Comunica experienta
MonitorulJuridic.ro

Trimite prin Yahoo Messenger pagina: DECIZIA nr. 335 din 14 iunie 2023 referitoare la obiecţia de neconstituţionalitate a dispoziţiilor articolului unic din Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, coroborate cu cele ale art. 3 alin. (2)-(4) şi (8), ale art. 4 alin. (4) şi ale art. 10 alin. (8) din această ordonanţă de urgenţă

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!

DECIZIA nr. 335 din 14 iunie 2023 referitoare la obiecţia de neconstituţionalitate a dispoziţiilor articolului unic din Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, coroborate cu cele ale art. 3 alin. (2)-(4) şi (8), ale art. 4 alin. (4) şi ale art. 10 alin. (8) din această ordonanţă de urgenţă

EMITENT: Curtea Constituţională
PUBLICAT: Monitorul Oficial nr. 562 din 22 iunie 2023

Comenteaza legea


┌───────────────┬───────────────────────┐
│Marian Enache  │- preşedinte           │
├───────────────┼───────────────────────┤
│Mihaela        │- judecător            │
│Ciochină       │                       │
├───────────────┼───────────────────────┤
│Cristian       │- judecător            │
│Deliorga       │                       │
├───────────────┼───────────────────────┤
│Dimitrie-Bogdan│- judecător            │
│Licu           │                       │
├───────────────┼───────────────────────┤
│Laura-Iuliana  │- judecător            │
│Scântei        │                       │
├───────────────┼───────────────────────┤
│Gheorghe Stan  │- judecător            │
├───────────────┼───────────────────────┤
│Livia Doina    │- judecător            │
│Stanciu        │                       │
├───────────────┼───────────────────────┤
│Varga Attila   │- judecător            │
├───────────────┼───────────────────────┤
│Benke Károly   │-                      │
│               │prim-magistrat-asistent│
└───────────────┴───────────────────────┘

    1. Pe rol se află soluţionarea obiecţiei de neconstituţionalitate a Legii pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, obiecţie formulată de Înalta Curte de Casaţie şi Justiţie - Secţiile Unite.
    2. Obiecţia de neconstituţionalitate a fost înregistrată la Curtea Constituţională cu nr. 2.319 din 6 aprilie 2023 şi constituie obiectul Dosarului nr. 821A/2023.
    3. În motivarea obiecţiei de neconstituţionalitate se arată că aceasta vizează articolul unic din legea criticată, cu referire la art. 3 alin. (2)-(4) şi (8), art. 4 alin. (4) şi art. 10 alin. (8) din Ordonanţa de urgenţă a Guvernului nr. 89/2022, şi că, potrivit jurisprudenţei Curţii Constituţionale, controlul de constituţionalitate poate viza însăşi ordonanţa de urgenţă, prin intermediul legii de aprobare a acesteia, lege care nu poate acoperi viciul de constituţionalitate invocat. Se invocă Decizia nr. 412 din 20 iunie 2019, paragraful 45, şi Decizia nr. 55 din 16 februarie 2022, paragraful 138.
    4. Se arată că legea criticată încalcă art. 1 alin. (4) şi art. 61 alin. (1) din Constituţie, întrucât instituie posibilitatea de reglementare a unor norme de nivel primar - referitoare la stocarea, prelucrarea, accesul, stabilirea categoriilor de date, inclusiv cele cu caracter personal, stabilirea criteriilor generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, migrării acestor date - prin intermediul unei hotărâri a Guvernului, act normativ de nivel secundar, al cărui regim constă în executarea cadrului juridic primar. Se atribuie, astfel, Guvernului competenţa de a legifera în materii ce intră în sfera de reglementare a legii, iar nu a hotărârii Guvernului. În susţinerea acestei critici sunt invocate considerente de principiu din Decizia nr. 62 din 13 februarie 2018, paragrafele 73-75.
    5. Aspectele referitoare la stocarea, prelucrarea sau accesul la datele cu caracter personal trebuie să beneficieze de reglementare la nivel primar. Astfel, „stabilirea categoriilor de date prelucrate în Platformă“, „politica, strategia, criteriile tehnice şi operaţionale (...) regulile privind migrarea şi interconectarea“, „criteriile generale de asigurare a confidenţialităţii, securităţii şi interoperabilităţii“, aspecte cuprinse în art. 3 alin. (2), (3) şi (8) din Ordonanţa de urgenţă a Guvernului nr. 89/2022, au incidenţă directă şi esenţială asupra dreptului la viaţă privată al persoanelor şi, astfel, trebuie reglementate prin dispoziţii de rang primar. De asemenea, regulile şi criteriile privind „accesul la datele autorităţilor şi instituţiilor publice găzduite de Cloudul privat guvernamental“, prevăzute de art. 10 alin. (8) din aceeaşi ordonanţă de urgenţă, trebuie să beneficieze de o reglementare la nivel primar, urmând ca măsurile subsecvente de punere în aplicare şi detaliere a operaţiunilor necesare în acest sens să poată fi reglementate prin norme metodologice aprobate prin hotărâre a Guvernului. Se concluzionează că actele de reglementare secundară vor legifera în mod direct materii ce intră în sfera de reglementare a legii în ceea ce priveşte protecţia datelor cu caracter personal şi, corolar, respectarea dreptului la viaţă privată. Această modalitate de reglementare depăşeşte rolul constituţional al hotărârilor Guvernului, de strictă aplicare şi detaliere a normei legale, contrar rolului Parlamentului şi principiului separaţiei şi echilibrului puterilor în stat. Cu privire la regimul constituţional al hotărârilor Guvernului, se invocă Decizia Curţii Constituţionale nr. 63 din 8 februarie 2017, paragraful 89.
    6. Invocându-se Decizia nr. 440 din 8 iulie 2014, paragrafele 57 şi 68, Decizia nr. 62 din 13 februarie 2018, paragraful 51, şi Decizia nr. 295 din 18 mai 2022, paragrafele 135 şi 138, se ajunge la concluzia că prevederile criticate încalcă art. 1 alin. (3) şi (5) şi art. 26 din Constituţie, câtă vreme legiuitorul omite să reglementeze garanţii privind respectarea dreptului la viaţă privată. Se menţionează că, deşi legiuitorul instituie în art. 9 din ordonanţa de urgenţă dispoziţii referitoare la prelucrarea datelor cu caracter personal şi respectarea legislaţiei aplicabile în acest domeniu, acest articol are un simplu caracter declarativ, fără efecte juridice, câtă vreme prevederile concrete legate de stocarea, prelucrarea, accesul şi alte asemenea operaţiuni cu privire la datele cu caracter personal sunt atribuite spre reglementare, în concret, la nivel infralegal. Or, lipsa de previzibilitate şi claritate a noilor reglementări determină imposibilitatea identificării destinatarilor legii, precum şi conformarea acestora cu privire la îndeplinirea obligaţiilor prevăzute în sarcina lor. Se mai arată că textele criticate nu respectă principiul proporţionalităţii, nu oferă garanţii cu privire la confidenţialitatea datelor cu caracter personal şi aduc atingere înseşi esenţei dreptului fundamental la viaţă intimă, familială şi privată.
    7. În conformitate cu dispoziţiile art. 16 alin. (2) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, obiecţia de neconstituţionalitate a fost comunicată preşedinţilor celor două Camere ale Parlamentului şi Guvernului pentru a-şi exprima punctele de vedere.
    8. Preşedinţii celor două Camere ale Parlamentului şi Guvernul nu au comunicat punctele lor de vedere asupra obiecţiei de neconstituţionalitate.
    9. La termenul de judecată fixat pentru data de 17 mai 2023, Curtea a dispus amânarea dezbaterilor asupra cauzei pentru data de 14 iunie 2023, când a pronunţat prezenta decizie.
    CURTEA,
    examinând obiecţia de neconstituţionalitate, raportul întocmit de judecătorul-raportor, dispoziţiile legii criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:
    10. Obiectul controlului de constituţionalitate, astfel cum a fost formulat, îl constituie Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice. Curtea observă, însă, că dispoziţiile criticate în mod punctual sunt cele cuprinse în Ordonanţa de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, publicată în Monitorul Oficial al României, Partea I, nr. 638 din 28 iunie 2022, şi anume art. 3 alin. (2)-(4) şi (8), art. 4 alin. (4) şi art. 10 alin. (8), prin urmare va reţine ca obiect al controlului de constituţionalitate dispoziţiile articolului unic din Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022, coroborate cu cele ale art. 3 alin. (2)-(4) şi (8), ale art. 4 alin. (4) şi ale art. 10 alin. (8) din această ordonanţă de urgenţă. Aceste din urmă dispoziţii au următorul cuprins:
    - Art. 3 alin. (2)-(4) şi (8):
    "(2) Cadrul de management şi stocare a datelor în Platformă, inclusiv stabilirea categoriilor de date prelucrate în Platformă şi găzduite de Cloudul privat guvernamental, cloud privat, cloud public, după caz, se realizează prin hotărâre de Guvern, la propunerea MCID, în termen de maximum 90 de zile de la data intrării în vigoare a hotărârii prevăzute la art. 1 alin. (4).
(3) Politica, strategia, criteriile tehnice şi operaţionale privind implementarea, operarea, mentenanţa şi dezvoltarea ulterioară a Cloudului privat guvernamental, regulile privind stabilirea nivelului agreat de servicii, precum şi cele privind migrarea sau, după caz, interconectarea sistemelor informatice se stabilesc prin hotărâre de Guvern, la propunerea MCID, cu consultarea prealabilă a ADR, STS şi SRI, în termen de maximum 90 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă.
(4) Planul pentru migrarea şi integrarea în Cloudul privat guvernamental a sistemelor informatice şi a serviciilor publice electronice ale instituţiilor şi autorităţilor aparţinând administraţiei publice, precum şi lista autorităţilor şi instituţiilor publice ale căror sisteme informatice şi servicii publice electronice migrează în Cloudul privat guvernamental se stabilesc prin hotărâre de guvern iniţiată de MCID, la propunerea ADR, în termen de maximum 90 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă.
    [...]
(8) În termen de maximum 90 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă, MCID, la propunerea ADR, cu sprijinul STS şi SRI, propune spre adoptare, prin hotărâre de Guvern, criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, adaptării la standarde tehnice şi semantice, respectiv a performanţei aplicaţiilor de tip SaaS găzduite în Platformă, prin intermediul unui marketplace, inclusiv a aplicaţiilor dezvoltate de mediul privat, prin intermediul catalogului definit la art. 2 lit. n).;"

    – Art. 4 alin. (4): „(4) Migrarea, integrarea şi interconectarea în Cloudul privat guvernamental a sistemelor informatice ale autorităţilor şi instituţiilor publice se asigură de către ADR, în conformitate cu hotărârea prevăzută la art. 3 alin. (4), pe baza acordului încheiat de ADR cu fiecare autoritate şi instituţie publică notificată de către ADR în vederea migrării, inclusiv cele prevăzute la art. 1 alin. (12).“;
    – Art. 10 alin. (8): „(8) Normele metodologice privind jurnalizarea evenimentelor şi accesului la datele autorităţilor şi instituţiilor publice găzduite în Cloudul privat guvernamental se aprobă prin hotărârea prevăzută la art. 3 alin. (2).“

    11. Textele constituţionale invocate în susţinerea obiecţiei de neconstituţionalitate sunt cele ale art. 1 alin. (3) privind statul de drept, alin. (4) privind principiul separaţiei şi echilibrului puterilor în stat şi alin. (5) în componentele sale privind calitatea legii şi respectarea Constituţiei şi a supremaţiei sale, ale art. 26 privind viaţa intimă, familială şi privată şi ale art. 61 alin. (1) privind rolul Parlamentului.

    (1) Admisibilitatea obiecţiei de neconstituţionalitate
    12. În prealabil examinării obiecţiei de neconstituţionalitate, Curtea are obligaţia verificării condiţiilor de admisibilitate ale acesteia, prin prisma titularului dreptului de sesizare, a termenului în care acesta este îndrituit să sesizeze instanţa constituţională, precum şi a obiectului controlului de constituţionalitate. Dacă primele două condiţii se referă la regularitatea sesizării instanţei constituţionale, din perspectiva legalei sale sesizări, cea de-a treia vizează stabilirea sferei sale de competenţă, astfel încât urmează să fie cercetate în ordinea antereferită, iar constatarea neîndeplinirii uneia dintre ele are efecte dirimante, făcând inutilă analiza celorlalte condiţii (Decizia Curţii Constituţionale nr. 66 din 21 februarie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 213 din 9 martie 2018, paragraful 38).
    13. Obiecţia de neconstituţionalitate îndeplineşte condiţiile prevăzute de art. 146 lit. a) teza întâi din Constituţie atât sub aspectul titularilor dreptului de sesizare, întrucât a fost formulată de Înalta Curte de Casaţie şi Justiţie - Secţiile Unite, cât şi sub aspectul obiectului, fiind vorba despre o lege adoptată, dar nepromulgată încă.
    14. Cu privire la termenul în care poate fi sesizată instanţa de contencios constituţional, potrivit art. 15 alin. (2) din Legea nr. 47/1992, acesta este de 5 zile de la data depunerii legii adoptate la secretarii generali ai celor două Camere ale Parlamentului, respectiv de 2 zile, începând de la acelaşi moment, dacă legea a fost adoptată în procedură de urgenţă. Totodată, în temeiul art. 146 lit. a) teza întâi din Legea fundamentală, Curtea Constituţională se pronunţă asupra constituţionalităţii legilor înainte de promulgarea acestora, care, potrivit art. 77 alin. (1) teza a doua din Constituţie, se face în termen de cel mult 20 de zile de la primirea legii adoptate de Parlament, iar, potrivit art. 77 alin. (3) din Constituţie, în termen de cel mult 10 zile de la primirea legii adoptate după reexaminare.
    15. Curtea reţine că legea criticată a fost adoptată de Senat, în calitate de primă Cameră sesizată, în procedură de urgenţă, în data de 19 septembrie 2022, după care a fost trimisă Camerei Deputaţilor, care a adoptat-o, în calitate de Cameră decizională, în procedură de urgenţă, la data de 29 martie 2023. La data de 3 aprilie 2023, legea a fost depusă la secretarul general al Senatului şi, respectiv, la secretarul general al Camerei Deputaţilor, în vederea exercitării dreptului de sesizare a Curţii Constituţionale, iar la data de 5 aprilie 2023, a fost trimisă Preşedintelui României pentru promulgare. Sesizarea a fost înregistrată la Curtea Constituţională în data de 6 aprilie 2023, aşa încât Curtea urmează să constate că obiecţia de neconstituţionalitate a fost formulată în afara termenului de 2 zile prevăzut de art. 15 alin. (2) din Legea nr. 47/1992, cu menţiunea că legea nu a fost încă promulgată de Preşedintele României. Această dinamică temporală se încadrează în cea de-a doua ipoteză din paragraful 70 al Deciziei nr. 67 din 21 februarie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 223 din 13 martie 2018, astfel că urmează a se constata că aceasta este admisibilă.
    16. Curtea mai observă că, în cadrul controlului de constituţionalitate a priori exercitat asupra legilor de aprobare a ordonanţelor, se poate contesta şi, implicit, Curtea poate efectua controlul atât asupra aspectelor de constituţionalitate extrinsecă, cât şi a celor de constituţionalitate intrinsecă privind ordonanţa astfel aprobată (Decizia nr. 214 din 9 aprilie 2019, publicată în Monitorul Oficial al României, Partea I, nr. 435 din 3 iunie 2019, paragraful 25). Curtea Constituţională a statuat în mod constant în jurisprudenţa sa că viciul de constituţionalitate al unei ordonanţe simple sau al unei ordonanţe de urgenţă emise de Guvern nu poate fi acoperit prin aprobarea de către Parlament a ordonanţei respective. Legea care aprobă o ordonanţă de urgenţă neconstituţională este ea însăşi neconstituţională (a se vedea în acest sens, cu titlu exemplificativ, Decizia nr. 584 din 13 iunie 2007, publicată în Monitorul Oficial al României, Partea I, nr. 457 din 6 iulie 2007, Decizia nr. 421 din 9 mai 2007, publicată în Monitorul Oficial al României, Partea I, nr. 367 din 30 mai 2007, Decizia nr. 1.008 din 7 iulie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 507 din 23 iulie 2009, Decizia nr. 738 din 19 septembrie 2012, publicată în Monitorul Oficial al României, Partea I, nr. 690 din 8 octombrie 2012, sau Decizia nr. 55 din 5 februarie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 136 din 25 februarie 2014).
    17. Prin urmare, pot face obiect al controlului de constituţionalitate a priori dispoziţiile articolului unic din Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022, coroborate cu cele ale art. 3 alin. (2)-(4) şi (8), ale art. 4 alin. (4) şi ale art. 10 alin. (8) din această ordonanţă de urgenţă.
    18. În consecinţă, Curtea Constituţională a fost legal sesizată şi este competentă, potrivit dispoziţiilor art. 146 lit. a) din Constituţie, precum şi ale art. 1, 10, 15 şi 18 din Legea nr. 47/1992, republicată, să soluţioneze obiecţia de neconstituţionalitate.

    (2) Analiza obiecţiei de neconstituţionalitate
    19. În esenţă, Înalta Curte de Casaţie şi Justiţie - Secţiile Unite critică, prin intermediul legii de aprobare, faptul că art. 3 alin. (2)-(4) şi (8), art. 4 alin. (4) şi art. 10 alin. (8) din Ordonanţa de urgenţă a Guvernului nr. 89/2022 instituie posibilitatea de reglementare a unor norme de nivel primar - referitoare la stocarea, prelucrarea, accesul, stabilirea categoriilor de date, inclusiv cele cu caracter personal, stabilirea criteriilor generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, migrării acestor date - prin intermediul unei hotărâri de Guvern, act normativ de nivel secundar, în condiţiile în care activităţile menţionate se află în legătură directă cu dreptul la viaţă intimă, familială şi privată.
    20. Cu referire la critica formulată, Curtea constată că art. 1 alin. (1) din ordonanţa de urgenţă examinată reglementează regimul juridic general privind înfiinţarea, administrarea şi dezvoltarea, la nivel naţional, a unei infrastructuri de tip cloud hibrid, Platforma de cloud guvernamental (denumită în continuare Platforma), constituită dintr-o componentă de cloud privat (denumită în continuare Cloudul privat guvernamental) şi din resurse şi servicii publice certificate din alte tipuri de cloud publice sau private [art. 1 alin. (2)].
    21. În termen de maximum 90 de zile de la data intrării în vigoare a Ordonanţei de urgenţă a Guvernului nr. 89/2022, prin hotărâre a Guvernului, la propunerea Ministerului Cercetării, Inovării şi Digitalizării, denumit în continuare MCID, cu consultarea prealabilă a Autorităţii pentru Digitalizarea României, denumită în continuare ADR, a Serviciului de Telecomunicaţii Speciale, denumit în continuare STS, şi a Serviciului Român de Informaţii, denumit în continuare SRI, se aprobă Ghidul de guvernanţă a platformei de cloud guvernamental [art. 1 alin. (4)].
    22. Cloudul privat guvernamental este administrat operaţional de ADR şi constă într-un ansamblu de resurse informatice, de comunicaţii şi de securitate cibernetică, aflate în proprietatea statului român, interconectat la nivel de servicii cu clouduri publice şi/sau cu clouduri private [art. 1 alin. (5) ].
    23. Datele - definite ca orice reprezentare digitală a unor acte, fapte sau informaţii şi orice compilaţie a unor astfel de acte, fapte sau informaţii, inclusiv sub forma unei înregistrări audio, video sau audiovizuale - se stochează în platformă. Cadrul de management şi stocare a datelor în Platformă, inclusiv stabilirea categoriilor de date prelucrate în Platformă şi găzduite de Cloudul privat guvernamental, cloud privat, cloud public, după caz, se realizează prin hotărâre a Guvernului, la propunerea MCID, în termen de maximum 90 de zile de la data intrării în vigoare a hotărârii de aprobare a Ghidului de guvernanţă a platformei de cloud guvernamental [art. 3 alin. (2)].
    24. Politica, strategia, criteriile tehnice şi operaţionale privind implementarea, operarea, mentenanţa şi dezvoltarea ulterioară a Cloudului privat guvernamental, regulile privind stabilirea nivelului agreat de servicii, precum şi cele privind migrarea sau, după caz, interconectarea sistemelor informatice se stabilesc prin hotărâre a Guvernului, la propunerea MCID, cu consultarea prealabilă a ADR, STS şi SRI, în termen de maximum 90 de zile de la data intrării în vigoare a ordonanţei de urgenţă examinate [art. 3 alin. (3)].
    25. Planul pentru migrarea şi integrarea în Cloudul privat guvernamental a sistemelor informatice şi a serviciilor publice electronice ale instituţiilor şi autorităţilor aparţinând administraţiei publice, precum şi lista autorităţilor şi instituţiilor publice ale căror sisteme informatice şi servicii publice electronice migrează în Cloudul privat guvernamental se stabilesc prin hotărâre a Guvernului iniţiată de MCID, la propunerea ADR, în termen de maximum 90 de zile de la data intrării în vigoare a ordonanţei de urgenţă analizate [art. 3 alin. (4)].
    26. În termen de maximum 90 de zile de la data intrării în vigoare a Ordonanţei de urgenţă a Guvernului nr. 89/2022, MCID, la propunerea ADR, cu sprijinul STS şi SRI, propune spre adoptare, prin hotărâre a Guvernului, criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, adaptării la standarde tehnice şi semantice, respectiv a performanţei aplicaţiilor de tip SaaS găzduite în Platformă, prin intermediul unui marketplace, inclusiv a aplicaţiilor dezvoltate de mediul privat, prin intermediul catalogului definit la art. 2 lit. n) [art. 3 alin. (8)].
    27. Migrarea, integrarea şi interconectarea în Cloudul privat guvernamental a sistemelor informatice ale autorităţilor şi instituţiilor publice se asigură de către ADR, pe baza acordului încheiat de ADR cu fiecare autoritate şi instituţie publică notificată de către ADR în vederea migrării [art. 4 alin. (4)].
    28. Normele metodologice privind jurnalizarea evenimentelor şi accesului la datele autorităţilor şi instituţiilor publice găzduite în Cloudul privat guvernamental se aprobă prin hotărârea prevăzută la art. 3 alin. (2) [art. 10 alin. (8)].
    29. Toate aceste elemente de conţinut ale actelor de reglementare secundară la care face referire ordonanţa de urgenţă menţionată au fost cuprinse în Ghidul de guvernanţă a platformei de cloud guvernamental, aprobat prin Hotărârea Guvernului nr. 112/2023 privind aprobarea Ghidului de guvernanţă a platformei de cloud guvernamental, publicată în Monitorul Oficial al României, Partea I, nr. 118 din 10 februarie 2023. Această hotărâre, potrivit art. 1 alin. (1), are ca obiect stabilirea unor standarde, reguli şi obligaţii necesare activităţilor operaţionale, procedurale şi tehnice de organizare şi funcţionare a infrastructurilor informatice şi a serviciilor de tip cloud, respectiv:
    "a) politica, strategia, criteriile tehnice şi operaţionale privind implementarea, operarea, mentenanţa şi dezvoltarea ulterioară a Platformei de cloud guvernamental, [...], precum şi interconectarea sistemelor informatice;
b) cadrul de management şi stocare a datelor în Platformă şi stabilirea categoriilor de date prelucrate şi/sau găzduite în Platformă, inclusiv în componenta de cloud privat guvernamental, [...], respectiv resursele publice sau private disponibile în Platformă;
c) planul pentru migrarea şi integrarea în Platformă a aplicaţiilor informatice şi a serviciilor publice electronice ale instituţiilor şi autorităţilor aparţinând administraţiei publice, precum şi lista autorităţilor şi instituţiilor publice ale căror sisteme informatice şi servicii publice electronice migrează în Platformă;
d) criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, adaptării la standarde tehnice şi semantice, respectiv a performanţei aplicaţiilor şi serviciilor de cloud de tip Iaas, Paas, SaaS găzduite în Platformă, prin intermediul unui marketplace, inclusiv normele metodologice privind jurnalizarea evenimentelor şi accesului la datele autorităţilor şi instituţiilor publice găzduite în Platformă;
e) politica cloud first"

    30. Prin urmare, din perspectiva criticii de neconstituţionalitate formulate, se pune problema dacă aspectele reglementate prin Hotărârea Guvernului nr. 112/2023 trebuiau să fie reglementate prin lege.
    31. Curtea reţine că, potrivit jurisprudenţei sale, competenţa originară a Guvernului, autoritate executivă, este prevăzută în art. 108 alin. (2) din Constituţie şi priveşte organizarea executării legilor - acte de reglementare primară -, prin emiterea de hotărâri, care sunt acte normative de reglementare secundară. Hotărârile Guvernului sunt acte administrative normative sau individuale, emise în scopul bunei administrări a executării cadrului normativ primar, ce reclamă stabilirea de măsuri şi reguli subsecvente, care să asigure corecta aplicare a acestuia. Hotărârile se adoptă întotdeauna în baza legii, secundum legem, şi asigură aplicarea sau aducerea la îndeplinire a legilor (Decizia nr. 63 din 8 februarie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 145 din 27 februarie 2017, paragraful 89).
    32. Hotărârile Guvernului sunt acte administrative normative sau individuale, expresie a competenţei originare a Guvernului, prevăzută în Constituţie, tipică pentru rolul acestuia de autoritate publică a puterii executive. Organizarea executării legilor pe calea hotărârilor este un atribut exclusiv al Guvernului, neputând fi, în niciun caz, un atribut al Parlamentului care, de altfel, a adoptat legea/actul normativ principal. Potrivit regimului său constituţional, hotărârea Guvernului intervine atunci când executarea unor prevederi ale legii reclamă stabilirea de măsuri sau reguli subsecvente. Ca urmare, hotărârile Guvernului se adoptă întotdeauna pe baza şi în vederea executării legilor, urmărind punerea în aplicare sau ducerea la îndeplinire a acestora. Atunci când o hotărâre a Guvernului încalcă legea sau adaugă la dispoziţiile legii, ea poate fi atacată în instanţa de contencios administrativ în temeiul art. 52 şi al art. 126 alin. (6) din Constituţia României, republicată, şi al dispoziţiilor conţinute în legea specială în materie, Legea nr. 554/2004 privind contenciosul administrativ, cu modificările şi completările ulterioare (Decizia nr. 457 din 25 iunie 2020, publicată în Monitorul Oficial al României, Partea I, nr. 578 din 1 iulie 2020, paragraful 42).
    33. Relaţiile sociale sunt reglementate primar prin legi/ordonanţe de urgenţă/ordonanţe, în timp ce actele administrative cu caracter normativ pot organiza punerea în executare sau executarea acestora, după caz, fără ca ele însele să fie izvor primar de drept. Reglementarea unor norme primare în corpul unui act de reglementare secundară reprezintă o contradicţie în termeni. Astfel, acest din urmă act trebuie să se limiteze strict la organizarea punerii în executare sau la executarea dispoziţiilor primare, şi nu să reglementeze el însuşi astfel de dispoziţii. De aceea, actele administrative cu caracter normativ, fie hotărâri ale Guvernului, fie ordine ale miniştrilor, nu pot, prin conţinutul lor normativ, să excedeze domeniului organizării executării actelor de reglementare primară [art. 108 alin. (2) din Constituţie], respectiv al executării acestora sau a hotărârilor Guvernului (art. 77 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, republicată în Monitorul Oficial al României, Partea I, nr. 260 din 21 aprilie 2010), după caz, pentru că, printr-un atare procedeu, s-ar ajunge la modificarea/completarea însăşi a legii (Decizia nr. 498 din 17 iulie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 650 din 26 iulie 2018, paragraful 57).
    34. Autoritatea administrativă emitentă este ţinută de aceeaşi obligaţie de a nu reglementa norme cu caracter primar prin acte de punere în executare a legilor, indiferent dacă acestea sunt hotărâri ale Guvernului, ordine ale ministrului sau alte categorii de acte. Astfel fiind, trimiterea pe care legea o face la o hotărâre a Guvernului sau un ordin al ministrului nu poate fi echivalată, de plano, cu transformarea acestor acte în izvoare primare de drept (Decizia nr. 16 din 19 ianuarie 2022, publicată în Monitorul Oficial al României, Partea I, nr. 59 din 19 ianuarie 2022, paragraful 19).
    35. Aşadar, de principiu, aspectele de detaliu ale reglementării primare se pot stabili prin norme de reglementare secundară, însă nu ţine de competenţa Curţii Constituţionale verificarea concordanţei acestora. Ca atare, aspectele la care fac trimitere reglementările criticate sunt chestiuni de detaliu tehnic şi pot fi reglementate prin hotărâre a Guvernului. În schimb, revine instanţelor judecătoreşti competenţa să verifice dacă Guvernul, prin actul adoptat, s-a plasat în sfera specifică de reglementare a acestuia.
    36. De asemenea, întrucât, în mod specific, s-a invocat şi art. 26 din Constituţie în sensul că protecţia datelor cu caracter personal trebuie realizată prin lege/ordonanţă/ordonanţă de urgenţă, analiza Curţii va avea, în continuare, drept premisă art. 9 din ordonanţa de urgenţă, care are ca titlu Prelucrarea datelor cu caracter personal şi care prevede:
    "(1) În procesul de dezvoltare, implementare, administrare şi asigurare a securităţii cibernetice a Cloudului privat guvernamental, autorităţile şi instituţiile publice prevăzute la art. 1 alin. (6) prelucrează date cu caracter personal, în calitate de operator sau persoană împuternicită de către entităţile găzduite sau interconectate, după caz, în conformitate cu responsabilităţile prevăzute la art. 3-7, cu respectarea reglementărilor legale aplicabile în domeniul protecţiei datelor cu caracter personal.
(2) Prelucrarea datelor cu caracter personal prin intermediul sistemelor informatice găzduite în Platformă se realizează de către reprezentanţii autorităţilor şi instituţiilor publice, cu respectarea reglementărilor legale aplicabile în domeniul protecţiei datelor cu caracter personal.
(3) Autorităţile şi instituţiile publice prevăzute la alin. (1) şi (2) respectă regimurile de acces la date prevăzute la nivel naţional şi european şi acordă angajaţilor şi reprezentanţilor lor drepturile de acces la date prelucrate prin intermediul sistemelor informatice găzduite în Platformă, după caz, în vederea îndeplinirii prevederilor prezentei ordonanţe de urgenţă, cu respectarea prevederilor Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), cu modificările ulterioare, Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările şi completările ulterioare, Legii nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, precum şi ale Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor).
(4) Prevederile alin. (3) sunt aplicabile şi în ceea ce priveşte raporturile autorităţilor şi instituţiilor publice prevăzute la alin. (1) şi (2) cu părţi terţe, în vederea asigurării dezvoltării mentenanţei şi dezvoltării ulterioare a infrastructurii şi serviciilor Platformei.
(5) În aplicarea prevederilor alin. (3) şi (4), autorităţile şi instituţiile publice prevăzute la alin. (1) şi (2) au obligaţia să se asigure că datele prelucrate sunt protejate în mod adecvat împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin măsuri de asigurare a confidenţialităţii, integrităţii şi disponibilităţii acestora.
(6) Prezenta ordonanţă de urgenţă respectă drepturile fundamentale şi principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, inclusiv dreptul la respectarea vieţii private şi de familie, dreptul la protecţia datelor cu caracter personal, dreptul la proprietate şi integrarea persoanelor cu dizabilităţi, astfel încât nicio prevedere din prezentul act normativ nu trebuie să facă obiectul unei interpretări sau puneri în aplicare care nu este conformă cu Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale a Consiliului Europei"

    37. Datele personale şi procesarea acestor informaţii ţin de viaţa privată a individului (a se vedea Hotărârea din 4 mai 2000, pronunţată în Cauza Rotaru împotriva României, paragraful 43, sau Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragraful 35) şi sunt protejate printr-un sistem de legi şi acte de drept european, sens în care se reţin: Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicată în Monitorul Oficial al României, Partea I, nr. 651 din 26 iulie 2018, cu modificările ulterioare, Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, publicată în Monitorul Oficial al României, Partea I, nr. 1.101 din 25 noiembrie 2004, cu modificările şi completările ulterioare, Legea nr. 363/2018 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 13 din 7 ianuarie 2019, precum şi Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicat în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119 din 4 mai 2016.
    38. Ca atare, cadrul de bază privind prelucrarea datelor cu caracter personal este reglementat chiar de acte de reglementare primară (naţionale), precum şi de un Regulament adoptat la nivelul Uniunii Europene. La aceste acte normative face trimitere în mod direct ordonanţa de urgenţă analizată, în sensul că accesul la datele cu caracter personal stocate în Platformă trebuie să respecte standardele şi exigenţele acestora, ceea ce denotă faptul că are loc o împlinire a conţinutului normativ al legii analizate cu prevederile actelor normative la care se face trimitere.
    39. În legătură cu normele de trimitere, Curtea, prin Decizia nr. 82 din 20 septembrie 1995, publicată în Monitorul Oficial al României, Partea I, nr. 58 din 19 martie 1996, sauDecizia nr. 405 din 15 iunie 2016, publicată în Monitorul Oficial al României, Partea I, nr. 517 din 8 iulie 2016, paragraful 87, a statuat că trimiterea de la un text de lege la altul, în cadrul aceluiaşi act normativ sau din alt act normativ, este un procedeu frecvent utilizat în scopul realizării economiei de mijloace. Pentru a nu se repeta de fiecare dată, legiuitorul poate face trimitere la o altă prevedere legală, în care sunt stabilite expres anumite prescripţii normative. Efectul dispoziţiei de trimitere constă în încorporarea ideală a prevederilor la care se face trimiterea în conţinutul normei care face trimitere. Se produce astfel o împlinire a conţinutului ideal al normei care face trimiterea cu prescripţiile celuilalt text. În lipsa unei atari operaţii, legiuitorul ar fi încadrat, evident, acest text în forma scrisă a textului care face trimitere
    40. Reglementarea normativă analizată nu se poate compara cu cea constatată neconstituţională prin Decizia nr. 498 din 17 iulie 2018, precitată, unde întreaga problematică a dosarului electronic de sănătate al pacientului era lăsată la nivelul legislaţiei secundare. Or, în cazul de faţă, se poate constata că în România orice prelucrare de date cu caracter personal se face cu respectarea cadrului legal menţionat la art. 9 alin. (3) din ordonanţa de urgenţă. Este adevărat că fiecare operator care prelucrează date cu caracter personal trebuie să îşi reglementeze o procedură proprie/aparte care să implementeze şi să adapteze principiile, exigenţele şi obligaţiile rezultate din cadrul normativ primar existent la cadrul particular al operatorului.
    41. Potrivit art. 9 alin. (1) coroborat cu art. 1 alin. (6) din ordonanţa de urgenţă, în situaţia dată, a cloudului guvernamental privat, astfel de operatori sunt Ministerul Cercetării, Inovării şi Digitalizării, Autoritatea pentru Digitalizarea României, Serviciul de Telecomunicaţii Speciale şi Serviciul Român de Informaţii, care, tot potrivit aceluiaşi text de nivel legal, îşi desfăşoară activitatea „cu respectarea reglementărilor legale aplicabile în domeniul protecţiei datelor cu caracter personal“. Prin urmare, faptul că textele legale criticate trimit la o hotărâre a Guvernului nu înseamnă decât că aceasta va particulariza şi va preciza modul concret şi tehnic de desfăşurare a activităţilor specifice acestui cloud, inclusiv în privinţa prelucrării datelor cu caracter personal. Prin urmare, modul concret de funcţionare a Platformei şi modul concret de asigurare a confidenţialităţii datelor cu caracter personal cu care această Platformă operează se regăsesc în actul de punere în executare a aplicării legii, care detaliază, specifică şi particularizează din punct de vedere tehnic şi procedural atât modul concret de funcţionare a Platformei, cât şi, integrat acestuia, modul de asigurare a confidenţialităţii datelor.
    42. Cu alte cuvinte, dacă s-ar susţine că Hotărârea Guvernului nr. 112/2023 încalcă prescripţiile normative ale Ordonanţei de urgenţă a Guvernului nr. 89/2022 sau ale oricărui act de reglementare primară incident din materia prelucrării datelor cu caracter personal (în sensul că omite, modifică, adaugă anumite aspecte care nu sunt cuprinse în legislaţia primară), aceasta poate forma obiectul controlului judecătoresc pe calea contenciosului administrativ, care constituie remediul juridic specific pentru asigurarea respectării legii; însă o asemenea analiză, a conformităţii actului de reglementare secundar cu actul de reglementare primară, excedează, astfel cum s-a arătat, competenţei Curţii Constituţionale.
    43. Pentru considerentele arătate, în temeiul art. 146 lit. a) şi al art. 147 alin. (4) din Constituţie, precum şi al art. 11 alin. (1) lit. A.a), al art. 15 alin. (1) şi al art. 18 alin. (2) din Legea nr. 47/1992, cu majoritate de voturi,
    CURTEA CONSTITUŢIONALĂ
    În numele legii
    DECIDE:
    Respinge, ca neîntemeiată, obiecţia de neconstituţionalitate şi constată că dispoziţiile articolului unic din Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, coroborate cu cele ale art. 3 alin. (2)-(4) şi (8), ale art. 4 alin. (4) şi ale art. 10 alin. (8) din această ordonanţă de urgenţă, sunt constituţionale în raport cu criticile formulate.
    Definitivă şi general obligatorie.
    Decizia se comunică Preşedintelui României şi se publică în Monitorul Oficial al României, Partea I.
    Pronunţată în şedinţa din data de 14 iunie 2023.

                    PREŞEDINTELE CURŢII CONSTITUŢIONALE
                    MARIAN ENACHE
                    Prim-magistrat-asistent,
                    Benke Károly

    OPINIE SEPARATĂ
    În dezacord cu opinia majoritară, considerăm că sesizarea formulată de Înalta Curte de Casaţie şi Justiţie trebuia admisă şi constatată neconstituţionalitatea dispoziţiilor Legii pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice pentru motivele de neconstituţionalitate expuse în continuare.
    I. Dreptul la viaţă intimă, familială şi privată este unul din drepturile fundamentale prevăzut în Constituţia României, precum şi în Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale (CEDO) şi în Carta drepturilor fundamentale a Uniunii Europene (Carta). Art. 26 din Constituţie prevede obligaţia autorităţilor publice de a respecta şi de a ocroti viaţa intimă, familială şi privată, precum şi dreptul persoanei fizice de a dispune de ea însăşi, dacă nu încalcă drepturile şi libertăţile altora, ordinea publică sau bunele moravuri. Art. 8 din CEDO statuează că orice persoană are dreptul la respectarea vieţii sale private şi de familie, a domiciliului său şi a corespondenţei sale şi că nu este admis amestecul niciunei autorităţi publice în exercitarea acestui drept decât în măsura în care acest amestec este prevăzut de lege şi este o măsură necesară într-o societate democratică pentru apărarea securităţii naţionale, a siguranţei publice, pentru apărarea ordinii şi prevenirea faptelor penale ori protejarea drepturilor şi libertăţilor altora. Art. 7 din Cartă prevede, de asemenea, că orice persoană are dreptul la respectarea vieţii private şi de familie, a domiciliului şi a secretului comunicaţiilor, iar art. 8 statuează că orice persoană are dreptul la protecţia datelor cu caracter personal care o privesc, precum şi că asemenea date trebuie tratate în mod corect pe baza consimţământului persoanei interesate sau în temeiul unui alt motiv legitim prevăzut de lege.
    În jurisprudenţa sa, Curtea Constituţională a statuat că reţinerea şi păstrarea datelor cu caracter personal constituie în mod evident o limitare a dreptului la protecţia datelor cu caracter personal, respectiv a drepturilor fundamentale protejate constituţional referitoare la viaţă intimă, familială şi privată, la secretul corespondenţei, precum şi libertatea de exprimare. O astfel de limitare poate opera însă în conformitate cu dispoziţiile art. 53 din Constituţie, care prevăd posibilitatea restrângerii exerciţiului unor drepturi sau al unor libertăţi numai prin lege şi numai dacă se impune, după caz, pentru apărarea securităţii naţionale, a ordinii, a sănătăţii ori a moralei publice, a drepturilor şi a libertăţilor cetăţenilor, pentru desfăşurarea instrucţiei penale, prevenirea consecinţelor unei calamităţi naturale, ale unui dezastru ori ale unui sinistru deosebit de grav. Măsura restrângerii poate fi dispusă numai dacă este necesară într-o societate democratică, trebuie să fie proporţională cu situaţia care a determinat-o, să fie aplicată în mod nediscriminatoriu şi fără a aduce atingere existenţei dreptului sau a libertăţii.
    Curtea a reţinut că instituirea în sarcina unor persoane a obligaţiei de a reţine şi de a stoca date cu caracter personal impune, în mod corelativ, reglementarea expresă a unor măsuri adecvate, ferme şi neechivoce, de natură să asigure încrederea cetăţenilor că datele cu vădit caracter personal pe care le pun la dispoziţie sunt înregistrate şi păstrate în condiţii de confidenţialitate. Astfel, prin Decizia nr. 62 din 13 februarie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 373 din data de 2 mai 2018, Curtea a reţinut că „orice act normativ trebuie să îndeplinească anumite condiţii calitative, printre acestea numărându-se previzibilitatea, ceea ce presupune că acesta trebuie să fie suficient de precis şi clar pentru a putea fi aplicat (a se vedea în acest sens, spre exemplu, Decizia nr. 189 din 2 martie 2006, publicată în Monitorul Oficial al României, Partea I, nr. 307 din 5 aprilie 2006, Decizia nr. 903 din 6 iulie 2010, publicată în Monitorul Oficial al României, Partea I, nr. 584 din 17 august 2010, sau Decizia nr. 26 din 18 ianuarie 2012, publicată în Monitorul Oficial al României, Partea I, nr. 116 din 15 februarie 2012). În acelaşi sens, Curtea Europeană a Drepturilor Omului a statuat că legea trebuie, într-adevăr, să fie accesibilă justiţiabilului şi previzibilă în ceea ce priveşte efectele sale. Pentru ca legea să satisfacă cerinţa de previzibilitate, ea trebuie să precizeze cu suficientă claritate întinderea şi modalităţile de exercitare a puterii de apreciere a autorităţilor în domeniul respectiv, ţinând cont de scopul legitim urmărit, pentru a oferi persoanei o protecţie adecvată împotriva arbitrarului (a se vedea Hotărârea din 4 mai 2000, pronunţată în Cauza Rotaru împotriva României, paragraful 52, şi Hotărârea din 25 ianuarie 2007, pronunţată în Cauza Sissanis împotriva României, paragraful 66). O lege îndeplineşte condiţiile calitative impuse atât de Constituţie, cât şi de Convenţie, numai dacă norma este enunţată cu suficientă precizie pentru a permite cetăţeanului să îşi adapteze conduita în funcţie de aceasta, astfel încât, apelând la nevoie la consiliere de specialitate în materie, el să fie capabil să prevadă, într-o măsură rezonabilă, faţă de circumstanţele speţei, consecinţele care ar putea rezulta dintr-o anumită faptă şi să îşi corecteze conduita (în acest sens, Decizia Curţii Constituţionale nr. 1 din 11 ianuarie 2012, publicată în Monitorul Oficial al României, Partea I, nr. 53 din 23 ianuarie 2012, şi Decizia Curţii Constituţionale nr. 743 din 2 iunie 2011, publicată în Monitorul Oficial al României, Partea I, nr. 579 din 16 august 2011, precum şi jurisprudenţa Curţii Europene a Drepturilor Omului cu privire la care se reţin, spre exemplu, Hotărârea din 15 noiembrie 1996, pronunţată în Cauza Cantoni împotriva Franţei, paragraful 29, Hotărârea din 25 noiembrie 1996, pronunţată în Cauza Wingrove împotriva Regatului Unit, paragraful 40, Hotărârea din 9 noiembrie 2006, pronunţată în Cauza Leempoel & S.A. ED. Cine Revue împotriva Belgiei, paragraful 59).“
    De asemenea, prin Decizia nr. 440 din 8 iulie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 653 din 4 septembrie 2014, constatând neconstituţionalitatea legii supuse controlului, Curtea a reţinut că „legea criticată nu cuprinde norme clare şi precise cu privire la conţinutul şi aplicarea măsurii reţinerii şi utilizării, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, că accesul autorităţilor naţionale la datele stocate nu este condiţionat, în toate cazurile, de controlul prealabil efectuat de către o instanţă sau de o entitate administrativă independentă, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă.“ Mai mult, Curtea a constatat că „legea nu prevede un mecanism autentic de control care să asigure acestor instituţii o verificare permanentă şi efectivă a respectării dispoziţiilor legale, astfel încât să poată fi sesizate cu uşurinţă cazurile în care furnizorii de servicii încalcă dispoziţiile legale privitoare la tipul de date reţinute, durata în care acestea sunt stocate, distrugerea lor în cazurile prevăzute de lege ori organele şi instituţiile cărora li se permite accesul la aceste date. (...) Nereglementarea unui mecanism real de control al activităţii furnizorilor de reţele publice şi de servicii de comunicaţii electronice de către o autoritate independentă echivalează cu lipsa unor garanţii, astfel cum sunt impuse de prevederile art. 26 şi art. 28 din Constituţie, care să permită o protecţie eficientă a datelor păstrate împotriva riscurilor de abuz, precum şi a oricărui acces ori utilizări ilicite a acestor date.“
    Totodată, prin Decizia nr. 295 din 18 mai 2022, publicată în Monitorul Oficial al României, Partea I, nr. 568 din 10 iunie 2022, cu privire la limitarea exerciţiului dreptului la viaţă intimă, familială şi privată şi la secretul corespondenţei, precum şi a libertăţii de exprimare, făcând trimitere la jurisprudenţa sa constantă, Curtea a stabilit că „aceasta trebuie să aibă loc într-o manieră clară, previzibilă şi lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului autorităţilor în acest domeniu“, or, „în condiţiile în care măsurile adoptate prin legea supusă controlului de constituţionalitate nu aveau un caracter precis şi previzibil, ingerinţa statului în exercitarea drepturilor fundamentale protejate constituţional referitoare la viaţa intimă, familială şi privată, la secretul corespondenţei, precum şi la libertatea de exprimare, deşi prevăzută de lege, nu a fost formulată clar, riguros şi exhaustiv pentru a oferi încredere cetăţenilor, caracterul strict necesar într-o societate democratică nu a fost pe deplin justificat, iar proporţionalitatea măsurii nu a fost asigurată prin reglementarea unor garanţii corespunzătoare“.
    Analizând dispoziţiile legale criticate în prezenta cauză, reţinem că acestea nu respectă dispoziţiile constituţionale ale art. 1 alin. (3) şi (5), precum şi ale art. 26 referitor la dreptul la viaţă privată, câtă vremea legiuitorul omite să reglementeze garanţii privind respectarea acestor drepturi. Deşi legiuitorul instituie în art. 9 din actul normativ analizat dispoziţii referitoare la prelucrarea datelor cu caracter personal şi respectarea legislaţiei aplicabile în acest domeniu, acest articol are un simplu caracter declarativ, fără efecte juridice, câtă vreme prevederile concrete legate de stocarea, prelucrarea, accesul şi alte asemenea operaţiuni cu privire la date cu caracter personal sunt atribuite spre reglementare, în concret, la nivel infralegal. Astfel, „stabilirea categoriilor de date prelucrate în Platformă“, „politica, strategia, criteriile tehnice şi operaţionale, (...) regulile privind migrarea şi interconectare“, „criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii“ prevăzute de dispoziţiile art. 3 alin. (2), (3) şi (8) din Ordonanţa de urgenţă a Guvernului nr. 89/2022 reprezintă aspecte esenţiale, cu incidenţă directă asupra dreptului la viaţă privată a persoanelor, care, din această perspectivă, trebuie reglementate prin dispoziţii de rang primar. De asemenea, regulile şi criteriile privind „accesul la datele autorităţilor şi instituţiilor publice găzduite în Cloudul Privat Guvernamental“ prevăzute de dispoziţiile art. 10 alin. (8) din aceeaşi ordonanţă trebuie reglementate la nivel primar, urmând ca doar măsurile subsecvente privind punerea în aplicare şi detalierea operaţiunilor necesare în acest sens să fie reglementate prin norme metodologice aprobate prin hotărâre a Guvernului.
    Se constată, astfel, că, sub aspectele menţionate, legea se limitează la a evidenţia aspectele esenţiale ce urmează a fi reglementate pe calea legislaţiei secundare, infralegale, şi la a institui măsurile de reţinere şi stocare a datelor, fără a reglementa dispoziţiile legale cu privire la garanţiile pe care statul trebuie să le asigure în exercitarea drepturilor fundamentale ale cetăţenilor. Or, cadrul normativ într-un domeniu atât de sensibil trebuie să se realizeze într-o manieră clară, previzibilă şi lipsită de confuzie, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului celor chemaţi să aplice dispoziţiile legale (a se vedea în acest sens Decizia nr. 461 din 16 septembrie 2014, publicată în Monitorul Oficial al României, Partea I, nr. 775 din 24 octombrie 2014, paragraful 41). În condiţiile în care măsurile adoptate prin legea supusă controlului de constituţionalitate nu au un caracter precis şi previzibil, ingerinţa statului în exercitarea drepturilor mai sus menţionate nu este prevăzută de lege, nu este formulată clar, riguros şi exhaustiv pentru a oferi încredere cetăţenilor, caracterul strict necesar într-o societate democratică nu este pe deplin justificat, iar proporţionalitatea măsurii nu este asigurată prin reglementarea unor garanţii corespunzătoare. Aşadar, limitarea exerciţiului acestor drepturi personale în considerarea unor drepturi colective şi interese publice rupe justul echilibru care ar trebui să existe între interesele şi drepturile individuale, pe de o parte, şi cele ale societăţii, pe de altă parte, legea criticată nereglementând garanţii suficiente care să permită asigurarea unei protecţii eficiente a datelor faţă de riscurile de abuz, precum şi faţă de orice accesare şi utilizare ilicită a datelor cu caracter personal (Decizia nr. 461 din 16 septembrie 2014, paragrafele 43 şi 44).

    II. Cu privire la competenţa Guvernului de a reglementa dispoziţii cu caracter normativ pe calea hotărârilor, prin Decizia nr. 62 din 13 februarie 2018, precitată, Curtea a statuat că hotărârile Guvernului sunt acte adoptate în scopul aplicării legii, în sensul reglementării unor modalităţi concrete şi detaliate de aducere la îndeplinire a măsurilor prevăzute de lege, astfel cum impune art. 108 alin. (2) din Constituţie, potrivit căruia „Hotărârile se emit pentru organizarea executării legilor“. Prin urmare, dispoziţia legală prin care se atribuie Guvernului competenţa de a legifera în materii ce intră în sfera de reglementare a legii, şi nu a hotărârii Guvernului, nu poate avea natura unei simple „soluţii tehnice, în concordanţă cu atribuţiile Guvernului şi cu specificul raporturilor juridice de interes pentru o astfel de reglementare normativă“. Curtea a reţinut că, „deşi ar avea un aparent temei legal, o asemenea hotărâre a Guvernului depăşeşte rolul său constituţional de strictă aplicare şi detaliere a normei legale - de rang superior - deoarece, prin conţinutul său, reglementează în mod direct şi distinct (...), având, în definitiv, acelaşi obiect de reglementare ca şi legea examinată în prezenta cauză. Totodată, chiar dacă materia reglementată prin legea examinată intră, prin specificul său, în domeniul de activitate şi în sfera raporturilor juridice de interes specifice Guvernului, nu se poate justifica această manieră de reglementare, în sensul atribuirii de competenţă de legiferare“. Or, regimul constituţional al hotărârilor Guvernului este stabilit de dispoziţiile art. 108 din Constituţie, potrivit cărora hotărârile Guvernului sunt acte administrative normative sau individuale, emise în scopul bunei administrări a executării cadrului normativ primar, care reclamă stabilirea de măsuri şi reguli subsecvente, care să asigure corecta aplicare a acestuia. Hotărârile se adoptă întotdeauna în baza legii, secundum legem, şi asigură aplicarea sau aducerea la îndeplinire a legilor. Astfel, norma de reglementare secundară trebuie să fie conformă normei de reglementare primară, în niciun caz nu poate fi contrară şi nici nu poate completa sau modifica norma de reglementare primară (a se vedea în acest sens Decizia nr. 63 din 8 februarie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 145 din 27 februarie 2017, paragraful 89).
    Or, dispoziţiile criticate legiferează în mod direct materii ce intră în sfera de reglementare a legii, în ce priveşte protecţia datelor cu caracter personal şi, corolar, respectarea dreptului la viaţă privată. Reţinând că aceste norme trebuie să respecte anumite exigenţe de stabilitate, previzibilitate şi claritate, Curtea ar fi trebuit să constate, în acord cu jurisprudenţa sa constantă, că delegarea atribuţiei de a stabili aceste norme către Guvern, prin emiterea unor acte administrative cu caracter normativ, de rang infralegal, determină o stare de incertitudine juridică şi încalcă principiul securităţii raporturilor juridice. Subliniem că, pentru a respecta dispoziţiile art. 26 şi art. 53 din Constituţie, aspectele esenţiale referitoare la restrângerea exerciţiului dreptului fundamental la viaţă privată şi la protecţia datelor cu caracter personal trebuie să fie reglementate numai prin lege. În aceste condiţii, dispoziţiile Legii pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, prin trimiterea la acte administrative, cu forţă juridică inferioară legii, care să reglementeze, în absenţa unor norme cu forţa juridică a legii, ca act de reglementare primară, categoriile de date prelucrate în Platforma de cloud guvernamental, politica şi strategia privind implementarea, operarea, mentenanţa şi dezvoltarea ulterioară a Cloudului privat guvernamental, regulile privind migrarea şi interconectarea în Cloudul privat guvernamental a sistemelor informatice şi a serviciilor publice electronice ale instituţiilor şi autorităţilor aparţinând administraţiei publice, criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, precum şi accesul la datele autorităţilor şi instituţiilor publice găzduite în Cloudul privat guvernamental încalcă prevederile cuprinse în art. 61 şi în art. 108 din Constituţie, precum şi art. 1 alin. (5) din Constituţie, în componenta sa referitoare la previzibilitatea şi accesibilitatea legii, întrucât destinatarii legii, pentru a-şi conforma conduita, nu se pot raporta decât la prevederile lacunare ale acesteia. Totodată, prin delegarea unei atribuţii ce aparţine în exclusivitate legiuitorului primar către Guvern, legiuitor secundar, sunt încălcate şi dispoziţiile art. 1 alin. (4) din Constituţie referitor la principiul separaţiei şi echilibrului puterilor în stat.
    În concluzie, în considerarea argumentelor mai sus prezentate, apreciem că legea criticată încalcă prevederile art. 1 alin. (3), (4) şi (5), art. 26, art. 53, art. 61, art. 108, precum şi ale art. 147 din Constituţie.

                    Judecători,
                    Gheorghe Stan
                    Cristian Deliorga
                    Varga Attila

    ----

Newsletter GRATUIT

Aboneaza-te si primesti zilnic Monitorul Oficial pe email

Tags: Monitorul Oficial, Acte Monitorul Oficial, Decizie, Alte Institutii, DECIZIA nr. 335 din 14 iunie 2023

Comentarii

Fii primul care comenteaza.

MonitorulJuridic.ro este un proiect:

Atentie, Juristi!

5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR

Legea GDPR a modificat Contractele, Cererile sau Notificarile obligatorii

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "5 modele Contracte Civile si Acte Comerciale - conforme cu Noul Cod civil si GDPR"