Curtea Constituțională a României (CCR) a explicat, într-o decizie publicată, marți, pe pagina sa de internet, de ce a admis sesizările Avocatului Poporului şi USR în legătură cu reglementări referitoare la comunicaţiile electronice. Este vorba despre declararea ca neconstituțională a normelor potrivit cărora care furnizorii de servicii de găzduire electronică cu resurse IP au obligaţia să sprijine organele de aplicare a legii şi organele cu atribuţii în domeniul securităţii naţionale pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare, prin furnizarea informațiilor referitoare la date de trafic, date de identificare a abonaților sau clienților, modalități de plată și istoricul accesărilor cu momentele de timp aferente, corespunzătoare unei adrese IP.
Instanța de contencios constituțional a constatat că, după ce Legea nr.82/2012 a fost declarată neconstituțională în integralitatea sa, prin Decizia nr.440 din 8 iulie 2014, nici până în prezent, legiuitorul nu a reglementat o nouă lege referitoare la reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului.
”Lipsa unei reglementări legale care să stabilească obligația reținerii și a stocării informațiilor de către furnizorii de rețele sau servicii de comunicații electronice și, implicit, lipsa garanțiilor aferente acestei obligații deschid posibilitatea unor abuzuri în activitatea de reţinere și stocare a datelor, cu riscul afectării dreptului la viaţă intimă, familială și privată al persoanei, la secretul corespondenţei şi la libertatea de exprimare”, se arată în Decizia CCR nr. 295/18 mai 2022.
Potrivit Curții Constituționale, ”dispozițiile art.102 alin.(1) lit.c) din Ordonanța de urgență a Guvernului nr.111/2011 sunt lipsite de efecte juridice, reglementând o obligație ulterioară, dar aflată într-un raport de necesitate sine qua non cu o obligație anterioară, aceea a reținerii și stocării informațiilor, pe care legiuitorul omite să o reglementeze”.
Extrase din decizia CCR nr. 295/18 mai 2022
Cu privire la prima etapă a mecanismului de reţinere și prelucrare a datelor, respectiv etapa reţinerii şi stocării informațiilor, care în mod firesc este prima operaţiune din punct de vedere cronologic și fără de care etapa accesului și folosirii informațiilor nu este posibilă, Curtea observă că legiuitorul omite să o reglementeze, limitându-se doar la o mențiune vagă și implicită în textul de lege criticat. Astfel, folosind sintagma „informațiile reținute sau stocate” în cuprinsul dispozițiilor art.102 alin.(1) lit.c) din Ordonanța de urgență a Guvernului nr.111/2011, cu privire la care este reglementată obligația furnizorilor de rețele sau servicii de comunicații electronice de a le furniza organelor de urmărire penală sau organelor cu atribuții în domeniul securității naționale, legiuitorul creează doar aparența unei reglementări a mecanismului de retenție a informațiilor electronice. În fapt, analizând obligațiile care cad în sarcina furnizorilor de rețele sau servicii de comunicații electronice, potrivit art.102 alin.(1) din ordonanța de urgență, Curtea constată că în enumerarea prevăzută de textul de lege nu se regăsește obligația reținerii și a stocării informațiilor și, implicit, nu se regăsesc nici garanțiile aferente acestei obligații.
Luând act de faptul că Directiva 2006/24/CE a fost declarată nevalidă prin Hotărârea din 8 aprilie 2014 a Curții de Justiție a Uniunii Europene și că, în urma controlului de constituționalitate, Legea nr.82/2012 a fost declarată neconstituțională în integralitatea sa, prin Decizia nr.440 din 8 iulie 2014, Curtea a constatat că activitatea de reţinere şi folosire a datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţelele de comunicaţii publice „devine lipsită de temei juridic, atât din punct de vedere al dreptului european, cât şi al celui naţional” (paragraful 78).
Prin aceeași decizie, cu privire la critica de neconstituţionalitate având ca obiect dispozițiile art.152 din Codul de procedură penală, care prevedeau, la data efectuării controlului, posibilitatea organelor de urmărire penală, cu autorizarea prealabilă a judecătorului de drepturi şi libertăţi, de a solicita unui furnizor de reţele publice de comunicaţii electronice sau unui furnizor de servicii de comunicaţii electronice destinate publicului „transmiterea datelor reţinute, în baza legii speciale privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, altele decât conţinutul comunicaţiilor”, Curtea a reţinut că, „în condiţiile inexistenţei unei legi care să reglementeze procedura reţinerii şi stocării datelor, art.152 din Codul de procedură penală rămâne fără aplicabilitate practică, dar această împrejurare nu se constituie într-un viciu de neconstituţionalitate, textul urmând a deveni incident imediat ce este adoptată o nouă lege referitoare la reţinerea datelor”.
În condițiile în care nu a fost adoptată o altă lege privind reținerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, art.152 din Codul de procedură penală a fost modificat prin articolul unic pct.2 din Legea nr.75/2016 privind aprobarea Ordonanţei de urgenţă a Guvernului nr.82/2014 pentru modificarea şi completarea Legii nr.135/2010 privind Codul de procedură penală, publicată în Monitorul Oficial al României, Partea I, nr.334 din 29 aprilie 2016, astfel că dispozițiile procesual penale în vigoare nu mai fac referire la o lege specială privind reţinerea datelor.
Curtea constată că, nici până în prezent, legiuitorul nu a reglementat o nouă lege referitoare la reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului. „Concret, aceasta înseamnă că de la publicarea deciziei Curţii Constituţionale a României, furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului nu mai au nici obligaţia, dar nici posibilitatea legală de a reţine anumite date generate sau prelucrate în cadrul activităţii lor şi de a le pune la dispoziţia organelor judiciare şi a celor cu atribuţii în domeniul siguranţei naţionale” (Decizia nr.440 din 8 iulie 2014, paragraful 78). Cu titlu de excepţie, Curtea a statuat că „pot fi reţinute de către aceşti furnizori doar datele necesare pentru facturare sau plăţi pentru interconectare ori alte date prelucrate în scopuri de comercializare doar cu consimţământul prealabil al persoanei ale cărei date sunt prelucrate, aşa cum prevede Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice), în vigoare”. Însă, cu privire la aceste date, având în vedere caracterul, natura şi scopul lor diferit, aşa cum este prevăzut de Directiva 2002/58/CE și de Legea nr.506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, Curtea a constatat că organele judiciare şi cele cu atribuţii în domeniul siguranţei naţionale nu au temei legal şi constituţional pentru accesarea şi utilizarea acestora „în cadrul activităţilor de prevenire, de cercetare, de descoperire şi de urmărire penală a infracţiunilor grave sau pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei” (Decizia nr.440 din 8 iulie 2014, paragraful 79).
Or, lipsa unei reglementări legale care să stabilească obligația reținerii și a stocării informațiilor de către furnizorii de rețele sau servicii de comunicații electronice și, implicit, lipsa garanțiilor aferente acestei obligații deschid posibilitatea unor abuzuri în activitatea de reţinere și stocare a datelor, cu riscul afectării dreptului la viaţă intimă, familială și privată al persoanei, la secretul corespondenţei şi la libertatea de exprimare. Curtea reține că obligația instituită prin legea criticată în sarcina furnizorilor de rețele sau servicii de comunicații electronice de a furniza „informațiile reținute sau stocate” organelor de urmărire penală sau organelor cu atribuții în domeniul securității naționale nu are caracter previzibil, iar proporționalitatea măsurii nu este asigurată prin reglementarea unor garanții corespunzătoare, cu respectarea prevederilor art.1 alin.(5) din Constituție, astfel că ingerința statului în exercitarea drepturilor constituționale menționate nu este formulată într-o manieră susceptibilă să ofere încredere cetățenilor în caracterul său strict necesar într-o societate democratică.
În concluzie, Curtea reţine că, în condiţiile în care legiuitorul nu a adoptat un act normativ prin care să reglementeze procedura reţinerii şi stocării informațiilor referitoare la date de trafic, date de identificare a abonaților sau clienților, modalități de plată și istoricul accesărilor cu momentele de timp aferente, corespunzătoare unei adrese IP, de către furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, dispozițiile art.102 alin.(1) lit.c) din Ordonanța de urgență a Guvernului nr.111/2011 sunt lipsite de efecte juridice, reglementând o obligație ulterioară, dar aflată într-un raport de necesitate sine qua non cu o obligație anterioară, aceea a reținerii și stocării informațiilor, pe care legiuitorul omite să o reglementeze. Chiar dacă norma prevede garanțiile necesare accesului și folosirii informațiilor reținute sau stocate (a doua etapă a mecanismului retenției datelor), prin modul defectuos/ambiguu de redactare, lipsit de precizie și predictibilitate, Curtea constată că aceleași dispoziții sunt susceptibile de a crea aparența de legalitate cu privire la activitatea de reținere și stocare a informațiilor electronice (prima etapă a mecanismului retenției datelor), lăsând posibilitatea interpretării acestora în sensul că obligația reținerii și stocării informațiilor electronice poate fi reglementată prin acte normative infralegale, adoptate de autorități publice administrative cu competențe în materia comunicaţiilor electronice. Or, o atare concluzie este incompatibilă cu drepturile fundamentale a căror protecție este consacrată constituțional, astfel că dispozițiile art.2 pct.27 din Legea pentru modificarea și completarea unor acte normative în domeniul comunicațiilor electronice pentru stabilirea unor măsuri de facilitare a dezvoltării rețelelor de comunicații electronice prin care se introduce art.102 alin.(1) lit.c) în Ordonanța de urgență a Guvernului nr.111/2011 urmează a fi declarate neconstituționale prin raportare la art.1 alin.(5), art.26, 28 și 30 din Constituţie.
Pentru motivele expuse mai sus, Curtea reține că este întemeiată și critica formulată prin raportare la prevederile art.147 alin.(4) din Constituție, calificată eronat drept o critică de neconstituționalitate extrinsecă, și constată că prevederile art.2 pct.27 din legea criticată, cu referire la introducerea art.102 alin.(1) lit.c) în Ordonanța de urgență a Guvernului nr.111/2011 privind comunicațiile electronice, conservă și perpetuează viciul de neconstituționalitate al soluțiilor legislative anterioare a căror neconstituționalitate a fost constatată prin Deciziile Curții Constituționale nr.440 din 8 iulie 2014 și nr.461 din 16 septembrie 2014.
DOCUMENT – Decizia nr.295 din 18 mai 2022 referitoare la obiecţia de neconstituţionalitate a dispoziţiilor art.2 pct.27, cu referire la introducerea art.102 în Ordonanța de urgență a Guvernului nr.111/2011 privind comunicațiile electronice, ale art.10, ale art.13 și ale art.48 din Legea pentru modificarea și completarea unor acte normative în domeniul comunicațiilor electronice pentru stabilirea unor măsuri de facilitare a dezvoltării rețelelor de comunicații electronice:
Comments 1