EuRoQuod

7.07.2014, Beatrice Andreșan-Grigoriu

Acum trei luni, Legea 82/2012 privind reținerea datelor de trafic a rămas fără mamă - Directiva 2006/24 a fost declarată invalidă de către CJUE prin hotărârea preliminară pronunțată în cauza Digital Rights. Care ar fi consecințele?
Problema poate fi enunțată relativ simplu - dacă Legea 82/2012 nu mai poate fi aplicată, drept consecință a invalidării Directivei pe care o transpunea, atunci furnizorii de servicii de comunicații electronice nu mai pot fi obligați să mențină bazele de date cu datele de trafic, localizare și identificare ale abonaților pentru scopul de a le transmite la solicitare, cu autorizarea judecătorului de drepturi și libertăți, organelor de urmărire penală. În consecință, judecătorul de drepturi și libertăți nu ar mai avea temei pentru a autoriza obținerea acestor date (metodă specială de supraveghere sau cercetare prevăzută la art. 138 lit. j) NCPP), deoarece Codul se referă la date „reținute în temeiul legii speciale privind reținerea datelor […]”. Cât timp lumea reflectează asupra consecințelor invalidității Directivei și aplică legea în continuare, o instanță a decis să sesizeze Curtea Constituţională cu excepţia de neconstituţionalitate a Legii nr. 82/2012 faţă de prevederile art. 26 din Constituţia României, care protejează viața intimă, familială și privată. Astăzi Curtea a declarat Legea nr. 82/2012 neconstituțională.

Excepția de neconstituționalitate a reprezentat doar una dintre alegerile posibile, având în vedere că este vorba despre soarta unei legi care are (a avut) la origine o directivă UE, deci situația comportă două dimensiuni – conformitatea cu dispozițiile Constituției României, ca orice lege, dar și conformitatea legii cu directiva pe care o transpune, cu restul normelor UE aplicabile în domeniul respectiv (dacă face parte dintr-un câmp mai larg în care UE a legiferat) și, bineînțeles, cu normele primare UE, respectiv.
Prima alegere ar presupune analiza de către judecătorii de drepturi și libertăți a modului în care Legea 82/2012, rămasă într-un câmp de legiferare nearmonizat de UE (ca urmare a dispariției Directivei), respectă în continuare principiile stabilite de Directiva 2002/58 privind protecția datelor cu caracter personal în sectorul comunicațiilor electronice și, implicit, de directiva generică în materie, Directiva 95/46 privind protecția datelor cu caracter personal și Carta Drepturilor Fundamentale a UE, cu privire la modul în care se pot institui derogări de la protecția vieții private și protecția datelor personale.

Probabil că instrumentul excepției de neconstituționalitate a fost considerat de către judecătorul cauzei mai pragmatic și mai avantajos datorită efectelor deciziei în cazul în care Legea ar fi fost declarată neconstituțională (desigur pentru viitor), față de soluția de la caz la caz.

Ar fi fost surprinzător ca decizia Curții Constituționale (CCR) să fie diferită de cea pronunțată acum 5 ani în legătură cu prima încercare de transpunere a Directivei 2006/24.
Prin Decizia Nr. 1258/8.10.2009, CCR a declarat neconstituțională în ansamblul ei Legea nr. 298/2008 prin care Statul Român transpusese Directiva. În esență, CCR a subliniat că „nu utilizarea justificată, în condițiile Legii nr. 298/2008, este cea care prejudiciază într-un mod neacceptabil exercitarea dreptului la viață intimă sau libertatea de exprimare, ci obligația legală cu caracter continuu, general aplicabilă, de stocare a datelor. Această operațiune privește în egală măsură pe toți destinatarii legi, indiferent dacă au săvârșit sau nu fapte penale sau dacă sunt sau nu subiectul unor anchete penale, ceea ce este de natură să răstoarne prezumția de nevinovăție și să transforme a priori toți utilizatorii serviciilor de comunicații electronice sau de rețele publice de telecomunicații în persoane susceptibile de săvârșirea unor infracțiuni de terorism sau a unor infracțiuni grave.” În plus, Curtea a apreciat atunci că garanțiile legale prevăzute de lege pentru utilizarea datelor astfel reținute (precum autorizarea motivată și prealabilă a președintelui instanței competente să judece cauza pentru care s-a început urmărirea penală) „nu sunt suficiente și adecvate, astfel încât să îndepărteze teama că drepturile personale, de natură intimă, nu sunt violate.”

Noua lege înlăturase unele dintre neajunsurile legii vechi (precum categoria vagă de „date conexe”, nedefinită anterior și criticată de către CCR în subsidiar), dar introdusese și alte prevederi discutabile, printre care se evidențiază de la mare distanță lărgirea categoriei „infracțiunilor grave” pentru descoperirea și investigarea cărora se instituie obligația reținerii datelor și posibilitatea utilizării lor, la infracțiuni precum distrugerea și distrugerea calificată sau furtul calificat.

Esența ei este, însă, rămăsese aceeași: obligația continuă de păstrare pentru 6 luni a tuturor datelor de trafic, localizare și identificare a tuturor abonaților tuturor furnizorilor de servicii de comunicații electronice din România. Este motivul principal care a stat la baza deciziei prin care CCR a declarat neconstituțională varianta anterioară a legii de transpunere și în același timp unul din motivele principale pentru care Curtea de Justiție a Uniunii Europene a declarat „neconstituțională” la nivel european Directiva aflată la originea ei. În logica internă a actului, obligația generalizată de stocare este prevederea de bază – celelalte aspecte, garanțiile procesuale de tip autorizare judiciară, securitatea datelor, procedura de ștergere, toate acestea au caracter subsidiar, se referă la modul de utilizare a ceva ce Curtea Constituțională a României și CJUE consideră că nu ar trebui să existe. Niciuna dintre aceste instanțe nu neagă scopul avut în vedere de legiuitor, adică asigurarea unor mijloace legale adecvate și eficiente de contracarare a fenomenului infracțional, compatibile cu procesul continuu de modernizare și tehnologizare a mijloacelor de comunicare, dar nu cu prețul „distrugerii democrației sub pretextul apărării ei”, cum a arătat CCR în Decizia nr. 1285/2009.

Rămâne de văzut dacă raționamentul pe care CCR l-a folosit pentru a analiza constituționalitatea prevederilor Legii nr. 82/2012 este unul similar celui folosit în Decizia anterioară sau a împrumutat (ori chiar va face trimitere la) considerentele avute în vedere de CJUE pentru constatarea invalidității Directivei, valabile și în cazul Legii 82/2012.
În analiza validității Directivei prin raportare la art. 7 (Respectarea vieţii private şi de familie) și 8 (Protecţia datelor cu caracter personal) din Carta Drepturilor Fundamentale a UE, CJUE a constatat mai întâi că obligația de păstrare a datelor constituie per se o ingerință în drepturile garantate de art. 7 și 8 din Cartă, căreia i se adaugă accesul autorităților naționale competente la date, constituind împreună o ingerință „de o mare amploare” și „deosebit de gravă” (pct. 34-37). Analizând condițiile impuse de art. 52 alin. (1) din Cartă pentru orice restrângere a exercițiului drepturilor fundamentale (similar art. 53 din Constituția României), CJUE a apreciat că în vreme ce substanța drepturilor nu este atinsă (nu conținutul comunicațiilor este ținta), iar păstrarea acestor tipuri de date răspunde efectiv obiectivului de interes general al combaterii terorismului și criminalității grave (pct. 41-44), totuși ingerința nu este proporțională cu obiectivul urmărit.
CJUE a subliniat într-un mod care amintește de argumentele CCR din Decizia 1258/2009, că păstrarea tuturor datelor de trafic vizează în mod generalizat toate persoanele și toate mijloacele de comunicare electronică, precum și ansamblul datelor de trafic, se aplică deci și „acelor persoane în privința cărora nu există nici un indiciu de natură să sugereze că comportamentul lor poate avea o legătură, chiar directă sau îndepărtată, cu infracțiuni grave.” (pct. 56-59) Al patrulea și al cincilea argument sunt, de asemenea, valabile și în cazul Legii 82/2012, și anume durata de păstrare pe o perioadă de 6 luni (România a ales minimul stabilit de Directivă), fără a se face vreo distincție între categoriile de date în funcție de utilitatea lor eventuală sau în funcție de persoanele vizate, respectiv securitatea insuficientă a datelor.

În plus față de vulnerabilitățile comune cu cele ale Directivei, ingerința pe care Legea 82/2012 o produce asupra dreptului la viață privată poate fi analizată și din perspectiva tipului de infracțiuni pentru combaterea cărora impune obligația de stocare a datelor și permite accesul autorităților. Accesul organelor de urmărire penală este reglementat şi la anumite infracţiuni care în optica Noului Cod Penal nu pot fi considerate infracţiuni grave.