Comunica experienta
MonitorulJuridic.ro

Trimite prin Yahoo Messenger pagina: DECIZIA nr. 125 din 27 februarie 2025 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!

DECIZIA nr. 125 din 27 februarie 2025 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

EMITENT: Curtea Constituţională
PUBLICAT: Monitorul Oficial nr. 787 din 22 august 2025

Comenteaza legea


┌───────────────────┬──────────────────┐
│Marian Enache      │- preşedinte      │
├───────────────────┼──────────────────┤
│Mihaela Ciochină   │- judecător       │
├───────────────────┼──────────────────┤
│Cristian Deliorga  │- judecător       │
├───────────────────┼──────────────────┤
│Dimitrie-Bogdan    │- judecător       │
│Licu               │                  │
├───────────────────┼──────────────────┤
│Laura-Iuliana      │- judecător       │
│Scântei            │                  │
├───────────────────┼──────────────────┤
│Gheorghe Stan      │- judecător       │
├───────────────────┼──────────────────┤
│Livia Doina Stanciu│- judecător       │
├───────────────────┼──────────────────┤
│Elena-Simina       │- judecător       │
│Tănăsescu          │                  │
├───────────────────┼──────────────────┤
│Varga Attila       │- judecător       │
├───────────────────┼──────────────────┤
│Cristina Teodora   │-                 │
│Pop                │magistrat-asistent│
└───────────────────┴──────────────────┘

    1. Pe rol se află soluţionarea excepţiei de neconstituţionalitate a dispoziţiilor art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice şi ale art. 152 din Codul de procedură penală, excepţie ridicată de Eugen Adrian Ionel în Dosarul nr. 25.905/3/2020/a1.5 al Curţii de Apel Bucureşti - Secţia a II-a penală.
    2. Dezbaterile au avut loc în şedinţa publică din data de 3 decembrie 2024, în prezenţa reprezentantului Ministerului Public, procuror Ioan-Sorin-Daniel Chiriazi, fiind consemnate în încheierea de şedinţă de la acea dată, când, în temeiul art. 57 şi al art. 58 alin. (3) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, Curtea a dispus amânarea pronunţării pentru data de 28 ianuarie 2025. La data de 28 ianuarie 2025, pentru o mai bună studiere a problemelor ce formează obiectul dezbaterii, potrivit aceloraşi dispoziţii legale, Curtea a dispus amânarea pronunţării pentru data de 27 februarie 2025, dată la care a pronunţat prezenta decizie.
    CURTEA,
    având în vedere actele şi lucrările dosarului, constată următoarele:
    3. Prin Decizia penală nr. 12/R din 15 decembrie 2020, pronunţată în Dosarul nr. 25.905/3/2020/a1.5, Curtea de Apel Bucureşti - Secţia a II-a penală a sesizat Curtea Constituţională cu excepţia de neconstituţionalitate a dispoziţiilor art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice şi ale art. 152 din Codul de procedură penală, excepţie ridicată de Eugen Adrian Ionel într-o cauză având ca obiect verificarea legalităţii probelor de către judecătorul de cameră preliminară.
    4. În motivarea excepţiei de neconstituţionalitate, autorul susţine că modificările aduse Legii nr. 506/2004 prin dispoziţiile Legii nr. 235/2015 pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, au condus la un standard de protecţie a dreptului la viaţă intimă, familială şi privată inferior comparativ cu cel prevăzut de vechea reglementare, respectiv Legea nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, care, de altfel, a fost constatată ca fiind neconstituţională prin Decizia nr. 440 din 8 iulie 2014 -datele de trafic fiind stocate, potrivit reglementării constatate ca fiind neconstituţională, pentru o perioadă de 6 luni, în condiţiile în care textele criticate prevăd o durată de stocare de 3 ani. Mai mult, se susţine că este neconstituţională posibilitatea de stocare, conservare şi prelucrare a datelor în mod nediferenţiat şi generalizat. Se mai arată că dispoziţiile legale criticate coroborate cu prevederile Codului de procedură penală sunt lipsite de claritate, precizie şi previzibilitate şi încalcă cerinţa caracterului necesar şi proporţional al unei astfel de măsuri, standard care a fost reglementat la art. 53 din Constituţie pentru evitarea abuzurilor de drept.
    5. Sunt invocate, totodată, dispoziţiile art. 138 alin. (1) lit. d) şi j), ale art. 139, ale art. 144 alin. (3) şi ale art. 152 din Codul de procedură penală, arătându-se că localizarea unei persoane reprezintă o ingerinţă gravă în drepturile sale fundamentale. În acest context, se arată că dispoziţiile legale criticate creează un tratament diferit între localizarea persoanelor pentru viitor şi localizarea persoanelor pentru trecut, această din urmă formă de localizare depinzând, sub aspect temporar, doar de capacitatea tehnică a furnizorilor de reţele publice şi de servicii de comunicaţii electronice destinate publicului de a stoca date. Or, se arată că ingerinţa în viaţa privată a unei persoane are efecte similare, indiferent dacă este pentru trecut sau pentru viitor, motiv pentru care se impune ca legea să asigure acelaşi regim juridic pentru cele două ipoteze anterior menţionate.
    6. Se arată, de asemenea, că o astfel de ingerinţă este excesivă/disproporţionată atunci când datele sunt stocate pentru perioade de 3 până la 5 ani. Se susţine că aceste termene sunt disproporţionate în raport cu scopul urmărit - respectiv diligenţa de natură comercială a furnizorilor de servicii de telefonie şi internet, care încetează odată cu plata sau cu necontestarea facturilor de către clienţi - fiind, totodată, contrare dreptului Uniunii Europene, dar şi neconstituţionale.
    7. Se arată că, în realitate, s-ar impune stocarea datelor de către furnizorii de reţele publice şi de servicii de comunicaţii electronice destinate publicului doar în condiţiile în care există o notificare autorizată din partea organelor judiciare şi fără ca această stocare să poată depăşi un termen rezonabil şi proporţional.
    8. Pentru aceste motive, se susţine că trebuie exclusă posibilitatea folosirii, în mod autorizat, în cauzele penale, a datelor mai vechi de 6 luni.
    9. Sunt invocate considerentele Hotărârii Curţii de Justiţie a Uniunii Europene (Marea cameră) din 8 aprilie 2014, pronunţată în cauzele conexate Digital Rights Ireland Ltd (C-293/12) şi Kδrntner Landesregierung (C-594/12).
    10. În fine, se arată că, într-adevăr, dispoziţiile art. 152 alin. (1) lit.d) din Codul de procedură penală obligă judecătorul la realizarea unui test de proporţionalitate a măsurii pe care o dispune, însă acest aspect nu elimină caracterul neconstituţional al dispoziţiilor legale criticate în prezenta cauză.
    11. Curtea de Apel Bucureşti - Secţia a II-a penală arată că excepţia de neconstituţionalitate este neîntemeiată. Se face trimitere la soluţia şi la considerentele reţinute de Curtea Constituţională prin Decizia nr. 504 din 30 iunie 2020. Se susţine că dispoziţiile legale invocate în cuprinsul acesteia reprezintă garanţii ale drepturilor fundamentale ale persoanelor ale căror date constituie obiectul operaţiunilor de stocare şi de furnizare prevăzute de Legea nr. 506/2004, care completează garanţiile reglementate prin art. 152 din Codul de procedură penală.
    12. Potrivit prevederilor art. 30 alin. (1) din Legea nr. 47/1992, actul de sesizare a fost comunicat preşedinţilor celor două Camere ale Parlamentului, Guvernului şi Avocatului Poporului, pentru a-şi exprima punctele de vedere asupra excepţiei de neconstituţionalitate.
    13. Preşedinţii celor două Camere ale Parlamentului, Guvernul şi Avocatul Poporului nu au comunicat punctele lor de vedere asupra excepţiei de neconstituţionalitate.
    CURTEA,
    examinând actul de sesizare, raportul întocmit de judecătorul-raportor, concluziile autorului excepţiei, concluziile procurorului, dispoziţiile legale criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:
    14. Curtea Constituţională a fost legal sesizată şi este competentă, potrivit dispoziţiilor art. 146 lit. d) din Constituţie, precum şi ale art. 1 alin. (2), ale art. 2, 3, 10 şi 29 din Legea nr. 47/1992, să soluţioneze excepţia de neconstituţionalitate.
    15. Obiectul excepţiei de neconstituţionalitate îl constituie, conform încheierii de sesizare, dispoziţiile art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice şi ale art. 152 din Codul de procedură penală. Din analiza excepţiei de neconstituţionalitate, Curtea reţine că autorul acesteia critică, în realitate, doar dispoziţiile art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004, publicată în Monitorul Oficial al României, Partea I, nr. 1101 din 25 noiembrie 2004, care au următorul cuprins:
    - Art. 5 din Legea nr. 506/2004:
    "(1) Datele de trafic referitoare la abonaţi şi la utilizatori, prelucrate şi stocate de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepţia situaţiilor prevăzute la alin. (2), (3) şi (5).
(2) Prelucrarea datelor de trafic efectuată în scopul facturării abonaţilor sau al stabilirii obligaţiilor de plată pentru interconectare este permisă doar până la împlinirea unui termen de 3 ani de la data scadenţei obligaţiei de plată corespunzătoare.
(2^1) Prelucrarea datelor de trafic efectuată în scopul stabilirii obligaţiilor contractuale ce privesc abonaţii serviciilor de comunicaţii cu plata în avans este permisă până la împlinirea unui termen de 3 ani de la data efectuării comunicării.
(3) Furnizorul unui serviciu de comunicaţii electronice destinat publicului poate prelucra datele prevăzute la alin. (1), în vederea comercializării serviciilor sale sau a furnizării de servicii cu valoare adăugată, numai în măsura şi pe durata necesară comercializării, respectiv furnizării acestor servicii, şi numai cu consimţământul expres prealabil al abonatului sau utilizatorului la care se referă datele respective. Abonatul sau, după caz, utilizatorul îşi poate retrage oricând consimţământul exprimat cu privire la prelucrarea datelor de trafic.
(4) În cazurile prevăzute la alin. (2) şi (3), furnizorul serviciului de comunicaţii electronice destinat publicului este obligat să informeze abonatul sau utilizatorul cu privire la categoriile de date de trafic care sunt prelucrate şi la durata prelucrării acestora. În cazul prevăzut la alin. (3), această informare trebuie să aibă loc anterior obţinerii consimţământului abonatului sau utilizatorului.
(5) Prelucrarea datelor de trafic în condiţiile alin. (1)-(4) poate fi efectuată numai de către persoanele care acţionează sub autoritatea furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, având ca atribuţii facturarea ori gestionarea traficului, relaţiile cu clienţii, detectarea fraudelor, comercializarea serviciilor de comunicaţii electronice sau furnizarea serviciilor cu valoare adăugată, şi este permisă numai în măsura în care este necesară pentru îndeplinirea acestor atribuţii.
(6) Prevederile alin. (1)-(3) şi (5) nu aduc atingere posibilităţii autorităţilor competente de a avea acces la datele de trafic, în condiţiile legii.;"

    – Art. 12^1 alin. (1) din Legea nr. 506/2004: „La solicitarea instanţelor de judecată sau la solicitarea organelor de urmărire penală ori a organelor de stat cu atribuţii în domeniul apărării şi securităţii naţionale, cu autorizarea prealabilă a judecătorului stabilit potrivit legii, furnizorii de servicii de comunicaţii electronice destinate publicului şi furnizorii de reţele publice de comunicaţii electronice pun la dispoziţia acestora, de îndată, dar nu mai târziu de 48 de ore, datele de trafic, datele de identificare a echipamentului şi datele de localizare, în conformitate cu prevederile referitoare la protecţia datelor cu caracter personal.“

    16. Se susţine că textele criticate contravin prevederilor constituţionale ale art. 1 alin. (3) şi (5) cu privire la principiul securităţii juridice şi la calitatea legii, art. 11 - Dreptul internaţional şi dreptul intern, ale art. 20 - Tratatele internaţionale privind drepturile omului, ale art. 21 alin. (3) referitoare la dreptul la un proces echitabil, ale art. 26 - Viaţa intimă, familială şi privată, ale art. 28 - Secretul corespondenţei, ale art. 30 - Libertatea de exprimare, ale art. 53 - Restrângerea exerciţiului unor drepturi sau al unor libertăţi, precum şi prevederilor art. 7, 8, 11 şi ale art. 52 alin. (1) din Carta drepturilor fundamentale a Uniunii Europene referitoare la respectarea vieţii private şi de familie, protecţia datelor cu caracter personal, libertatea de exprimare şi de informare şi întinderea şi interpretarea drepturilor şi principiilor şi art. 8 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale cu privire la dreptul la respectarea vieţii private şi de familie.
    17. Examinând excepţia de neconstituţionalitate Curtea reţine că, în domeniul comunicaţiilor electronice, la nivelul Uniunii Europene a fost adoptată, în trecut, Directiva 2006/24/CE a Parlamentului European şi a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţii publice şi de modificare a Directivei 2002/58/CE, act normativ european care a fost declarat nevalid, prin raportare la prevederile art. 7 şi 8 din Carta drepturilor fundamentale a Uniunii Europene, de către Curtea de Justiţie a Uniunii Europene prin Hotărârea (Marii Camere) din 8 aprilie 2014, pronunţată în cauzele conexate C-293/12 şi C-594/12, Digital Rights Ireland Ltd (C-293/12) împotriva Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, Commissioner of the Garda Síochána şi, respectiv, Kδrntner Landesregierung, Michael Seitlinger, Christof Tschohl şi alţii.
    18. Prin hotărârea anterior menţionată, Curtea de Justiţie a Uniunii Europene a constatat că dispoziţiile Directivei 2006/24/CE contravin prevederilor art. 7 şi 8 din Carta drepturilor fundamentale a Uniunii Europene referitoare la respectarea vieţii private şi de familie şi la protecţia datelor cu caracter personal. Pentru a pronunţa această soluţie, Curtea de Justiţie a Uniunii Europene a reţinut, în primul rând, că Directiva 2006/24/CE priveşte, în mod global, ansamblul persoanelor care utilizează servicii de comunicaţii electronice, fără însă ca persoanele ale căror date sunt păstrate să se regăsească, fie şi în mod indirect, într-o situaţie susceptibilă să declanşeze începerea urmăririi penale. În plus, s-a reţinut că directiva menţionată nu prevede nicio excepţie, astfel încât ea se aplică chiar şi acelor persoane ale căror comunicaţii sunt supuse, potrivit normelor dreptului naţional, secretului profesional. De asemenea, Curtea a reţinut că directiva anterior menţionată nu impune existenţa unei relaţii între datele a căror păstrare o reglementează şi o ameninţare pentru siguranţa publică şi, în special, că aceasta nu se limitează la păstrarea fie a unor date aferente unei perioade temporale şi/sau unei zone geografice determinate şi/sau unui cerc de persoane determinate care ar putea fi implicate, într-un mod sau altul, în săvârşirea unei infracţiuni grave, fie a unor date referitoare la persoane care ar putea contribui, pentru alte motive, prin păstrarea datelor lor, la prevenirea, la detectarea sau la urmărirea penală a infracţiunilor grave. În al doilea rând, s-a reţinut că Directiva 2006/24/CE nu prevede niciun criteriu obiectiv care să permită delimitarea accesului autorităţilor naţionale competente la date şi utilizarea lor ulterioară în scopul prevenirii, detectării sau urmăririi penale în legătură cu infracţiuni care justifică asemenea măsuri, având în vedere amploarea şi gravitatea ingerinţei în drepturile fundamentale consacrate la art. 7 şi 8 din Cartă. În plus, s-a reţinut că directiva analizată nu prevede, în mod expres, că accesul la date şi utilizarea ulterioară a datelor în cauză trebuie să fie restricţionate la scopul prevenirii şi al descoperirii unor infracţiuni expres reglementate sau al desfăşurării urmăririi penale în privinţa acestora şi că, potrivit prevederilor sale, accesul la datele păstrate de autorităţile naţionale competente nu este condiţionat de un control prealabil efectuat fie de o instanţă, fie de o entitate administrativă independentă prin a căror decizie se urmăreşte limitarea accesului la date şi a utilizării lor la ceea ce este strict necesar în vederea atingerii obiectivului urmărit. În al treilea rând, în ceea ce priveşte durata de păstrare a datelor, Curtea de Justiţie a Uniunii Europene a reţinut că dispoziţiile art. 6 din Directiva 2006/24/CE impun păstrarea acestora pentru o perioadă de minimum şase luni şi maximum 24 de luni, fără a se face vreo distincţie între categoriile de date reglementate la art. 5 din aceeaşi directivă în funcţie de utilitatea lor eventuală în scopul realizării obiectivului urmărit sau în funcţie de persoanele vizate. S-a conchis, aşadar, că Directiva 2006/24/CE nu prevede norme clare şi precise care reglementează întinderea ingerinţei în drepturile fundamentale consacrate la art. 7 şi 8 din Cartă.
    19. În prezent, este în vigoare şi aplicabilă la nivelul Uniunii Europene Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale şi protejarea confidenţialităţii în sectorul comunicaţiilor publice (Directiva asupra confidenţialităţii şi comunicaţiilor electronice).
    20. Soluţia şi considerentele Hotărârii din 8 aprilie 2014 pronunţată de Curtea de Justiţie a Uniunii Europene au constituit argumente care au stat la baza Deciziei nr. 440 din 8 iulie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 653 din 4 septembrie 2014, prin care Curtea Constituţională a constatat neconstituţionalitatea dispoziţiilor Legii nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, republicată în Monitorul Oficial al României, Partea I, nr. 211 din 25 martie 2014.
    21. În ceea ce priveşte dispoziţiile art. 12^1 alin. (1) din Legea nr. 506/2004, Curtea arată că acestea au mai format obiectul controlului de constituţionalitate, fiind pronunţată, în acest sens, Decizia nr. 589 din 21 septembrie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 89 din 30 ianuarie 2018, prin care a fost respinsă, ca neîntemeiată, excepţia de neconstituţionalitate a dispoziţiilor art. 12^1 alin. (1), (3) şi (4) din Legea nr. 506/2004.
    22. Prin decizia precitată, paragrafele 16-33, Curtea a reţinut că legiuitorul nu a adoptat o nouă lege care să reglementeze procedura reţinerii şi stocării datelor şi un mecanism real de control al activităţii furnizorilor de reţele publice şi de servicii de comunicaţii electronice de către o autoritate independentă, aşa cum era prevăzut în Decizia nr. 440 din 8 iulie 2014, precitată, paragraful 68. Prin Legea nr. 235/2015 au fost modificate şi completate dispoziţiile Legii nr. 506/2004, după cum urmează: - s-a introdus definiţia „datelor de identificare a echipamentului“ la art. 2 lit. b^1), ca fiind date de identificare a echipamentului - date tehnice ale furnizorilor de servicii de comunicaţii destinate publicului şi ale furnizorului de reţele publice de comunicaţii electronice, care permit identificarea amplasamentului echipamentelor de comunicaţii ale acestora, prelucrate în scopul transmiterii unei comunicări printr-o reţea de comunicaţii electronice sau în scopul facturării contravalorii acestei operaţiuni; - s-a modificat art. 5 alin. (1), cu următorul cuprins: „Datele de trafic referitoare la abonaţi şi la utilizatori, prelucrate şi stocate de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepţia situaţiilor prevăzute la alin. (2), (3) şi (5).“; - s-a introdus art. 5 alin. (2^1), cu următorul cuprins: „Prelucrarea datelor de trafic efectuată în scopul stabilirii obligaţiilor contractuale ce privesc abonaţii serviciilor de comunicaţii cu plata în avans este permisă până la împlinirea unui termen de 3 ani de la data efectuării comunicării.“; – s-a introdus un nou articol, art. 12^1, referitor la accesul la date al autorităţilor, dispoziţii ce formează obiect al excepţiei de neconstituţionalitate.
    23. De asemenea, Curtea a reţinut că, în expunerea de motive a Legii nr. 235/2015, s-a precizat că propunerea legislativă „nu urmăreşte înlocuirea Legii nr. 82/2012“. Prin urmare, „de vreme ce prezenta reglementare nu instituie o veritabilă obligaţie de reţinere a datelor în afara scopului facturării şi asigurării serviciului de comunicaţii, nu mai subzistă necesitatea asigurării unor garanţii suplimentare privind prelucrarea şi stocarea acestor date şi nici a instituirii unui alt mecanism de control, garanţii solicitate prin Decizia Curţii Constituţionale nr. 440 din 8 iulie 2014. Practic, completările şi modificările aduse Legii nr. 506/2004 prin prezenta iniţiativă legislativă constau în definirea datelor tehnice ce permit individualizarea echipamentelor utilizate de furnizorii de servicii şi reţele publice de comunicaţii electronice şi statuează garanţiile şi condiţiile de legalitate prin instituirea obligaţiei de obţinere a aprobării judecătorului competent anterior accesării respectivelor date de orice autorităţi şi instituţii publice. Totodată, trebuie precizat că respectivele date sunt deţinute de furnizorii sus-menţionaţi în scopul facturării şi prevenirii unor litigii comerciale, iar acestor furnizori nu le sunt create obligaţii suplimentare“.
    24. Totodată, Curtea a constatat că prin Legea nr. 75/2016 privind aprobarea Ordonanţei de urgenţă a Guvernului nr. 82/2014 pentru modificarea şi completarea Legii nr. 135/2010 privind Codul de procedură penală, publicată în Monitorul Oficial a României, Partea I, nr. 334 din 29 aprilie 2016, au fost modificate denumirea marginală („Obţinerea datelor de trafic şi de localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului“) şi alin. (1) al art. 152 din Codul de procedură penală, acesta având în prezent următorul conţinut: „(1) Organele de urmărire penală, cu autorizarea prealabilă a judecătorului de drepturi şi libertăţi, pot solicita date de trafic şi localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice ori furnizorii de servicii de comunicaţii electronice destinate publicului dacă sunt îndeplinite, cumulativ, următoarele condiţii: a) există o suspiciune rezonabilă cu privire la săvârşirea unei infracţiuni dintre cele prevăzute la art. 139 alin. (2) sau a unei infracţiuni de concurenţă neloială, de evadare, de fals în înscrisuri, infracţiuni privind nerespectarea regimului armelor, muniţiilor, materialelor nucleare şi al materiilor explozive, a unei infracţiuni privind nerespectarea dispoziţiilor privind introducerea în ţară de deşeuri şi reziduuri, a unei infracţiuni privind organizarea şi exploatarea jocurilor de noroc ori a unei infracţiuni privind regimul juridic al precursorilor de droguri, şi infracţiuni referitoare la operaţiuni cu produse susceptibile de a avea efecte psihoactive asemănătoare celor determinate de substanţele şi produsele stupefiante sau psihotrope; b) există temeiuri justificate pentru a se crede că datele solicitate constituie probe; c) probele nu ar putea fi obţinute în alt mod sau obţinerea lor ar presupune dificultăţi deosebite ce ar prejudicia ancheta ori există un pericol pentru siguranţa persoanelor sau a unor bunuri de valoare; d) măsura este proporţională cu restrângerea drepturilor şi libertăţilor fundamentale, date fiind particularităţile cauzei, importanţa informaţiilor ori a probelor ce urmează a fi obţinute sau gravitatea infracţiunii. (2) Judecătorul de drepturi şi libertăţi se pronunţă în termen de 48 de ore cu privire la solicitarea organelor de urmărire penală de transmitere a datelor, prin încheiere motivată, în camera de consiliu. (3) Furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului care colaborează cu organele de urmărire penală au obligaţia de a păstra secretul operaţiunii efectuate.“
    25. Mai mult, Curtea Constituţională a reţinut că, prin Decizia nr. 15 din 26 septembrie 2016, pronunţată de Înalta Curte de Casaţie şi Justiţie - Completul competent să judece recursul în interesul legii, referitoare la examinarea recursului în interesul legii privind interpretarea şi aplicarea unitară a dispoziţiilor art. 12^1 din Legea nr. 506/2004, cu modificările şi completările ulterioare, în materia obţinerii datelor prelucrate de furnizorii de reţele publice de comunicaţii electronice sau furnizorii de servicii de comunicaţii electronice destinate publicului, instanţa supremă a constatat că, „odată cu intrarea în vigoare a Legii nr. 75/2016, art. 152 din Codul de procedură penală a devenit temei legal unic şi direct pentru autorizarea solicitării datelor de trafic şi localizare prelucrate de către furnizorii de reţele publice de comunicaţii electronice sau furnizorii de servicii de comunicaţii electronice destinate publicului, în condiţiile în care din conţinutul alin. (1) al acestui articol a fost eliminată referirea la «legea specială» în baza căreia se realiza, în precedent, reţinerea acestor date.“
    26. Ţinând cont de aceste evenimente legislative, referitor la datele la care pot avea acces autorităţile, Curtea a observat că art. 12^1 alin. (1) din Legea nr. 506/2004, introdus prin Legea nr. 235/2015, nu mai cuprinde sintagma „datele necesare“ pentru identificarea unui abonat sau unui utilizator înregistrat, aşa cum era prevăzută în art. 1 alin. (2) din Legea nr. 82/2012, sintagmă cu privire la care Curtea a constatat, prin Decizia nr. 440 din 8 iulie 2014, că nu a înlăturat viciul de neconstituţionalitate semnalat prin Decizia nr. 1.258 din 8 octombrie 2009, care a criticat faptul că legiuitorul nu a definit în mod expres ce se înţelege prin „date conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat“. Dispoziţiile art. 12^1 alin. (1) din Legea nr. 506/2004, introduse prin Legea nr. 235/2015, reglementează accesul autorităţilor la datele de trafic, datele de identificare a echipamentului şi datele de localizare, în conformitate cu prevederile referitoare la protecţia datelor cu caracter personal. Potrivit art. 2 lit. b), lit. b^1) - introdusă prin Legea nr. 235/2015 - şi lit. c) din Legea nr. 506/2004, „date de trafic“ sunt orice date prelucrate în scopul transmiterii unei comunicări printr-o reţea de comunicaţii electronice sau în scopul facturării contravalorii acestei operaţiuni, „date de identificare a echipamentului“ sunt datele tehnice ale furnizorilor de servicii de comunicaţii destinate publicului şi ale furnizorului de reţele publice de comunicaţii electronice, care permit identificarea amplasamentului echipamentelor de comunicaţii ale acestora, prelucrate în scopul transmiterii unei comunicări printr-o reţea de comunicaţii electronice sau în scopul facturării contravalorii acestei operaţiuni, iar „date de localizare“ sunt orice date prelucrate într-o reţea de comunicaţii electronice sau prin intermediul unui serviciu de comunicaţii electronice, care indică poziţia geografică a echipamentului terminal al utilizatorului unui serviciu de comunicaţii electronice destinat publicului.
    27. Referitor la autorităţile care pot avea acces la datele analizate, Curtea a observat că, în conformitate cu noua redactare a art. 12^1 alin. (1) din Legea nr. 506/2004, instanţele judecătoreşti sau organele de urmărire penală pot avea acces la aceste date „cu autorizarea prealabilă a judecătorului stabilit potrivit legii“. Astfel, art. 12^1 alin. (1) din Legea nr. 506/2004 nu preia soluţia legislativă privind posibilitatea organelor de stat cu atribuţii în domeniul prevenirii şi contracarării ameninţărilor la adresa securităţii naţionale de a avea acces la datele reţinute de furnizorii de servicii şi reţele publice de comunicaţii electronice, fără autorizarea prealabilă a instanţelor, soluţie legislativă cuprinsă în Legea nr. 82/2012, declarată neconstituţională prin Decizia nr. 440 din 8 iulie 2014. Aşadar, în prezent, accesul tuturor autorităţilor la date este condiţionat, în toate cazurile, de autorizarea prealabilă efectuată de către o instanţă.
    28. În ceea ce priveşte obligaţia continuă a furnizorilor de reţele publice de comunicaţii electronice şi a furnizorilor de servicii de comunicaţii electronice destinate publicului de a reţine datele în cauză, Curtea a constatat că regula instituită de art. 5 alin. (1) din Legea nr. 506/2004, modificat prin Legea nr. 235/2015, este aceea că datele de trafic trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare pentru transmiterea unei comunicări, „dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepţia situaţiilor prevăzute la alin. (2), (3) şi (5).“
    29. Referitor la garanţiile legale care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau a oricărei utilizări ilicite, Curtea a constatat că art. 12^1 alin. (1) din Legea nr. 506/2004, introdus prin Legea nr. 235/2015, prevede, în toate cazurile în care se solicită datele de trafic, datele de identificare a echipamentului şi datele de localizare, autorizarea prealabilă a judecătorului, iar art. 12^1 alin. (3) prevede că „Solicitările, respectiv răspunsurile, dacă sunt transmise în format electronic, se semnează cu semnătură electronică extinsă bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde, potrivit legii, pentru integritatea şi securitatea acestor date“, în vreme ce alin. (4) al aceluiaşi articol prevede că „Solicitările prevăzute la alin. (1) se procesează în condiţii de confidenţialitate“.
    30. Având în vedere acestea, Curtea a constatat că dispoziţiile art. 12^1 alin. (1) din Legea nr. 506/2004, referitoare la accesul la date al instanţelor de judecată sau al organelor de urmărire penală, chiar dacă se referă la date tehnice, iar nu la conţinutul corespondenţei, reprezintă o intervenţie legislativă în sfera drepturilor fundamentale privind viaţa intimă, familială şi privată, secretul corespondenţei şi libertatea de exprimare, consacrate de art. 26, 28 şi, respectiv, 30 din Constituţie.
    31. Potrivit jurisprudenţei Curţii Constituţionale, concretizată, cu titlu de exemplu, prin Decizia nr. 266 din 21 mai 2013, publicată în Monitorul Oficial al României, Partea I, nr. 443 din 19 iulie 2013, paragraful II.1, şi Decizia nr. 462 din 17 septembrie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 775 din 24 octombrie 2014, paragraful 26, Curtea a analizat, prin prisma unui test de proporţionalitate, dacă o astfel de ingerinţă este justificată, dacă obiectivul urmărit califică scopul reglementării ca fiind unul legitim şi dacă limitarea este rezonabilă în raport cu obiectivul urmărit şi nu tinde la transformarea acestui drept într-unui iluzoriu/teoretic. Conform principiului proporţionalităţii, astfel cum a reţinut Curtea prin Decizia nr. 662 din 11 noiembrie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 47 din 20 ianuarie 2015, paragraful 28, orice măsură luată trebuie să fie adecvată - capabilă în mod obiectiv să ducă la îndeplinirea scopului, necesară - indispensabilă pentru îndeplinirea scopului şi proporţională - este menţinut justul echilibru între interesele concurente pentru a fi corespunzătoare scopului urmărit.
    32. De altfel, prin Decizia nr. 1.258 din 8 octombrie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 798 din 23 noiembrie 2009, Curtea a stabilit că este imperios necesară asigurarea unor mijloace legale adecvate şi eficiente, compatibile cu procesul continuu de modernizare şi tehnologizare a mijloacelor de comunicare, astfel încât fenomenul infracţional să poată fi controlat şi contracarat. S-a arătat că tocmai de aceea drepturile individuale nu pot fi exercitate in absurdum, ci pot constitui obiectul unor restrângeri care sunt justificate în funcţie de scopul urmărit. S-a reţinut, de asemenea, că limitarea exerciţiului unor drepturi personale, în considerarea unor drepturi colective şi interese publice, ce vizează siguranţa naţională, ordinea publică sau prevenţia penală, a constituit în permanenţă o operaţiune sensibilă sub aspectul reglementării, fiind necesară menţinerea unui just echilibru între interesele şi drepturile individuale, pe de o parte, şi cele ale societăţii, pe de altă parte.
    33. Aplicând aceste considerente de principiu la speţa dedusă judecăţii, prin Decizia nr. 589 din 21 septembrie 2017, precitată, Curtea a constatat că acordarea dreptului de acces al organelor de urmărire penală la datele de trafic, datele de identificare a echipamentului şi datele de localizare este o măsură adecvată, fiind potrivită pentru îndeplinirea scopului constând în obţinerea de probe care nu ar fi posibil de obţinut altfel. În ceea ce priveşte organele de urmărire penală, este evident că solicitările acestora nu pot viza decât obiectul urmăririi penale, astfel cum este reglementat de art. 285 alin. (1) din Codul de procedură penală, ca fiind „strângerea probelor necesare cu privire la existenţa infracţiunilor, la identificarea persoanelor care au săvârşit o infracţiune şi la stabilirea răspunderii penale a acestora, pentru a se constata dacă este sau nu cazul să se dispună trimiterea în judecată“. Chiar dacă, astfel cum rezultă din expunerea de motive a Legii nr. 235/2015, prevederile art. 12^1 din Legea nr. 506/2004 nu au fost introduse pentru a înlocui Legea nr. 82/2012, scopul pentru care organele de urmărire penală ar putea solicita datele de trafic, datele de identificare a echipamentului şi datele de localizare îl reprezintă obţinerea de probe, solicitarea fiind supusă, în toate cazurile, analizei şi cenzurii unui judecător.
    34. Având în vedere acestea, Curtea a constatat, de asemenea, că măsura de acces al instanţelor de judecată sau al organelor de urmărire penală, cu autorizarea prealabilă a judecătorului, la datele de trafic, datele de identificare a echipamentului şi datele de localizare este o măsură necesară pentru îndeplinirea obiectivului avut în vedere, acela de a obţine probe care nu ar fi posibil de obţinut altfel, mai ales că legiuitorul a avut în vedere doar datele de trafic, datele de identificare a echipamentului şi datele de localizare, iar nu şi conţinutul corespondenţei. Totodată, aşa cum a stabilit Înalta Curte de Casaţie şi Justiţie, prin Decizia nr. 15 din 26 septembrie 2016, în ceea ce priveşte organele de urmărire penală, accesul la datele de trafic şi de localizare, ulterior intrării în vigoare a Legii nr. 75/2016, se face în condiţiile art. 152 din Codul de procedură penală.
    35. Cu privire la proporţionalitatea propriu-zisă, adică la existenţa unui just echilibru între interesele generale şi individuale, Curtea a constatat că art. 12^1 alin. (1) din Legea nr. 506/2004 prevede, în toate cazurile în care se solicită datele de trafic, datele de identificare a echipamentului şi datele de localizare, autorizarea prealabilă a judecătorului. Totodată, art. 12^1 alin. (3) prevede că „Solicitările, respectiv răspunsurile, dacă sunt transmise în format electronic, se semnează cu semnătură electronică extinsă bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat. Fiecare persoană care certifică datele sub semnătură electronică răspunde, potrivit legii, pentru integritatea şi securitatea acestor date“, iar alin. (4) al aceluiaşi articol prevede că „Solicitările prevăzute la alin. (1) se procesează în condiţii de confidenţialitate“. De altfel, furnizorul are obligaţia de a lua măsurile de securitate prevăzute la art. 3 din Legea nr. 506/2004.
    36. Totodată, referitor la posibilitatea de a stoca aceste date, regula este aceea a ştergerii sau anonimizării datelor de trafic, de localizare şi de identificare a echipamentului, legiuitorul prevăzând, în mod clar, excepţiile de la această regulă. Astfel, potrivit art. 5 alin. (1) din Legea nr. 506/2004, modificat prin Legea nr. 235/2015, datele de trafic trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, „dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepţia situaţiilor prevăzute la alin. (2), (3) şi (5).“ Potrivit art. 5 alin. (2), prelucrarea datelor de trafic efectuată în scopul facturării abonaţilor sau al stabilirii obligaţiilor de plată pentru interconectare este permisă doar până la împlinirea unui termen de 3 ani de la data scadenţei obligaţiei de plată, iar, potrivit art. 5 alin. (3), furnizorul poate prelucra datele în vederea comercializării serviciilor sale sau furnizării de servicii cu valoare adăugată numai în măsura şi pe durata necesară comercializării, respectiv furnizării acestor servicii, şi numai cu consimţământul expres prealabil al abonatului sau al utilizatorului la care se referă datele respective, acesta putându-şi retrage oricând consimţământul exprimat. De asemenea, potrivit art. 5 alin. (5), prelucrarea datelor de trafic poate fi efectuată numai de către persoanele care acţionează sub autoritatea furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, având ca atribuţii facturarea ori gestionarea traficului, relaţiile cu clienţii, detectarea fraudelor, comercializarea serviciilor de comunicaţii electronice sau furnizarea serviciilor cu valoare adăugată, şi este permisă numai în măsura în care este necesară pentru îndeplinirea acestor atribuţii. Aşadar, datele de trafic pot fi prelucrate maximum 3 ani de la data scadenţei obligaţiei de plată corespunzătoare, adică până la sfârşitul perioadei în care factura poate fi urmărită, în acord cu termenul general de prescripţie de 3 ani stabilit de art. 2.517 din Codul civil. De asemenea, potrivit art. 8 alin. (1) din Legea nr. 506/2004, prelucrarea datelor de localizare, altele decât datele de trafic, este permisă doar în anumite situaţii, şi anume: datele în cauză sunt transformate în date anonime; cu consimţământul expres prealabil al utilizatorului sau al abonatului la care se referă datele respective, în măsura şi pentru durata necesare furnizării unui serviciu cu valoare adăugată; atunci când serviciul cu valoare adăugată cu funcţie de localizare are ca scop transmiterea unidirecţională şi nediferenţiată a unor informaţii către utilizatori.
    37. Curtea a constatat că măsura legislativă prevăzută de art. 12^1 alin. (1) din Legea nr. 506/2004 nu impune o sarcină excesivă în raport cu obiectivul ce trebuie atins, din moment ce accesul organelor de urmărire penală la date este condiţionat, în toate cazurile, de controlul prealabil efectuat de către o instanţă, care poate refuza acest acces sau poate impune utilizarea lui la ceea ce este strict necesar pentru realizarea obiectivului urmărit. De altfel, în litigiul în cadrul căruia a fost invocată excepţia de neconstituţionalitate, instanţa care a sesizat Curtea Constituţională, autoare a excepţiei, a reţinut că, „având în vedere perioada scurtă de timp, de 10 zile, pentru care se cere transmiterea de către furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului a datelor de trafic, precum şi individualizarea concretă a acestor date, respectiv indicarea postului telefonic, ca număr de apel, aferent cartelelor SIM ridicate cu ocazia percheziţiei, ingerinţa autorităţilor în drepturile fundamentale ale inculpatului este minimă şi, totodată, necesară pentru buna desfăşurare a procesului penal, respectiv pentru obţinerea de probe care nu ar fi posibil de obţinut altfel“.
    38. Având în vedere toate acestea, Curtea a constatat, referitor la dispoziţiile art. 12^1 alin. (1), (3) şi (4) din Legea nr. 506/2004, că există garanţii suficiente care să asigure o protecţie eficientă împotriva abuzurilor şi oricărui acces sau oricărei utilizări ilicite. Aşadar, interesul individual în care primează ştergerea sau anonimizarea datelor de trafic, de identificare a echipamentului şi de localizare, fără posibilitatea de acces al altor persoane sau autorităţi la acestea, se găseşte în echilibru cu interesele generale ale societăţii. Astfel, ingerinţa în sfera drepturilor fundamentale privind viaţa intimă, familială şi privată, secretul corespondenţei şi libertatea de exprimare, consacrate de art. 26, 28 şi, respectiv, de art. 30 din Constituţie, este justificată de scopul reglementării ca fiind unul legitim, iar limitarea acestor drepturi fundamentale este rezonabilă în raport cu obiectivul urmărit şi nu tinde la transformarea acestor drepturi în unele iluzorii/teoretice.
    39. Întrucât nu au intervenit elemente noi, de natură să determine modificarea acestei jurisprudenţe, atât soluţia, cât şi considerentele deciziei mai sus menţionate sunt aplicabile şi în prezenta cauză.
    40. În ceea ce priveşte dispoziţiile art. 5 din Legea nr. 506/2004, criticate de autorul excepţiei de neconstituţionalitate sub aspectul perioadei maxime de 3 ani în care pot fi stocate şi prelucrate datele de trafic referitoare la abonaţi şi la utilizatori ai serviciilor de comunicaţii electronice destinate publicului, Curtea observă că Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 nu prevede o perioadă maximă de timp pentru care să poată fi stocate şi prelucrate datele de trafic referitoare la abonaţi şi la utilizatori. În acest sens, dispoziţiile art. 15 paragraful 1 din Directiva 2002/58/CE prevăd că statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor şi obligaţiilor prevăzute la art. 5 (referitoare la confidenţialitatea comunicaţiilor), art. 6 (referitoare la datele de transfer), art. 8 alin. (1), (2), (3) şi (4) (referitoare la prezentarea şi restricţionarea identificării apelurilor şi a liniilor de conectare) şi art. 9 (referitoare la datele de localizare altele decât datele de transfer) din aceeaşi directivă, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare şi proporţională în cadrul unei societăţi democratice pentru a proteja securitatea naţională (de exemplu, siguranţa statului), apărarea, siguranţa publică sau pentru prevenirea, investigarea, detectarea şi urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicaţii electronice, în conformitate cu art. 13 alin. (1) din Directiva 95/46/CE. Aceeaşi normă prevede că, în scopul anterior menţionat, statele membre pot adopta, inter alia, măsuri legislative care să permită reţinerea de date, pe perioadă limitată, pentru motivele mai sus arătate.
    41. Aspectele anterior menţionate au fost reţinute, de altfel, şi în jurisprudenţa Curţii de Justiţie a Uniunii Europene, care, prin Hotărârea din 21 decembrie 2016, pronunţată în cauzele conexate Tele2 Sverige (AB C-203/15) şi Secretary of State for the Home Department (C-698/15), a decis că art. 15 alin. (1) din Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 trebuie interpretat în sensul că se opune unei reglementări naţionale care prevede, în scopul combaterii infracţionalităţii, o păstrare generalizată şi nediferenţiată a ansamblului datelor de transfer şi al datelor de localizare ale tuturor abonaţilor şi utilizatorilor înregistraţi în ceea ce priveşte toate mijloacele de comunicare electronică şi, de asemenea, că aceeaşi dispoziţie legală trebuie interpretată în sensul că se opune unei reglementări naţionale care guvernează protecţia şi securitatea datelor de transfer şi a datelor de localizare şi în special accesul autorităţilor naţionale competente la datele păstrate, fără a limita acest acces, în cadrul combaterii infracţionalităţii, numai la combaterea infracţionalităţii grave, fără a supune respectivul acces unui control prealabil din partea unei instanţe sau a unei autorităţi administrative independente şi fără a impune ca datele în cauză să fie păstrate pe teritoriul Uniunii.
    42. Prin Hotărârea din 21 decembrie 2016, precitată, paragraful 119, s-a reţinut că reglementarea naţională trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările şi condiţiile în care trebuie să se acorde autorităţilor naţionale competente accesul la datele abonaţilor sau ale utilizatorilor înregistraţi. În această privinţă, accesul nu poate fi acordat, în principiu, în raport cu obiectivul de combatere a infracţionalităţii, decât la datele persoanelor bănuite că ar pregăti, că ar săvârşi sau că ar fi săvârşit o infracţiune gravă ori că ar fi implicate în orice mod într-o astfel de infracţiune (a se vedea prin analogie Curtea Europeană a Drepturilor Omului, Hotărârea din 4 decembrie 2015, pronunţată în Cauza Zakharov împotriva Rusiei, paragraful 260). Cu toate acestea, în situaţii speciale, precum cele în care interese vitale privind securitatea naţională, apărarea sau securitatea publică sunt ameninţate prin activităţi teroriste, ar putea de asemenea să fie permis accesul la datele altor persoane în cazul în care există elemente obiective care permit să se considere că aceste date ar putea aduce, într-un caz concret, o contribuţie efectivă la combaterea unor asemenea activităţi. De asemenea, s-a statuat, la paragraful 120 al aceleiaşi hotărâri, că „în scopul de a garanta, în practică, deplina respectare a acestor condiţii, este esenţial ca accesul autorităţilor naţionale competente la datele păstrate să fie, în principiu, cu excepţia unor situaţii de urgenţă justificate corespunzător, condiţionat de un control prealabil efectuat fie de o instanţă, fie de o entitate administrativă independentă şi ca decizia acestei instanţe sau a acestei entităţi să intervină în urma unei cereri motivate formulate de autorităţile respective, printre altele în cadrul unor proceduri de prevenire, de detectare sau de urmărire penală (a se vedea prin analogie, în ceea ce priveşte Directiva 2006/24/CE, Hotărârea Curţii de Justiţie a Uniunii Europene din 8 aprilie 2014, pronunţată în cauzele conexate Digital Rights Ireland Ltd (C-293/12) şi Kärntner Landesregierung (C-594/12), paragraful 62; a se vedea de asemenea prin analogie, în ceea ce priveşte art. 8 din Convenţie, Hotărârea Curţii Europene a Drepturilor Omului din 12 ianuarie 2016, pronunţată în Cauza Szabó şi Vissy împotriva Ungariei, paragrafele 77 şi 80).
    43. Raportând dispoziţiile art. 5 din Legea nr. 506/2004 la exigenţele astfel stabilite în jurisprudenţa Curţii de Justiţie a Uniunii Europene, Curtea constată că, deşi perioada pentru care acestea prevăd posibilitatea stocării şi prelucrării datelor de trafic referitoare la abonaţi şi la utilizatori de către furnizorii reţelelor publice de comunicaţii electronice sau de către furnizorii serviciilor de comunicaţii electronice destinat publicului este una considerabilă, respectiv cea de maximum 3 ani, dispoziţiile Legii nr. 506/2004 permit accesul la datele stocate în condiţii pe care le reglementează în mod expres şi limitativ, condiţii ce respectă criteriile stabilite prin normele de drept european.
    44. Astfel, dispoziţiile art. 5 alin. (3) din Legea nr. 506/2004 prevăd că furnizorul unui serviciu de comunicaţii electronice destinat publicului poate prelucra datele ce constituie obiectul prezentei analize, în vederea comercializării serviciilor sale sau a furnizării de servicii cu valoare adăugată, numai în măsura şi pe durata necesară comercializării, respectiv furnizării acestor servicii, şi numai cu consimţământul expres prealabil al abonatului sau utilizatorului la care se referă datele respective, precum şi faptul că abonatul sau, după caz, utilizatorul îşi poate retrage oricând consimţământul exprimat cu privire la prelucrarea datelor de trafic; alin. (4) al art. 5 anterior menţionat prevede că furnizorul serviciului de comunicaţii electronice destinat publicului este obligat să informeze abonatul sau utilizatorul cu privire la categoriile de date de trafic care sunt prelucrate şi la durata prelucrării acestora, informare care trebuie să aibă loc anterior obţinerii consimţământului abonatului sau utilizatorului; art. 5 alin. (5) din Legea nr. 506/2004 reglementează faptul că prelucrarea datelor de trafic poate fi efectuată numai de către persoanele care acţionează sub autoritatea furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului, având ca atribuţii facturarea ori gestionarea traficului, relaţiile cu clienţii, detectarea fraudelor, comercializarea serviciilor de comunicaţii electronice sau furnizarea serviciilor cu valoare adăugată, şi este permisă numai în măsura în care este necesară pentru îndeplinirea acestor atribuţii.
    45. De asemenea, dispoziţiile art. 8 alin. (1) din Legea nr. 506/2004 prevăd că prelucrarea datelor de localizare, altele decât datele de trafic, referitoare la utilizatorii sau abonaţii reţelelor publice de comunicaţii electronice sau ai serviciilor de comunicaţii electronice destinate publicului, atunci când este posibilă, este permisă numai în unul dintre următoarele cazuri: a) datele în cauză sunt transformate în date anonime; b) cu consimţământul expres prealabil al utilizatorului sau abonatului la care se referă datele respective, în măsura şi pentru durata necesare furnizării unui serviciu cu valoare adăugată; c) atunci când serviciul cu valoare adăugată cu funcţie de localizare are ca scop transmiterea unidirecţională şi nediferenţiată a unor informaţii către utilizatori. Totodată, alin. (2) al articolului anterior menţionat prevede că furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie utilizatorului sau abonatului, anterior obţinerii consimţământului acestuia, în conformitate cu prevederile alin. (1) lit. b), informaţii referitoare la: a) tipul de date de localizare, altele decât datele de trafic, care vor fi prelucrate; b) scopurile şi durata prelucrării acestor date; c) eventuala transmitere a datelor către un terţ, în scopul furnizării serviciului cu valoare adăugată. Alin. (3) al art. 8 din aceeaşi lege prevede că utilizatorii sau abonaţii care îşi dau consimţământul în vederea prelucrării datelor în conformitate cu prevederile alin. (1) lit. b) au dreptul de a-şi retrage oricând consimţământul exprimat cu privire la prelucrarea datelor sau de a refuza temporar prelucrarea datelor în cauză pentru fiecare conectare la reţea sau pentru fiecare transmitere a unei comunicări. Furnizorul serviciului de comunicaţii electronice destinat publicului are obligaţia de a pune la dispoziţie utilizatorilor sau abonaţilor un procedeu simplu şi gratuit pentru exercitarea acestor drepturi.
    46. Nu în ultimul rând, art. 12^1 din Legea nr. 506/2004, intitulat „Accesul la date al autorităţilor“, prevede, la alin. (1) şi (1^1), că datele de trafic, datele de identificare a echipamentului şi datele de localizare sunt puse la dispoziţia instanţelor de judecată sau a organelor de urmărire penală ori a organelor de stat cu atribuţii în domeniul apărării şi securităţii naţionale, cu autorizarea prealabilă a judecătorului stabilit potrivit legii, într-un termen de 48 de ore (de către furnizorii de servicii de comunicaţii electronice destinate publicului şi furnizorii de reţele publice de comunicaţii electronice, dar şi de către furnizorii de servicii de găzduire electronică cu resurse IP, precum şi furnizorii de servicii de comunicaţii interpersonale care nu se bazează pe numere). De asemenea, conform alin. (3) şi (4) ale aceluiaşi art. 12^1, solicitările, respectiv răspunsurile formulate conform dispoziţiilor legale anterior menţionate, dacă sunt transmise în format electronic, se semnează cu o semnătură electronică calificată sau cu o semnătură electronică avansată creată cu un certificat pentru semnătură electronică emis de o autoritate sau o instituţie publică din România, solicitările de transmitere a datelor fiind procesate în condiţii de confidenţialitate. Cu titlu de excepţie, dispoziţiile art. 12^1 alin. (5) şi (6) din Legea nr. 506/2004 reglementează posibilitatea stocării datelor de trafic, de identificare a echipamentului şi de localizare solicitate în condiţiile prevăzute la alin. (1) al aceluiaşi articol pentru o perioadă de 5 ani sau, după caz, până la pronunţarea unei hotărâri definitive a instanţei de judecată, atunci când solicitarea formulată este însoţită ori urmată de o notificare cu privire la necesitatea menţinerii lor, în scopul identificării şi conservării probelor sau indiciilor temeinice, în cadrul investigaţiilor pentru combaterea infracţiunilor ori în domeniul apărării şi securităţii naţionale, atât timp cât subzistă motivele care au stat la baza solicitării.
    47. Toate dispoziţiile legale anterior indicate reprezintă tot atâtea garanţii ale stocării şi prelucrării datelor reglementate prin textele criticate, precum şi ale accesului la aceste date cu respectarea dreptului la viaţa intimă, familială şi privată, la secretul corespondenţei şi la libertatea de exprimare.
    48. Potrivit studiului de drept comparat realizat de către Curtea Constituţională în prezenta cauză, legislaţia statelor membre ale Uniunii Europene prevede, ca regulă, stocarea datelor de trafic de către furnizorii de servicii de comunicaţii electronice destinate publicului în scopul facturării, dar numai până la efectuarea plăţii, cu excepţia cazurilor în care factura este contestată sau clientul nu a plătit şi operatorul economic caută să recupereze suma datorată, iar, ca excepţie, stocarea datelor de trafic şi localizare, în scopul investigării infracţiunilor şi al asigurării securităţii publice, pentru perioade ce variază între 6 şi 72 de luni. Potrivit aceluiaşi studiu, majoritatea legislaţiilor ţărilor analizate prevăd termene maxime de stocare a datelor de trafic de către furnizorii de servicii de comunicaţii electronice destinate publicului de 6 sau de 12 luni (a se vedea Bulgaria, Cehia, Cipru, Croaţia, Danemarca, Germania, Lituania, Luxemburg, Polonia, Slovacia), în timp ce mai puţine dintre acestea reglementează termene de 2 ani (a se vedea Estonia, Irlanda, Malta şi Spania). În mod excepţional, în Finlanda, date referitoare la condamnări penale pot fi stocate de către furnizorii de servicii de comunicaţii pentru cel mult 5 ani de la înregistrare, în Franţa, informaţiile referitoare la identitatea civilă a utilizatorilor pot fi stocate până la expirarea unui termen de 5 ani de la încetarea valabilităţii contractelor lor, în scopul urmăririi penale, prevenirii ameninţărilor la adresa securităţii publice şi apărării securităţii naţionale, iar în Italia datele de trafic telefonic şi online, precum şi datele referitoare la apelurile fără răspuns pot fi stocate pentru o perioadă de 72 de luni.
    49. Prin urmare, Curtea reţine că perioada de timp pentru care pot fi stocate datele de trafic referitoare la abonaţi şi la utilizatori de către furnizorii de servicii de comunicaţii electronice destinate publicului diferă în rândul statelor membre ale Uniunii Europene, cele care primează în asigurarea conformităţii legislaţiilor interne ale statelor membre cu dreptul european fiind garanţiile pe care acestea le prevăd în scopul protejării drepturilor fundamentale ale abonaţilor şi ale utilizatorilor, respectiv a dreptului la viaţă intimă, familială şi privată şi a secretului corespondenţei.
    50. Aşadar, termenul maxim de stocare a datelor nu constituie, în sine, un criteriu în aprecierea caracterului constituţional al dispoziţiilor legale care îl reglementează, acesta trebuind să fie coroborat cu garanţiile reglementate în vederea asigurării unei protecţii adecvate a drepturilor fundamentale vizate de operaţiunile de stocare a datelor de trafic referitoare la abonaţii şi la utilizatorii de servicii de comunicaţii electronice destinate publicului.
    51. Or, în ceea ce priveşte termenul de 3 ani prevăzut de dispoziţiile art. 5 din Legea nr. 506/2004, acesta este însoţit de garanţiile mai sus menţionate, respectiv acelea că datele de trafic referitoare la abonaţi şi la utilizatori trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării [art. 5 alin. (1)], existenţa consimţământului expres prealabil al abonatului sau utilizatorului, în cazul prelucrării datelor de trafic stocate, în vederea comercializării serviciilor sau a furnizării de servicii cu valoare adăugată [art. 5 alin. (3)], obligaţia informării abonatului sau utilizatorului cu privire la categoriile de date de trafic care sunt prelucrate şi la durata prelucrării acestora [art. 5 alin. (4)], precum şi faptul că prelucrarea datelor de trafic poate fi efectuată numai de către persoanele care acţionează sub autoritatea furnizorilor de reţele publice de comunicaţii electronice sau de servicii de comunicaţii electronice destinate publicului [art. 5 alin. (5)].
    52. Pentru aceste considerente, Curtea reţine că prin reglementarea termenului de 3 ani ca termen maxim pentru care pot fi stocate de către furnizorii de servicii de comunicaţii electronice destinate publicului datele de trafic referitoare la abonaţi şi la utilizatori, prevederile art. 5 din Legea nr. 506/2004 nu contravin dispoziţiilor constituţionale referitoare la dreptul la viaţă intimă, familială şi privată şi la secretul corespondenţei.
    53. Având în vedere considerentele mai sus arătate, Curtea constată că dispoziţiile legale criticate reglementează cu claritate, precizie şi previzibilitate condiţiile în care furnizorii de servicii de comunicaţii electronice pot stoca datele de trafic ale abonaţilor şi ale utilizatorilor, precum şi drepturile şi obligaţiile persoanelor implicate în aceste raporturi cu caracter tehnic, motiv pentru care textele criticate sunt în acord cu prevederile art. 1 alin. (3) şi (5) din Constituţie.
    54. În ceea ce priveşte pretinsa încălcare prin dispoziţiile legale criticate a prevederilor art. 30 din Constituţie referitoare la libertatea de exprimare, Curtea reţine că aceasta nu poate fi reţinută, întrucât obligaţia furnizorilor de servicii de comunicaţii electronice de a stoca datele de trafic ale abonaţilor şi ale utilizatorilor nu vizează conţinutul comunicaţiilor şi, prin urmare, nu impietează asupra deciziei acestora din urmă de a comunica în mod liber, în condiţiile legii.
    55. Referitor la invocarea, de către autorul excepţiei, a dreptului la un proces echitabil, Curtea reţine că acesta nu este aplicabil în prezenta cauză.
    56. Pentru considerentele expuse mai sus, în temeiul art. 146 lit. d) şi al art. 147 alin. (4) din Constituţie, al art. 1–3, al art. 11 alin. (1) lit. A.d) şi al art. 29 din Legea nr. 47/1992, cu unanimitate de voturi,
    CURTEA CONSTITUŢIONALĂ
    În numele legii
    DECIDE:
    Respinge, ca neîntemeiată, excepţia de neconstituţionalitate ridicată de Eugen Adrian Ionel în Dosarul nr. 25.905/3/2020/a1.5 al Curţii de Apel Bucureşti - Secţia a II-a penală şi constată că dispoziţiile art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice sunt constituţionale în raport cu criticile formulate.
    Definitivă şi general obligatorie.
    Decizia se comunică Curţii de Apel Bucureşti - Secţia a II-a penală şi se publică în Monitorul Oficial al României, Partea I.
    Pronunţată în şedinţa din data de 27 februarie 2025.

                    PREŞEDINTELE CURŢII CONSTITUŢIONALE
                    MARIAN ENACHE
                    Magistrat-asistent,
                    Cristina Teodora Pop

    -----

Newsletter GRATUIT

Aboneaza-te si primesti zilnic Monitorul Oficial pe email

Tags: Monitorul Oficial, Acte Monitorul Oficial, DECIZIA nr. 125 din 27 februarie 2025

Comentarii

Fii primul care comenteaza.

MonitorulJuridic.ro este un proiect:

Atentie, Juristi!

5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 Modele de Contracte Civile si Acte Comerciale conforme cu Noul Cod civil si GDPR"

﻿ DECIZIA nr. 125 din 27 februarie 2025 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice

Comentarii

Atentie, Juristi!

DECIZIA nr. 125 din 27 februarie 2025 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 5 şi ale art. 12^1 alin. (1) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice