmărire penală a infracţiunilor grave sau pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei, tocmai datorită caracterului, naturii şi scopului diferit al acestora, aşa cum este prevăzut de Directiva 2002/58/CE. De altfel, chiar Legea nr. 82/2012 stabileşte în art. 11 că aceste ultime date reţinute sunt exceptate de la prevederile legii, având un alt regim juridic, fiind supuse prevederilor Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
80. Referitor la critica de neconstituţionalitate formulată cu privire la prevederile art. 152 din Codul de procedură penală, Curtea reţine că textul criticat nu reglementează procedura de reţinere şi stocare a datelor generate sau prelucrate de către furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului de a reţine datele generate sau prelucrate, ci doar stabileşte procedura de autorizare prealabilă, de către judecătorul de drepturi şi libertăţi, a solicitării adresate acestor furnizori de către organele de urmărire penală, în vederea accesării şi utilizării datelor reţinute. Acest text care reglementează una din metodele speciale de supraveghere sau cercetare prevăzute de titlul IV capitolul IV din Codul de procedură penală este cel care asigură controlul judecătoresc asupra activităţilor reglementate de lege, constituind tocmai garanţia procedurală a dreptului la viaţa intimă, familială şi privată, prevăzut la art. 26 din Constituţie, invocat în susţinerea excepţiei de neconstituţionalitate. Este evident că, în condiţiile inexistenţei unei legi care să reglementeze procedura reţinerii şi stocării datelor, art. 152 din Codul de procedură penală rămâne fără aplicabilitate practică, dar această împrejurare nu se constituie într-un viciu de neconstituţionalitate, textul urmând a deveni incident imediat ce este adoptată o nouă lege referitoare la reţinerea datelor.
81. Aşa fiind, Curtea apreciază că dispoziţiile art. 152 din Codul de procedură penală nu încalcă prevederile Constituţiei, astfel încât critica având acest obiect urmează a fi respinsă ca neîntemeiată.
82. Pentru considerentele expuse mai sus, în temeiul art. 146 lit. d) şi al art. 147 alin. (4) din Constituţie, precum şi al art. 1-3, al art. 11 alin. (1) lit. A.d) şi al art. 29 din Legea nr. 47/1992, cu unanimitate de voturi,

CURTEA CONSTITUŢIONALĂ

În numele legii

DECIDE:

1. Admite excepţia de neconstituţionalitate ridicată de Judecătoria Constanţa - Secţia penală, din oficiu, în Dosarul nr. 11.972/212/2014 şi de Judecătoria Târgovişte, din oficiu, în Dosarul nr. 4.753/315/2014 şi constată că dispoziţiile Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice sunt neconstituţionale.
2. Respinge ca neîntemeiată excepţia de neconstituţionalitate ridicată de Judecătoria Constanţa - Secţia penală, din oficiu, în Dosarul nr. 11.972/212/2014 şi constată că prevederile art. 152 din Codul de procedură penală sunt constituţionale în raport cu criticile formulate.
Definitivă şi general obligatorie.
Decizia se comunică celor două Camere ale Parlamentului, Guvernului, Judecătoriei Constanţa şi Judecătoriei Târgovişte şi se publică în Monitorul Oficial al României, Partea I.
Pronunţată în şedinţa din data de 8 iulie 2014.
-****-

PREŞEDINTELE CURŢII CONSTITUŢIONALE

AUGUSTIN ZEGREAN

Magistrat-asistent,

Cristina Teodora Pop

Publicat în Monitorul Oficial cu numărul 653 din data de 4 septembrie 2014