DECIZIA nr. 589 din 21 septembrie 2017referitoare la excepția de neconstituționalitate a dispozițiilor art. 12^1 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice
EMITENT
  • CURTEA CONSTITUȚIONALĂ
  • Publicat în  MONITORUL OFICIAL nr. 89 din 30 ianuarie 2018



    Valer Dorneanu- președinte
    Marian Enache- judecător
    Mircea Ștefan Minea- judecător
    Daniel Marius Morar- judecător
    Mona-Maria Pivniceru- judecător
    Livia Doina Stanciu- judecător
    Simona-Maya Teodoroiu- judecător
    Varga Attila- judecător
    Ioana Marilena Chiorean- magistrat-asistent
    Cu participarea reprezentantului Ministerului Public, procuror Marinela Mincă.1. Pe rol se află soluționarea excepției de neconstituționalitate a dispozițiilor art. 12^1 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, excepție ridicată, din oficiu, de Curtea de Apel Galați - Secția penală și pentru cauze cu minori în Dosarul nr. 161/44/2016 și care formează obiectul Dosarului Curții Constituționale nr. 253D/2016.2. Curtea, în temeiul art. 12 alin. (1) din Legea nr. 47/1992 privind organizarea și funcționarea Curții Constituționale, hotărăște judecarea prezentei cauze în ședință nepublică, având în vedere obiectul dosarului în care a fost ridicată excepția de neconstituționalitate.3. Având cuvântul, reprezentantul Ministerului Public pune concluzii de respingere, ca inadmisibilă, a excepției de neconstituționalitate referitoare la dispozițiile privind organele de stat cu atribuții în domeniul apărării și securității naționale, din cuprinsul art. 12^1 din Legea nr. 506/2004, întrucât acestea nu au legătură cu cauza judecată în Camera de Consiliu și generată de solicitarea parchetului, iar nu a unui organ de stat cu atribuții în domeniul apărării și securității naționale. Cu privire la celelalte dispoziții din cuprinsul art. 12^1 din Legea nr. 506/2004, pune concluzii de respingere, ca neîntemeiată, a excepției de neconstituționalitate, susținând, în esență, că Legea nr. 506/2004 transpune în dreptul intern Directiva 2002/58/CE, care, la art. 15, prevede că statele membre pot adopta măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale. Or, accesul la datele prevăzute de textul de lege criticat se face doar cu autorizarea prealabilă a judecătorului, iar tipurile de autorități care au acces la date, precum și categoriile de date sunt expres și limitativ prevăzute, astfel încât nu se pune problema lipsei de claritate și previzibilitate a textului de lege criticat. De asemenea, instituirea termenului de 3 ani pentru stocarea datelor este impusă de termenul general de prescripție extinctivă de 3 ani, prevăzut de Codul civil. În final susține că dispozițiile de lege criticate respectă Constituția și Convenția pentru apărarea drepturilor omului și a libertăților fundamentale.
    CURTEA,
    având în vedere actele și lucrările dosarului, constată următoarele:4. Prin Încheierea din 26 februarie 2016, pronunțată în Dosarul nr. 161/44/2016, Curtea de Apel Galați - Secția penală și pentru cauze cu minori a sesizat Curtea Constituțională cu excepția de neconstituționalitate a prevederilor art. 12^1 din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice. Excepția a fost invocată de instanța judecătorească, din oficiu, în cadrul soluționării cererii formulate de Parchetul de pe lângă Înalta Curte de Casație și Justiție - Direcția Națională Anticorupție - Serviciul Teritorial Galați, prin care solicită autorizarea prealabilă a judecătorului de drepturi și libertăți, în vederea dispunerii de către procuror - către toți furnizorii de rețele publice de comunicații electronice și toți furnizorii de servicii de comunicații electronice destinate publicului care activează în România - a punerii de îndată la dispoziție a datelor generate sau prelucrate (altele decât conținutul comunicațiilor) - art. 152 din Codul de procedură penală.5. În motivarea excepției de neconstituționalitate, instanța de judecată susține că prevederile de lege criticate reprezintă o ingerință în drepturile fundamentale privind viața intimă, familială și privată, secretul corespondenței și libertatea de exprimare. Instanța arată că, pentru ca ingerința în drepturile fundamentale menționate să fie legală, este necesar ca aceasta să fie reglementată de o manieră clară, previzibilă și lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului autorităților în acest domeniu, ceea ce nu rezultă din textul de lege criticat. Astfel, se observă că, în lege, nu se prevede un termen pentru care se pot reține și stoca asemenea date, singura obligație a furnizorilor de servicii fiind de a le șterge sau anonimiza când nu le mai sunt necesare, dar nu mai târziu de 3 ani de la data efectuării comunicării ori, după caz, de la data scadenței de plată, potrivit art. 5 din Legea nr. 506/2004. Practic, aceste date pot fi stocate pe o perioadă de 3 ani, iar, în condițiile art. 12^1 alin. (5) din Legea nr. 506/2004, pe o perioadă de 5 ani, fără a fi justificată o asemenea ingerință în viața privată a persoanei. Prin urmare, ingerința în drepturile fundamentale privind viața intimă, familială și privată, secretul corespondenței și libertatea de exprimare este de o mare amploare și trebuie considerată ca fiind deosebit de gravă, iar împrejurarea că păstrarea datelor și utilizarea lor ulterioară sunt efectuate fără ca persoana să fie informată cu privire la aceasta este susceptibilă să imprime în conștiința persoanelor vizate sentimentul că viața lor privată face obiectul unei supravegheri constante. De asemenea, textul de lege criticat nu cuprinde norme clare și precise cu privire la conținutul și aplicarea măsurii reținerii și utilizării, așa încât persoanele ale căror date au fost păstrate să beneficieze de garanții suficiente, care să asigure o protecție eficientă împotriva abuzurilor și oricărui acces sau utilizări ilicite, legea neprezentând criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces și care pot utiliza, ulterior, datele păstrate. Totodată, garanțiile legale privind accesarea și utilizarea în concret a datelor reținute nu sunt suficiente și adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, așa încât manifestarea acestora să aibă loc într-o manieră acceptabilă. Din analiza art. 12^1 al Legii nr. 506/2004 rezultă că autorizarea prealabilă ar trebui să fie dată de „judecătorul stabilit potrivit legii“, fără a se face trimitere la care lege. Nu se poate considera că textul face trimitere la art. 152 din Codul de procedură penală, din moment ce însuși acest articol este o normă de trimitere. Chiar dacă am fi în situația în care o normă de trimitere se completează tot cu o normă de trimitere, se constată că cele două norme nu sunt suficiente, pentru că tot nu se pot afla care sunt infracțiunile în cazul cărora judecătorul, presupus a fi cel de drepturi și libertăți, ar putea autoriza ingerința în dreptul la viață privată al unei persoane. În nicio dispoziție de lege nu se prevăd categoriile de infracțiuni pentru care ingerința în drepturile unei persoane poate fi încuviințată de judecătorul de drepturi și libertăți, categorie de infracțiuni la care dispozițiile art. 152 din Codul de procedură penală fac trimitere și care ar fi trebuit reglementate dacă Legea nr. 506/2004 ar fi fost menită a completa articolul din procedura penală.6. Instanța judecătorească, autoare a excepției de neconstituționalitate, mai susține că, deși, așa cum se reține în chiar Expunerea de motive a Legii nr. 235/2015, menirea acesteia nu este de a înlocui Legea nr. 82/2012, declarată neconstituțională prin Decizia Curții Constituționale nr. 440 din 8 iulie 2014, aceasta reglementează accesul autorităților la datele generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului, domeniu de reglementare acoperit și de fosta Lege nr. 82/2012, dar fără a fi respectate exigențele și standardele de protecție a drepturilor statuate prin decizia sus-menționată. Legea nr. 506/2004 reglementează securitatea prelucrării datelor cu caracter personal, stocarea informației, prelucrarea datelor de trafic și a datelor de localizare, însă, pentru toate regulile stabilite de lege se precizează că nu trebuie să aducă atingere posibilității autorităților competente de a avea acces la datele păstrate de furnizori. Prin urmare, orice limitare a legii este înlăturată, în vederea aplicării dispozițiilor nou-introduse ale art. 12^1. Față de cele arătate, instanța susține că textul legal criticat nu oferă garanțiile necesare protecției dreptului la viață intimă, familială și privată, a secretului corespondenței și a libertății de exprimare ale persoanelor ale căror date stocate sunt accesate.7. Potrivit prevederilor art. 30 alin. (1) din Legea nr. 47/1992, încheierea de sesizare a fost comunicată președinților celor două Camere ale Parlamentului, Guvernului și Avocatului Poporului, pentru a-și exprima punctele de vedere asupra excepției de neconstituționalitate.8. Guvernul consideră că excepția de neconstituționalitate este neîntemeiată. În acest sens, arată că Legea nr. 82/2012 privind reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului, precum și pentru modificarea și completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, republicată, cu modificările și completările ulterioare, a stabilit obligația furnizorilor de rețele publice de comunicații electronice și a furnizorilor de servicii de comunicații electronice destinate publicului de a reține anumite date generate sau prelucrate în cadrul activității lor pentru punerea acestora la dispoziția organelor de urmărire penală, instanțelor de judecată și organelor de stat cu atribuții în domeniul siguranței naționale în scopul utilizării lor în cadrul activităților de prevenire, de cercetare, de descoperire și de urmărire penală a infracțiunilor grave sau pentru rezolvarea cauzelor cu persoane disparate ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei. Legea nr. 82/2012 reprezintă transpunerea în legislația națională a Directivei 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE. Prin Hotărârea Curții de Justiție a Uniunii Europene din 8 aprilie 2014, pronunțată în cauzele conexate C-293/12 și C-594/12, Directiva 2006/24/CE a fost declarată nevalidă. Prin Decizia nr. 440 din 8 iulie 2014, Curtea Constituțională a admis excepția de neconstituționalitate și a constatat că dispozițiile Legii nr. 82/2012 sunt neconstituționale. După publicarea acestei decizii în Monitorul Oficial al României, furnizorii de rețele publice de comunicații electronice și furnizorii de servicii de comunicații electronice destinate publicului nu mai au nici obligația, dar nici posibilitatea legală de a reține anumite date generate sau prelucrate în cadrul activității lor și de a le pune la dispoziția organelor judiciare și a celor cu atribuții în domeniul siguranței naționale. Prin excepție, dispozițiile art. 5 alin. (2)-(4) din Legea nr. 506/2004 prevăd faptul că pot fi reținute de către respectivii furnizori doar datele necesare pentru facturare sau plăți, pentru interconectare ori alte date prelucrate în scopuri de comercializare doar cu consimțământul prealabil al persoanei ale cărei date sunt prelucrate, așa cum prevede Directiva 2002/58/CE, în vigoare. În absența unei reglementări de lege lata care să prevadă obligația furnizorilor de rețele publice de comunicații electronice și a furnizorilor de servicii de comunicații electronice destinate publicului de a reține anumite date generate sau prelucrate în cadrul activității lor pentru punerea acestora la dispoziția organelor de urmărire penală, instanțelor de judecată și organelor de stat cu atribuții în domeniul siguranței naționale, în scopul utilizării lor în cadrul activităților de prevenire, de cercetare, de descoperire și de urmărire penală a infracțiunilor grave sau pentru rezolvarea cauzelor cu persoane disparate ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei, și, având în vedere faptul că datele de trafic, datele de identificare a echipamentului și datele de localizare pot contribui la realizarea atribuțiilor legale ce revin organelor judiciare și organelor de stat cu atribuții în domeniul apărării și securității naționale, prin Legea nr. 235/2015 a fost introdus în Legea nr. 506/2004, după art. 12, un articol nou, art. 12^1, care reglementează condițiile în care datele de trafic, datele de identificare a echipamentului și datele de localizare sunt puse la dispoziția organelor anterior menționate. Guvernul mai arată că Expunerea de motive a Legii nr. 235/2015 justifică necesitatea acestei intervenții legislative, sens în care redă această expunere de motive. Consideră că, atâta vreme cât dispozițiile legale criticate permit accesul doar la datele de trafic, datele de identificare a echipamentului și datele de localizare, dar nu și la conținutul convorbirilor, inviolabilitatea convorbirilor telefonice și a celorlalte mijloace legale de comunicare, este respectată Decizia Curții Constituționale nr. 440 din 8 iulie 2014, sens în care redă paragrafele 62 și 63 ale acesteia. În final, Guvernul consideră că, de vreme ce accesul la aceste date este supus autorizării prealabile a unui judecător, există garanția unei protecții eficiente a vieții private și a libertății de exprimare, astfel încât dispozițiile legale criticate sunt conforme cu art. 26 și 30 din Constituție.9. Președinții celor două Camere ale Parlamentului și Avocatul Poporului nu au comunicat punctele lor de vedere asupra excepției de neconstituționalitate.
    CURTEA,
    examinând încheierea de sesizare, punctul de vedere al Guvernului, raportul întocmit de judecătorul-raportor, concluziile procurorului, dispozițiile legale criticate, raportate la prevederile Constituției, precum și Legea nr. 47/1992, reține următoarele:10. Curtea Constituțională a fost legal sesizată și este competentă, potrivit dispozițiilor art. 146 lit. d) din Constituție, precum și ale art. 1 alin. (2), ale art. 2, 3, 10 și 29 din Legea nr. 47/1992, să soluționeze excepția de neconstituționalitate.11. Obiectul excepției de neconstituționalitate îl constituie prevederile art. 12^1 („Accesul la date al autorităților“) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr. 1.101 din 25 noiembrie 2004, introduse prin art. unic pct. 4 din Legea nr. 235/2015 pentru modificarea și completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr. 767 din 14 octombrie 2015, prevederi care au următorul conținut:(1) La solicitarea instanțelor de judecată sau la solicitarea organelor de urmărire penală ori a organelor de stat cu atribuții în domeniul apărării și securității naționale, cu autorizarea prealabilă a judecătorului stabilit potrivit legii, furnizorii de servicii de comunicații electronice destinate publicului și furnizorii de rețele publice de comunicații electronice pun la dispoziția acestora, de îndată, dar nu mai târziu de 48 de ore, datele de trafic, datele de identificare a echipamentului și datele de localizare, în conformitate cu prevederile referitoare la protecția datelor cu caracter personal.(2) Solicitările privind datele prevăzute la alin. (1), formulate de către organele de stat cu atribuții în domeniul apărării și securității naționale, sunt supuse dispozițiilor art. 14, 15 și art. 17-23 din Legea nr. 51/1991 privind securitatea națională a României, republicată.(3) Solicitările, respectiv răspunsurile, dacă sunt transmise în format electronic, se semnează cu semnătură electronică extinsă bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde, potrivit legii, pentru integritatea și securitatea acestor date.(4) Solicitările prevăzute la alin. (1) se procesează în condiții de confidențialitate.(5) Datele de trafic, datele de identificare a echipamentului și datele de localizare solicitate conform alin. (1) nu fac obiectul ștergerii sau anonimizării de către furnizori, atunci când solicitarea formulată în temeiul alin. (1) este însoțită ori urmată de o notificare cu privire la necesitatea menținerii lor, în scopul identificării și conservării probelor sau indiciilor temeinice, în cadrul investigațiilor pentru combaterea infracțiunilor ori în domeniul apărării și securității naționale, atât timp cât subzistă motivele care au stat la baza solicitării, dar nu mai mult de 5 ani de la data solicitării sau, după caz, până la pronunțarea unei hotărâri definitive a instanței de judecată.(6) Instanțele de judecată, organele de urmărire penală sau organele de stat cu atribuții în domeniul apărării și securității naționale notifică furnizorilor încetarea motivelor care au stat la baza solicitării ori, după caz, pronunțarea unei hotărâri judecătorești definitive.“12. În opinia instanței de judecată, autoare a excepției de neconstituționalitate, prevederile de lege criticate contravin dispozițiilor din Constituție cuprinse în art. 26 privind viața intimă, familială și privată, art. 28 privind secretul corespondenței și art. 30 privind libertatea de exprimare. De asemenea, se invocă dispozițiile art. 8 privind dreptul la respectarea vieții private și de familie și art. 10 privind libertatea de exprimare din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale.13. Examinând excepția de neconstituționalitate, Curtea reține că excepția de neconstituționalitate a dispozițiilor art. 12^1 din Legea nr. 506/2004 a fost invocată în cadrul soluționării cererii formulate de Parchetul de pe lângă Înalta Curte de Casație și Justiție - Direcția Națională Anticorupție - Serviciul Teritorial Galați, prin care solicită autorizarea prealabilă a judecătorului de drepturi și libertăți, în vederea dispunerii de către procuror - către toți furnizorii de rețele publice de comunicații electronice și toți furnizorii de servicii de comunicații electronice destinate publicului care activează în România - a punerii de îndată la dispoziție a datelor generate sau prelucrate (altele decât conținutul comunicațiilor). Art. 12^1 alin. (2) din Legea nr. 506/2004 se referă la solicitările formulate de către „organele de stat cu atribuții în domeniul apărării și securității naționale“, art. 12^1 alin. (5) din Legea nr. 506/2004 se referă la ipoteza în care solicitarea este însoțită ori urmată de o notificare cu privire la necesitatea menținerii datelor, iar art. 12^1 alin. (6) din aceeași lege reglementează obligația instanțelor de judecată, a organelor de urmărire penală sau organelor de stat cu atribuții în domeniul apărării și securității naționale de a notifica furnizorilor încetarea motivelor care au stat la baza solicitării ori, după caz, pronunțarea unei hotărâri judecătorești definitive.14. Întrucât litigiul în cadrul căruia a fost invocată excepția de neconstituționalitate a fost generat de solicitarea formulată de Parchetul de pe lângă Înalta Curte de Casație și Justiție - Direcția Națională Anticorupție - Serviciul Teritorial Galați, iar nu de un organ de stat cu atribuții în domeniul apărării și securității naționale, iar solicitarea nu a fost însoțită ori urmată de o notificare cu privire la necesitatea menținerii datelor, dispozițiile art. 12^1 alin. (2) și (5) din Legea nr. 506/2004 nu au legătură cu cauza în cadrul căreia s-a invocat excepția de neconstituționalitate. De asemenea, dispozițiile art. 12^1 alin. (6) din Legea nr. 506/2004, ce vizează obligația de a notifica furnizorilor încetarea motivelor care au stat la baza solicitării ori, după caz, pronunțarea unei hotărâri judecătorești definitive, nu au legătură cu soluționarea cererii prin care solicită autorizarea prealabilă a judecătorului de drepturi și libertăți, în vederea dispunerii de către procuror - către toți furnizorii de rețele publice de comunicații electronice și toți furnizorii de servicii de comunicații electronice destinate publicului care activează în România - a punerii de îndată la dispoziție a datelor generate sau prelucrate (altele decât conținutul comunicațiilor) - art. 152 din Codul de procedură penală.15. În consecință, întrucât, potrivit art. 29 alin. (1) teza finală din Legea nr. 47/1992, dispozițiile de lege care formează obiect al excepției de neconstituționalitate trebuie să aibă legătură cu soluționarea cauzei, Curtea constată că excepția de neconstituționalitate a dispozițiilor art. 12^1 alin. (2), (5) și (6) din Legea nr. 506/2004 este inadmisibilă.16. Cu privire la celelalte dispoziții ale art. 12^1 din Legea nr. 506/2004, Curtea constată că legiuitorul nu a adoptat o nouă lege care să reglementeze procedura reținerii și stocării datelor și un mecanism real de control al activității furnizorilor de rețele publice și de servicii de comunicații electronice de către o autoritate independentă, așa cum era prevăzut în Decizia nr. 440 din 8 iulie 2014, paragraful 68.17. Prin Legea nr. 235/2015 au fost modificate și completate dispozițiile Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, după cum urmează:– s-a introdus definiția „datelor de identificare a echipamentului“ la art. 2 lit. b^1), ca fiind date de identificare a echipamentului - date tehnice ale furnizorilor de servicii de comunicații destinate publicului și ale furnizorului de rețele publice de comunicații electronice, care permit identificarea amplasamentului echipamentelor de comunicații ale acestora, prelucrate în scopul transmiterii unei comunicări printr-o rețea de comunicații electronice sau în scopul facturării contravalorii acestei operațiuni;– s-a modificat art. 5 alin. (1), cu următorul cuprins: „Datele de trafic referitoare la abonați și la utilizatori, prelucrate și stocate de către furnizorul unei rețele publice de comunicații electronice sau de către furnizorul unui serviciu de comunicații electronice destinat publicului, trebuie să fie șterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepția situațiilor prevăzute la alin. (2), (3) și (5).“– s-a introdus art. 5 alin. (2^1), cu următorul cuprins: „Prelucrarea datelor de trafic efectuată în scopul stabilirii obligațiilor contractuale ce privesc abonații serviciilor de comunicații cu plata în avans este permisă până la împlinirea unui termen de 3 ani de la data efectuării comunicării.“– s-a introdus un nou articol, art. 12^1 referitor la accesul la date al autorităților, dispoziții ce formează obiect al excepției de neconstituționalitate.18. În Expunerea de motive a Legii nr. 235/2015, s-a precizat că propunerea legislativă „nu urmărește înlocuirea Legii nr. 82/2012“. Prin urmare, „de vreme ce prezenta reglementare nu instituie o veritabilă obligație de reținere a datelor în afara scopului facturării și asigurării serviciului de comunicații, nu mai subzistă necesitatea asigurării unor garanții suplimentare privind prelucrarea și stocarea acestor date și nici a instituirii unui alt mecanism de control, garanții solicitate prin Decizia Curții Constituționale nr. 440 din 8 iulie 2014. Practic, completările și modificările aduse Legii nr. 506/2004 prin prezenta inițiativă legislativă constau în definirea datelor tehnice ce permit individualizarea echipamentelor utilizate de furnizorii de servicii și rețele publice de comunicații electronice și statuează garanțiile și condițiile de legalitate prin instituirea obligației de obținere a aprobării judecătorului competent anterior accesării respectivelor date de orice autorități și instituții publice. Totodată, trebuie precizat că respectivele date sunt deținute de furnizorii sus-menționați în scopul facturării și prevenirii unor litigii comerciale, iar acestor furnizori nu le sunt create obligații suplimentare“.19. Prin Legea nr. 75/2016 privind aprobarea Ordonanței de urgență a Guvernului nr. 82/2014 pentru modificarea și completarea Legii nr. 135/2010 privind Codul de procedură penală, publicată în Monitorul Oficial a României, Partea I, nr. 334 din 29 aprilie 2016, au fost modificate denumirea marginală („Obținerea datelor de trafic și de localizare prelucrate de către furnizorii de rețele publice de comunicații electronice ori furnizorii de servicii de comunicații electronice destinate publicului“) și alin. (1) al art. 152 din Codul de procedură penală, acesta având în prezent următorul conținut:(1) Organele de urmărire penală, cu autorizarea prealabilă a judecătorului de drepturi și libertăți, pot solicita date de trafic și localizare prelucrate de către furnizorii de rețele publice de comunicații electronice ori furnizorii de servicii de comunicații electronice destinate publicului dacă sunt îndeplinite, cumulativ, următoarele condiții:a) există o suspiciune rezonabilă cu privire la săvârșirea unei infracțiuni dintre cele prevăzute la art. 139 alin. (2) sau a unei infracțiuni de concurență neloială, de evadare, de fals în înscrisuri, infracțiuni privind nerespectarea regimului armelor, munițiilor, materialelor nucleare și al materiilor explozive, a unei infracțiuni privind nerespectarea dispozițiilor privind introducerea în țară de deșeuri și reziduuri, a unei infracțiuni privind organizarea și exploatarea jocurilor de noroc ori a unei infracțiuni privind regimul juridic al precursorilor de droguri, și infracțiuni referitoare la operațiuni cu produse susceptibile de a avea efecte psihoactive asemănătoare celor determinate de substanțele și produsele stupefiante sau psihotrope;b) există temeiuri justificate pentru a se crede că datele solicitate constituie probe;c) probele nu ar putea fi obținute în alt mod sau obținerea lor ar presupune dificultăți deosebite ce ar prejudicia ancheta ori există un pericol pentru siguranța persoanelor sau a unor bunuri de valoare;d) măsura este proporțională cu restrângerea drepturilor și libertăților fundamentale, date fiind particularitățile cauzei, importanța informațiilor ori a probelor ce urmează a fi obținute sau gravitatea infracțiunii.(2) Judecătorul de drepturi și libertăți se pronunță în termen de 48 de ore cu privire la solicitarea organelor de urmărire penală de transmitere a datelor, prin încheiere motivată, în camera de consiliu.(3) Furnizorii de rețele publice de comunicații electronice și furnizorii de servicii de comunicații electronice destinate publicului care colaborează cu organele de urmărire penală au obligația de a păstra secretul operațiunii efectuate.“20. Prin Decizia nr. 15 din 26 septembrie 2016 referitoare la examinarea recursului în interesul legii privind interpretarea și aplicarea unitară a dispozițiilor art. 12^1 din Legea nr. 506/2004, cu modificările și completările ulterioare, în materia obținerii datelor prelucrate de furnizorii de rețele publice de comunicații electronice sau furnizorii de servicii de comunicații electronice destinate publicului, publicată în Monitorul Oficial al României, Partea I, nr. 892 din 8 noiembrie 2016, Înalta Curte de Casație și Justiție - Completul competent să judece recursul în interesul legii a constatat că, „odată cu intrarea în vigoare a Legii nr. 75/2016, art. 152 din Codul de procedură penală a devenit temei legal unic și direct pentru autorizarea solicitării datelor de trafic și localizare prelucrate de către furnizorii de rețele publice de comunicații electronice sau furnizorii de servicii de comunicații electronice destinate publicului, în condițiile în care din conținutul alin. (1) al acestui articol a fost eliminată referirea la «legea specială» în baza căreia se realiza, în precedent, reținerea acestor date.“21. Ținând cont de aceste evenimente legislative, referitor la datele la care pot avea acces autoritățile, Curtea observă că art. 12^1 alin. (1) din Legea nr. 506/2004, introdus prin Legea nr. 235/2015, nu mai cuprinde sintagma „datele necesare“ pentru identificarea unui abonat sau unui utilizator înregistrat, așa cum era prevăzută în art. 1 alin. (2) din Legea nr. 82/2012, sintagmă cu privire la care Curtea a constatat, prin Decizia nr. 440 din 8 iulie 2014, că nu a înlăturat viciul de neconstituționalitate semnalat prin Decizia nr. 1.258 din 8 octombrie 2009, care a criticat faptul că legiuitorul nu a definit în mod expres ce se înțelege prin „date conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat“. Dispozițiile art. 12^1 alin. (1) din Legea nr. 506/2004, introduse prin Legea nr. 235/2015, reglementează accesul autorităților la datele de trafic, datele de identificare a echipamentului și datele de localizare, în conformitate cu prevederile referitoare la protecția datelor cu caracter personal. Potrivit art. 2 lit. b), lit. b^1) - introdusă prin Legea nr. 235/2015 - și lit. c) din Legea nr. 506/2004, „date de trafic“ sunt orice date prelucrate în scopul transmiterii unei comunicări printr-o rețea de comunicații electronice sau în scopul facturării contravalorii acestei operațiuni, „date de identificare a echipamentului“ sunt datele tehnice ale furnizorilor de servicii de comunicații destinate publicului și ale furnizorului de rețele publice de comunicații electronice, care permit identificarea amplasamentului echipamentelor de comunicații ale acestora, prelucrate în scopul transmiterii unei comunicări printr-o rețea de comunicații electronice sau în scopul facturării contravalorii acestei operațiuni, iar „date de localizare“ sunt orice date prelucrate întro rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al utilizatorului unui serviciu de comunicații electronice destinat publicului.22. Referitor la autoritățile care pot avea acces la aceste date, Curtea observă că, în conformitate cu art. 12^1 alin. (1) din Legea nr. 506/2004, instanțele judecătorești sau organele de urmărire penală pot avea acces la aceste date „cu autorizarea prealabilă a judecătorului stabilit potrivit legii“. Astfel, art. 12^1 alin. (1) din Legea nr. 506/2004, introdus prin Legea nr. 235/2015, nu preia soluția legislativă privind posibilitatea organelor de stat cu atribuții în domeniul prevenirii și contracarării amenințărilor la adresa securității naționale de a avea acces la datele reținute de furnizorii de servicii și rețele publice de comunicații electronice, fără autorizarea prealabilă a instanțelor, soluție legislativă cuprinsă în Legea nr. 82/2012, declarată neconstituțională prin Decizia nr. 440 din 8 iulie 2014. Așadar, în prezent, accesul tuturor autorităților la date este condiționat, în toate cazurile, de autorizarea prealabilă efectuată de către o instanță.23. În ceea ce privește obligația continuă a furnizorilor de rețele publice de comunicații electronice și a furnizorilor de servicii de comunicații electronice destinate publicului de a reține datele în cauză, Curtea reține că regula instituită de art. 5 alin. (1) din Legea nr. 506/2004, modificat prin Legea nr. 235/2015, este aceea că datele de trafic trebuie să fie șterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, „dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepția situațiilor prevăzute la alin. (2), (3) și (5).“ Art. 5 alin. (2), (3) și (5) prevăd următoarele:(2) Prelucrarea datelor de trafic efectuată în scopul facturării abonaților sau al stabilirii obligațiilor de plată pentru interconectare este permisă doar până la împlinirea unui termen de 3 ani de la data scadenței obligației de plată corespunzătoare.(3) Furnizorul unui serviciu de comunicații electronice destinat publicului poate prelucra datele prevăzute la alin. (1), în vederea comercializării serviciilor sale sau a furnizării de servicii cu valoare adăugată, numai în măsura și pe durata necesară comercializării, respectiv furnizării acestor servicii, și numai cu consimțământul expres prealabil al abonatului sau utilizatorului la care se referă datele respective. Abonatul sau, după caz, utilizatorul își poate retrage oricând consimțământul exprimat cu privire la prelucrarea datelor de trafic. [...](5) Prelucrarea datelor de trafic în condițiile alin. (1)-(4) poate fi efectuată numai de către persoanele care acționează sub autoritatea furnizorilor de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului, având ca atribuții facturarea ori gestionarea traficului, relațiile cu clienții, detectarea fraudelor, comercializarea serviciilor de comunicații electronice sau furnizarea serviciilor cu valoare adăugată, și este permisă numai în măsura în care este necesară pentru îndeplinirea acestor atribuții.24. Referitor la garanțiile legale care să asigure o protecție eficientă împotriva abuzurilor și a oricărui acces sau utilizări ilicite, Curtea constată că art. 12^1 alin. (1) din Legea nr. 506/2004, introdus prin Legea nr. 235/2015, prevede, în toate cazurile în care se solicită datele de trafic, datele de identificare a echipamentului și datele de localizare, autorizarea prealabilă a judecătorului, iar art. 12^1 alin. (3) prevede că „Solicitările, respectiv răspunsurile, dacă sunt transmise în format electronic, se semnează cu semnătură electronică extinsă bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde, potrivit legii, pentru integritatea și securitatea acestor date“, în vreme ce alin. (4) al aceluiași articol prevede că „Solicitările prevăzute la alin. (1) se procesează în condiții de confidențialitate.“25. Având în vedere acestea, Curtea constată că dispozițiile art. 12^1 alin. (1) din Legea nr. 506/2004, introduse prin Legea nr. 235/2015, referitoare la accesul la date al instanțelor de judecată sau al organelor de urmărire penală, chiar dacă se referă la date tehnice, iar nu la conținutul corespondenței, reprezintă o intervenție legislativă în sfera drepturilor fundamentale privind viața intimă, familială și privată, secretul corespondenței și libertatea de exprimare, consacrate de art. 26, art. 28 și, respectiv, de art. 30 din Constituție.26. Potrivit jurisprudenței Curții Constituționale, concretizate, cu titlu de exemplu, prin Decizia nr. 266 din 21 mai 2013, publicată în Monitorul Oficial al României, Partea I, nr. 443 din 19 iulie 2013, și Decizia nr. 462 din 17 septembrie 2014, publicată în Monitorul Oficial al României, Partea l, nr. 775 din 24 octombrie 2014, Curtea va analiza, prin prisma unui test de proporționalitate, dacă o astfel de ingerință este justificată, dacă obiectivul urmărit califică scopul reglementării ca fiind unul legitim și dacă limitarea este rezonabilă în raport cu obiectivul urmărit și nu tinde la transformarea acestui drept într-unul iluzoriu/teoretic. Conform principiului proporționalității, astfel cum a reținut Curtea prin Decizia nr. 662 din 11 noiembrie 2014, publicată în Monitorul Oficial al României, Partea l, nr. 47 din 20 ianuarie 2015, paragraful 28, orice măsură luată trebuie să fie adecvată - capabilă în mod obiectiv să ducă la îndeplinirea scopului, necesară - indispensabilă pentru îndeplinirea scopului și proporțională - justul echilibru între interesele concurente pentru a fi corespunzătoare scopului urmărit.27. De altfel, prin Decizia nr. 1.258 din 8 octombrie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 798 din 23 noiembrie 2009, Curtea a stabilit că este imperios necesară asigurarea unor mijloace legale adecvate și eficiente, compatibile cu procesul continuu de modernizare și tehnologizare a mijloacelor de comunicare, astfel încât fenomenul infracțional să poată fi controlat și contracarat. S-a arătat că tocmai de aceea drepturile individuale nu pot fi exercitate in absurdum, ci pot constitui obiectul unor restrângeri care sunt justificate în funcție de scopul urmărit. Limitarea exercițiului unor drepturi personale, în considerarea unor drepturi colective și interese publice, ce vizează siguranța națională, ordinea publică sau prevenția penală, a constituit în permanență o operațiune sensibilă sub aspectul reglementării, fiind necesară menținerea unui just echilibru între interesele și drepturile individuale, pe de o parte, și cele ale societății, pe de altă parte.28. Aplicând aceste considerente de principiu la speța de față, Curtea constată că dreptul de acces al organelor de urmărire penală la datele de trafic, datele de identificare a echipamentului și datele de localizare este o măsură adecvată, fiind potrivită pentru îndeplinirea scopului obținerii de probe care nu ar fi posibil de obținut altfel. În ceea ce privește organele de urmărire penală, este evident că solicitările acestora nu pot viza decât obiectul urmăririi penale, astfel cum este reglementat de art. 285 alin. (1) din Codul de procedură penală, ca fiind „strângerea probelor necesare cu privire la existența infracțiunilor, la identificarea persoanelor care au săvârșit o infracțiune și la stabilirea răspunderii penale a acestora, pentru a se constata dacă este sau nu cazul să se dispună trimiterea în judecată“. Chiar dacă, astfel cum rezultă din Expunerea de motive a Legii nr. 235/2015, prevederile art. 12^1 din Legea nr. 506/2004 nu au fost introduse pentru a înlocui Legea nr. 82/2012, scopul pentru care organele de urmărire penală ar putea solicita datele de trafic, datele de identificare a echipamentului și datele de localizare este acela al obținerii de probe, solicitarea fiind supusă, în toate cazurile, analizei și cenzurii unui judecător.29. Având în vedere acestea, Curtea constată, de asemenea, că măsura de acces al instanțelor de judecată sau al organelor de urmărire penală, cu autorizarea prealabilă a judecătorului, la datele de trafic, datele de identificare a echipamentului și datele de localizare este o măsură necesară pentru îndeplinirea obiectivului avut în vedere, acela al obținerii de probe care nu ar fi posibil de obținut altfel, mai ales că legiuitorul a avut în vedere doar datele de trafic, datele de identificare a echipamentului și datele de localizare, iar nu și conținutul corespondenței. Totodată, așa cum a stabilit Înalta Curte de Casație și Justiție, prin Decizia nr. 15/2016, în ceea ce privește organele de urmărire penală, accesul la datele de trafic și de localizare, ulterior intrării în vigoare a Legii nr. 75/2016, se face în condițiile art. 152 din Codul de procedură penală.30. Cu privire la proporționalitatea propriu-zisă, adică la existența unui just echilibru între interesele generale și individuale, Curtea constată că art. 12^1 alin. (1) din Legea nr. 506/2004, introdus prin Legea nr. 235/2015, prevede, în toate cazurile în care se solicită datele de trafic, datele de identificare a echipamentului și datele de localizare, autorizarea prealabilă a judecătorului. Totodată, art. 12^1 alin. (3) prevede că „Solicitările, respectiv răspunsurile, dacă sunt transmise în format electronic, se semnează cu semnătură electronică extinsă bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde, potrivit legii, pentru integritatea și securitatea acestor date“, iar alin. (4) al aceluiași articol prevede că „Solicitările prevăzute la alin. (1) se procesează în condiții de confidențialitate.“ De altfel, furnizorul are obligația de a lua măsurile de securitate prevăzute la art. 3 din Legea nr. 506/2004.31. Totodată, referitor la posibilitatea de a stoca aceste date, regula este aceea a ștergerii sau anonimizării datelor de trafic, de localizare și de identificare a echipamentului, legiuitorul prevăzând, în mod clar, excepțiile de la această regulă. Astfel, potrivit art. 5 alin. (1) din Legea nr. 506/2004, modificat prin Legea nr. 235/2015, datele de trafic trebuie să fie șterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, „dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepția situațiilor prevăzute la alin. (2), (3) și (5).“ Astfel, potrivit art. 5 alin. (2), prelucrarea datelor de trafic efectuată în scopul facturării abonaților sau al stabilirii obligațiilor de plată pentru interconectare este permisă doar până la împlinirea unui termen de 3 ani de la data scadenței obligației de plată, iar, potrivit art. 5 alin. (3), furnizorul poate prelucra datele în vederea comercializării serviciilor sale sau furnizării de servicii cu valoare adăugată numai în măsura și pe durata necesară comercializării, respectiv furnizării acestor servicii, și numai cu consimțământul expres prealabil al abonatului sau al utilizatorului la care se referă datele respective, acesta putându-și retrage oricând consimțământul exprimat. De asemenea, potrivit art. 5 alin. (5), prelucrarea datelor de trafic poate fi efectuată numai de către persoanele care acționează sub autoritatea furnizorilor de rețele publice de comunicații electronice sau de servicii de comunicații electronice destinate publicului, având ca atribuții facturarea ori gestionarea traficului, relațiile cu clienții, detectarea fraudelor, comercializarea serviciilor de comunicații electronice sau furnizarea serviciilor cu valoare adăugată, și este permisă numai în măsura în care este necesară pentru îndeplinirea acestor atribuții. Așadar, datele de trafic pot fi prelucrate maximum 3 ani de la data scadenței obligației de plată corespunzătoare, adică până la sfârșitul perioadei în care factura poate fi urmărită, în acord cu termenul general de prescripție de 3 ani stabilit de art. 2.517 din Codul civil. De asemenea, potrivit art. 8 alin. (1) din Legea nr. 506/2004, prelucrarea datelor de localizare, altele decât datele de trafic, este permisă doar în anumite situații, și anume: datele în cauză sunt transformate în date anonime; cu consimțământul expres prealabil al utilizatorului sau al abonatului la care se referă datele respective, în măsura și pentru durata necesare furnizării unui serviciu cu valoare adăugată; atunci când serviciul cu valoare adăugată cu funcție de localizare are ca scop transmiterea unidirecțională și nediferențiată a unor informații către utilizatori.32. Curtea constată că măsura legislativă prevăzută de art. 12^1 alin. (1) din Legea nr. 506/2004 nu impune o sarcină excesivă în raport cu obiectivul ce trebuie atins, din moment ce accesul organelor de urmărire penală la date este condiționat, în toate cazurile, de controlul prealabil efectuat de către o instanță, care poate refuza acest acces sau poate impune utilizarea lui la ceea ce este strict necesar pentru realizarea obiectivului urmărit. De altfel, în litigiul în cadrul căruia a fost invocată excepția de neconstituționalitate, instanța care a sesizat Curtea Constituțională, autoare a excepției, a reținut că, „având în vedere perioada scurtă de timp, de 10 zile, pentru care se cere transmiterea de către furnizorii de rețele publice de comunicații electronice și furnizorii de servicii de comunicații electronice destinate publicului a datelor de trafic, precum și individualizarea concretă a acestor date, respectiv indicarea postului telefonic, ca număr de apel, aferent cartelelor SIM ridicate cu ocazia percheziției, ingerința autorităților în drepturile fundamentale ale inculpatului este minimă și, totodată, necesară pentru buna desfășurare a procesului penal, respectiv pentru obținerea de probe care nu ar fi posibil de obținut altfel“.33. Având în vedere toate acestea, Curtea constată că, referitor la dispozițiile art. 12^1 alin. (1), (3) și (4) din Legea nr. 506/2004, există garanții suficiente care să asigure o protecție eficientă împotriva abuzurilor și oricărui acces sau utilizări ilicite. Așadar, interesul individual în care primează ștergerea sau anonimizarea datelor de trafic, de identificare a echipamentului și de localizare, fără posibilitatea de acces a altor persoane sau autorități la acestea, se găsește în echilibru cu interesele generale ale societății. Astfel, ingerința în sfera drepturilor fundamentale privind viața intimă, familială și privată, secretul corespondenței și libertatea de exprimare, consacrate de art. 26, 28 și, respectiv, de art. 30 din Constituție, este justificată de scopul reglementării ca fiind unul legitim, iar limitarea acestor drepturi fundamentale este rezonabilă în raport cu obiectivul urmărit și nu tinde la transformarea acestor drepturi în unele iluzorii/teoretice.34. Pentru considerentele expuse mai sus, în temeiul art. 146 lit. d) și al art. 147 alin. (4) din Constituție, precum și al art. 1-3, al art. 11 alin. (1) lit. A.d) și al art. 29 din Legea nr. 47/1992, cu unanimitate de voturi,
    CURTEA CONSTITUȚIONALĂ
    În numele legii
    DECIDE:
    1. Respinge, ca inadmisibilă, excepția de neconstituționalitate a dispozițiilor art. 12^1 alin. (2), (5) și (6) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice, excepție ridicată, din oficiu, de Curtea de Apel Galați - Secția penală și pentru cauze cu minori în Dosarul nr. 161/44/2016.2. Respinge, ca neîntemeiată, excepția de neconstituționalitate ridicată de aceeași autoare în același dosar și constată că dispozițiile art. 12^1 alin. (1), (3) și (4) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice sunt constituționale în raport cu criticile formulate.Definitivă și general obligatorie.Decizia se comunică Curții de Apel Galați - Secția penală și pentru cauze cu minori și se publică în Monitorul Oficial al României, Partea I.Pronunțată în ședința din data de 21 septembrie 2017.
    PREȘEDINTELE CURȚII CONSTITUȚIONALE
    prof. univ. dr. VALER DORNEANU
    Magistrat-asistent,
    Ioana Marilena Chiorean
    ----