Comunica experienta
MonitorulJuridic.ro

Trimite prin Yahoo Messenger pagina: DECIZIA nr. 95 din 4 februarie 2026 referitoare la obiecţia de neconstituţionalitate a Legii privind aprobarea Ordonanţei Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, precum şi a dispoziţiilor art. II din Ordonanţa Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, cu referire la art. V alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 180/2020 pentru modificarea şi completarea Legii nr. 136/2020 privind instituirea unor măsuri în domeniul sănătăţii publice în situaţii de risc epidemiologic şi biologic, a Ordonanţei de urgenţă a Guvernului nr. 158/2005 privind concediile şi indemnizaţiile de asigurări sociale de sănătate, precum şi pentru stabilirea unor măsuri cu privire la acordarea concediilor medicale

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Cautare document

Termen: Tipul actului: Anul publicarii actului:

Copierea de continut din prezentul site este supusa regulilor precizate in Termeni si conditii! Click aici.
Prin utilizarea siteului sunteti de acord, in mod implicit cu Termenii si conditiile! Orice abatere de la acestea constituie incalcarea dreptului nostru de autor si va angajeaza raspunderea!

DECIZIA nr. 95 din 4 februarie 2026 referitoare la obiecţia de neconstituţionalitate a Legii privind aprobarea Ordonanţei Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, precum şi a dispoziţiilor art. II din Ordonanţa Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, cu referire la art. V alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 180/2020 pentru modificarea şi completarea Legii nr. 136/2020 privind instituirea unor măsuri în domeniul sănătăţii publice în situaţii de risc epidemiologic şi biologic, a Ordonanţei de urgenţă a Guvernului nr. 158/2005 privind concediile şi indemnizaţiile de asigurări sociale de sănătate, precum şi pentru stabilirea unor măsuri cu privire la acordarea concediilor medicale

EMITENT: Curtea Constituţională
PUBLICAT: Monitorul Oficial nr. 325 din 24 aprilie 2026

Comenteaza legea


┌─────────────────┬──────────────────────┐
│Elena-Simina     │- preşedinte          │
│Tănăsescu        │                      │
├─────────────────┼──────────────────────┤
│Asztalos         │- judecător           │
│Csaba-Ferenc     │                      │
├─────────────────┼──────────────────────┤
│Mihai Busuioc    │- judecător           │
├─────────────────┼──────────────────────┤
│Mihaela Ciochină │- judecător           │
├─────────────────┼──────────────────────┤
│Cristian Deliorga│- judecător           │
├─────────────────┼──────────────────────┤
│Dacian-Cosmin    │- judecător           │
│Dragoş           │                      │
├─────────────────┼──────────────────────┤
│Dimitrie-Bogdan  │- judecător           │
│Licu             │                      │
├─────────────────┼──────────────────────┤
│Laura-Iuliana    │- judecător           │
│Scântei          │                      │
├─────────────────┼──────────────────────┤
│Gheorghe Stan    │- judecător           │
├─────────────────┼──────────────────────┤
│Claudia-Margareta│-                     │
│Krupenschi       │magistrat-asistent-şef│
├─────────────────┼──────────────────────┤
│Mihaela-Carmen   │- magistrat-asistent  │
│Munteanu         │                      │
└─────────────────┴──────────────────────┘

    1. Pe rol se află soluţionarea obiecţiei de neconstituţionalitate a Legii privind aprobarea Ordonanţei Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, obiecţie formulată de Preşedintele României.
    2. Obiecţia de neconstituţionalitate a fost înregistrată la Curtea Constituţională cu nr. 13.239 din 18 noiembrie 2025 şi constituie obiectul Dosarului nr. 4.600A/2025.
    3. În motivarea obiecţiei de neconstituţionalitate se susţine, în esenţă, că, deşi importanţa existenţei unui registru electronic destinat evidenţei bolilor transmisibile este de necontestat pentru sănătatea publică, soluţia legislativă cuprinsă în legea criticată nu este proporţională cu scopul urmărit, întrucât nu prevede garanţiile asociate art. 26 privind viaţa intimă, familială şi privată din Constituţie şi nu respectă jurisprudenţa în materie a Curţii Constituţionale.
    4. Se arată, în prealabil, că legea criticată aprobă Ordonanţa Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, act normativ care, la art. II, modifică art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020 pentru modificarea şi completarea Legii nr. 136/2020 privind instituirea unor măsuri în domeniul sănătăţii publice în situaţii de risc epidemiologic şi biologic, a Ordonanţei de urgenţă a Guvernului nr. 158/2005 privind concediile şi indemnizaţiile de asigurări sociale de sănătate, precum şi pentru stabilirea unor măsuri cu privire la acordarea concediilor medicale (publicată în Monitorul Oficial al României, Partea I, nr. 982 din 23 octombrie 2020, aprobată prin Legea nr. 126/2021).
    5. Soluţia legislativă prevăzută la art. V alin. (4) din Ordonanţa de urgenţă a Guvernului nr. 180/2020, astfel cum a fost modificat de art. II al Ordonanţei Guvernului nr. 7/2025, impune păstrarea datelor cu caracter personal (constând în nume, prenume, CNP, seria şi numărul actului de identitate sau, după caz, numărul paşaportului sau numărul cardului EU/CE, vârsta, data naşterii, sexul, adresa de domiciliu sau reşedinţă, numărul de telefon, adresa de e-mail şi date privind starea de sănătate: diagnostic sau stare patologică, istoric testări şi boli transmisibile, istoric vaccinări) pe întreaga durată a vieţii persoanei, cu interdicţia ştergerii acestora şi cu anonimizarea lor la 180 de zile de la deces.
    6. Autorul sesizării consideră că această soluţie legislativă încalcă, pe de o parte, dreptul persoanei la viaţă intimă, familială şi privată, consacrat de art. 26 din Constituţie, coroborat cu art. 20 din aceasta şi cu art. 8 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale, precum şi, pe de altă parte, demnitatea umană ca valoare supremă într-un stat de drept, astfel cum rezultă din prevederile art. 1 alin. (3) şi ale art. 148 din Constituţie, prin raportare la art. 7 şi art. 8 alin. (2) teza a doua din Carta drepturilor fundamentale a Uniunii Europene. Susţine, în acest sens, că, deşi instituirea Registrului Unic Electronic de Boli Transmisibile şi colectarea iniţială a datelor menţionate în actul criticat reprezintă o măsură legitimă, adecvată şi necesară pentru protecţia sănătăţii publice, problema de constituţionalitate derivă din caracterul nelimitat în timp al stocării datelor şi din imposibilitatea rectificării sau ştergerii acestora, chiar şi în situaţia în care persoana este complet vindecată şi nu mai prezintă niciun risc de contagiozitate. Deşi datele ştiinţifice permit o anumită diferenţiere, legea nu distinge între diferitele categorii de boli transmisibile la care agentul patogen fie rămâne în stare activă în organism, fie rămâne în stare latentă în organism sau la care agentul patogen este eliminat. În consecinţă, o persoană ale cărei date cu caracter personal au fost înscrise în acest registru va rămâne înregistrată pe întreaga perioadă a vieţii sale, chiar şi în situaţia în care s-a vindecat complet, fără risc de recidivă sau contagiozitate postboală, nemaifiind purtător cronic al bolii şi neavând nevoie de urmărire medicală de lungă durată. În aceste situaţii, raţiunea iniţială a măsurii înscrierii şi menţinerii în registru nu mai subzistă, fiind lipsită de scop şi de caracterul său necesar. Se menţionează Decizia Curţii Constituţionale nr. 498 din 17 iulie 2018, paragraful 36, în care se face referire la jurisprudenţa Curţii Europene a Drepturilor Omului, care a constatat că stocarea şi colectarea datelor de sănătate ale unei persoane pentru o perioadă lungă de timp, împreună cu dezvăluirea şi utilizarea acestor date, fără a avea o legătură cu scopul iniţial al colectării acestora, constituie o ingerinţă disproporţionată în dreptul la respectarea vieţii private (Hotărârea din 26 ianuarie 2017, pronunţată în Cauza Surikov împotriva Ucrainei, paragrafele 70 şi 89, privind divulgarea motivelor medicale în temeiul cărora un angajat a fost scutit de efectuarea serviciului militar). În acest sens se precizează că art. 8 alin. (2) teza a doua din Carta drepturilor fundamentale a Uniunii Europene prevede un drept distinct, dreptul la rectificarea datelor înregistrate, atunci când acestea nu mai corespund realităţii.
    7. Potrivit dispoziţiilor art. 4 şi 9 din Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor - GDPR), datele medicale sunt date cu caracter personal, iar prelucrarea acestora este, de principiu, interzisă, cu anumite excepţii care vizează, printre altele, şi motive de interes public în domeniul sănătăţii publice.
    8. Se mai arată că stocarea datelor cu caracter personal, în special a celor referitoare la sănătate, pe întreaga durată a vieţii unei persoane, indiferent dacă afecţiunile care au reprezentat cauza înregistrării au fost vindecate sau nu, poate constitui o ingerinţă gravă în dreptul la viaţă privată, întrucât divulgarea sau utilizarea abuzivă a acestora poate genera consecinţe ireparabile asupra demnităţii, reputaţiei şi integrităţii persoanei dacă nu sunt respectate principiile de minimizare, limitare în timp şi scop determinat, astfel cum se regăsesc în art. 5 alin. (1) din GDPR. Păstrarea acestor informaţii pe întreaga durată de viaţă a persoanei poate crea un risc de abuz, şantaj sau discriminare. Conform jurisprudenţei Curţii Europene a Drepturilor Omului, chiar şi simpla posibilitate teoretică a unor asemenea abuzuri poate constitui o atingere adusă vieţii private (Hotărârea din 16 februarie 2000, pronunţată în Cauza Amann împotriva Elveţiei, paragrafele 65-67, şi Hotărârea din 4 decembrie 2008, pronunţată în Cauza S. şi Marper împotriva Regatului Unit, paragraful 103).
    9. Deşi obligaţia de a raporta şi obligaţia de a colecta şi înregistra/actualiza/consulta informaţiile medicale ale pacientului în cadrul Registrului Unic de Boli Transmisibile Electronic sprijină obligaţia pozitivă a statului de a proteja sănătatea publică, în acelaşi timp reprezintă şi o prelucrare a datelor medicale şi trebuie exercitate cu respectarea garanţiilor asociate dreptului la viaţa intimă, familială şi privată. Obligaţiile pozitive asociate celor două drepturi sunt corelative şi interdependente, fiind necesară asigurarea unui echilibru între acestea, nefiind permis ca protejarea unuia să fie realizată în detrimentul celuilalt.
    10. Dispoziţiile art. V alin. (2) din Ordonanţa de urgenţă a Guvernului nr. 180/2020 privitoare la respectarea prevederilor GDPR, precum şi ale Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, cu modificările ulterioare, ar putea oferi garanţiile necesare, dacă sunt însoţite de dispoziţii suficiente cuprinse în acte de reglementare primară. Însă, chiar şi în aceste condiţii, dreptul persoanei care nu mai este purtătoarea agentului patogen transmisibil de a obţine rectificarea acestor date este anihilat prin utilizarea sintagmei (datele n.n.) „se păstrează pe toată perioada de viaţă a persoanei vizate şi nu pot fi şterse“, coroborată cu lipsa distincţiei dintre tipurile de boli transmisibile.
    11. Efectuând testul de proporţionalitate necesar pentru stabilirea echilibrului corect dintre limitele impuse dreptului prevăzut de art. 26 din Constituţie şi îndeplinirea obligaţiei pozitive a statului de a lua măsuri pentru asigurarea sănătăţii publice, rezultă că măsura înregistrării datelor cu caracter personal într-o aplicaţie informatică a bolnavilor ce prezintă risc de transmitere a virusurilor reprezintă o măsură de sănătate publică adecvată, capabilă în mod obiectiv să ducă la îndeplinirea scopului legitim urmărit, reprezentat de combaterea riscurilor grave pentru sănătatea publică, însă interdicţia expresă a ştergerii datelor personale a persoanelor vindecate şi păstrarea pe viaţă a acestor date nu sunt măsuri necesare, nefiind proporţionale cu scopul urmărit, şi transformă dreptul la viaţă privată şi dreptul la protecţia datelor cu caracter personal în drepturi iluzorii/teoretice. Aşadar, deşi la momentul iniţial al înregistrării în registru măsura a fost menită să contribuie la prevenirea, monitorizarea sau controlul răspândirii bolilor sau al contaminării ori la combaterea riscurilor grave pentru sănătatea publică sau la reducerea impactului acestora asupra sănătăţii publice, asigurând un raport rezonabil de proporţionalitate între cerinţele de interes general ale colectivităţii şi protecţia drepturilor fundamentale ale individului, ulterior vindecării, în cazul bolilor transmisibile la care acest lucru este posibil, măsura îşi pierde caracterul proporţional.
    12. Dintr-o altă perspectivă, se susţine că menţinerea datelor medicale în Registrul Unic Electronic de Boli Transmisibile, în mod obligatoriu, pe toată durata vieţii, fără posibilitatea ştergerii lor, are drept consecinţă desconsiderarea principiilor subiective care caracterizează fiinţa umană, omul fiind tratat ca obiect, nu subiect al acţiunii statului, aspect ce contravine demnităţii umane. Se menţionează încălcarea prevederilor art. 1 alin. (3) din Constituţie şi a considerentelor statuate în jurisprudenţa instanţei constituţionale cu privire la demnitatea umană - valoare supremă a statului român, cu valoare normativă şi care poate fi calificată ca fiind un drept fundamental cu un conţinut distinct (Decizia nr. 350 din 7 mai 2015, paragraful 18, Decizia nr. 80 din 16 februarie 2014, paragrafele 101 şi 102, şi Decizia nr. 464 din 18 iulie 2019, paragrafele 46, 47, 49, 50 şi 53), precum şi în Decizia Tribunalului Constituţional Federal German 2 BVerfGE 45,187.
    13. Un alt motiv de neconstituţionalitate este formulat prin raportare la art. 26 coroborat cu art. 1 alin. (5), precum şi la art. 147 alin. (4) din Constituţie, cu referire la efectele obligatorii ale Deciziei Curţii Constituţionale nr. 498 din 17 iulie 2018.
    14. Astfel, cu privire la istoricul reglementării se arată că, iniţial, art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020 viza exclusiv aplicaţia „Corona-forms“, destinată colectării şi corelării datelor privind infecţiile cu virusul SARS-CoV-2, cu stabilirea metodologiei de prelucrare prin ordin comun al ministrului sănătăţii şi al directorului Serviciului de Telecomunicaţii Speciale. Ulterior, prin Hotărârea Guvernului nr. 657/2022 privind aprobarea conţinutului şi a metodologiei de colectare şi raportare a datelor pentru supravegherea bolilor transmisibile în Registrul unic de boli transmisibile, adoptată în temeiul art. 83 alin. (1) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii, a fost instituit, la nivel de legislaţie secundară, Registrul Unic de Boli Transmisibile, stabilindu-se expres că datele cu caracter personal se stochează pe durata vieţii persoanei. Prin Ordonanţa de urgenţă a Guvernului nr. 66/2024 pentru modificarea şi completarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, publicată în Monitorul Oficial al României, Partea I, nr. 563 din 17 iunie 2024, la nivel de legislaţie primară, s-a stabilit pentru aplicaţia „Corona-forms“ păstrarea pe viaţă a datelor cu caracter personal, interconectarea acesteia cu Registrul Unic de Boli Transmisibile şi extinderea semnificativă a art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020. În anul 2025, prin Ordonanţa Guvernului nr. 7/2025, legiuitorul a intervenit din nou, abandonând scopul limitat al raportării statistice privind SARSCoV-2 şi consacrând dezvoltarea unei noi aplicaţii - Registrul Unic de Boli Transmisibile Electronic - care preia integral datele din aplicaţiile anterioare, menţinând regula păstrării pe viaţă a datelor pentru toate persoanele înregistrate.
    15. Or, în ceea ce priveşte datele medicale înregistrate în aplicaţia informatică pentru Registrul Unic de Boli Transmisibile, garanţiile pentru asigurarea dreptului constituţional prevăzut de art. 26 sunt cuprinse într-o hotărâre a Guvernului, şi nu într-o lege sau într-un act de reglementare primară, ceea ce contravine considerentelor de principiu statuate de Curtea Constituţională prin Decizia nr. 498 din 17 iulie 2018, paragrafele 50, 51 şi 54.
    16. Astfel, normele criticate nu respectă cerinţele de fond privind conţinutul garanţiilor asociate protecţiei datelor cu caracter personal, care trebuie să aibă un standard înalt de apărare a confidenţialităţii datelor medicale ale pacientului, şi al garanţiilor legate de fixarea naturii răspunderii şi a sancţiunilor, care să fie corespondente ca intensitate standardului înalt de protecţie a datelor medicale. Actele de reglementare primară incidente (Ordonanţa de urgenţă a Guvernului nr. 180/2020, Ordonanţa de urgenţă a Guvernului nr. 66/2024 şi Ordonanţa Guvernului nr. 7/2025) nu conţin asemenea dispoziţii, iar eventualele sancţiuni sunt prevăzute (prin Hotărârea Guvernului nr. 657/2022) sau urmează să fie prevăzute (prin ordin comun al ministrului sănătăţii şi al directorului Serviciului de Telecomunicaţii Speciale) exclusiv în legislaţia secundară, ceea ce contravine exigenţelor constituţionale.
    17. Totodată, trimiterea generică la Regulamentul (UE) 2016/679 şi la Legea nr. 190/2018 este considerată insuficientă, în absenţa unor garanţii specifice şi clare stabilite la nivel de lege. Jurisprudenţa Curţii Europene a Drepturilor Omului impune existenţa unor norme clare, previzibile şi detaliate privind durata stocării, accesul la date, utilizarea acestora şi prevenirea abuzurilor, mai ales atunci când sunt vizate aspecte intime ale vieţii private, precum datele medicale.
    18. Se mai critică faptul că, potrivit art. V alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 180/2020, elemente esenţiale ale regimului juridic al datelor personale (procedura de raportare, colectare şi prelucrare, condiţiile şi limitele de acces, măsurile de securitate şi confidenţialitate, precum şi modalitatea de exercitare a drepturilor persoanelor vizate) urmau să fie stabilite prin ordin comun al ministrului sănătăţii şi al directorului Serviciului de Telecomunicaţii Speciale. Se apreciază că această soluţie este contrară art. 1 alin. (5) din Constituţie, întrucât permite reglementarea unor norme primare prin acte administrative, cu încălcarea principiului legalităţii şi a normelor de tehnică legislativă, astfel cum a statuat Curtea Constituţională în paragrafele 56 şi 57 din Decizia nr. 498 din 17 iulie 2018.
    19. De asemenea, se menţionează lipsa unor norme clare şi previzibile care să prevadă „procedura de raportare, colectare, prelucrare a datelor, utilizarea unor termeni şi expresii lipsite de echivoc, stabilirea menţinerii înregistrării datelor prin raportare la realitatea biologică constând în prezenţa sau absenţa agentului patogen transmisibil, delimitarea clară între persoanele/entităţile care au obligaţia de raportare şi persoanele/entităţile care au dreptul de a accesa baza de date“. În acest sens, se arată, cu titlu de exemplu, că utilizarea sintagmei „au calitatea de operatori ai aplicaţiei“ este neclară, atât prin utilizarea noţiunii „operatori“, cât şi prin enumerarea de la art. V alin. (8), în condiţiile în care nu se face o distincţie clară între titularii obligaţiei de raportare şi titularii dreptului de acces la aceste date.
    20. În final, autorul sesizării menţionează existenţa unui aspect ce ridică problema interferenţei între controlul a priori şi cel a posteriori de constituţionalitate, justificat de imperativul ca în dreptul pozitiv să nu existe în vigoare acte juridice vădit neconstituţionale. Se arată că dispoziţiile art. 83 alin. (1) din Legea nr. 95/2006 deleagă Guvernului competenţe de reglementare primară, contrar Constituţiei şi jurisprudenţei Curţii Constituţionale, prin permiterea stabilirii, prin hotărâre a Guvernului, a unor norme ce ţin de garanţiile dreptului la viaţă privată şi protecţia datelor personale. În consecinţă, se solicită eliminarea art. 83 din fondul activ al legislaţiei, cu efectul încetării de drept a efectelor Hotărârii Guvernului nr. 657/2022, ca act subsecvent lipsit de temei constituţional. Se menţionează, în acest sens, jurisprudenţa Curţii Constituţionale, de exemplu, deciziile nr. 1.640 din 10 decembrie 2009 şi nr. 414 din 14 aprilie 2010.
    21. În conformitate cu dispoziţiile art. 16 alin. (2) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, obiecţia de neconstituţionalitate a fost comunicată preşedinţilor celor două Camere ale Parlamentului, precum şi Guvernului, pentru a transmite punctele lor de vedere.
    22. Preşedintele Camerei Deputaţilor apreciază că obiecţia de neconstituţionalitate este neîntemeiată.
    23. În susţinerea netemeiniciei obiecţiei se arată că asupra aspectelor sesizate Curtea Constituţională s-a pronunţat prin Decizia nr. 498 din 17 iulie 2018, stabilind că prelucrarea datelor cu caracter personal în scop medical şi ştiinţific prin raportare la art. 26 din Constituţie nu este, prin ea însăşi, neconstituţională, nici măcar atunci când are loc fără consimţământ expres, dacă este realizată în scopuri legitime (medicale, de sănătate publică, ştiinţifice). Statul poate institui mecanisme de colectare şi utilizare a acestor date în scopuri medicale, de sănătate publică sau ştiinţifice, dacă există garanţii legale adecvate. Instanţa de contencios constituţional a subliniat că respectarea vieţii private este asigurată prin stabilirea clară a scopului prelucrării, a categoriilor de date utilizate şi a măsurilor de securitate şi confidenţialitate, iar impunerea unor condiţii legale pentru accesul la aceste date nu constituie o încălcare a art. 26, ci o modalitate de realizare a obligaţiei pozitive a statului de a proteja viaţa privată.
    24. Legea nr. 95/2006 privind reforma în domeniul sănătăţii, republicată, cu modificările şi completările ulterioare, cuprinde, în art. 6, art. 7 şi art. 83 alin. (1), dispoziţii relevante pentru analiza constituţionalităţii normelor criticate, evidenţiind garanţiile legale adecvate aferente mecanismului de colectare şi utilizare a datelor cu caracter personal. În titlul I din Legea nr. 95/2006 sunt reglementate sistemele informaţionale de sănătate şi registrele naţionale, care prevăd expres utilizarea codului numeric personal (CNP) pentru evitarea dublării evidenţelor şi asigurarea continuităţii datelor clinice.
    25. Baza de date i-RUBT nu colectează „toate datele medicale“, ci doar datele relevante pentru bolile transmisibile, date clinice şi epidemiologice necesare supravegherii acestora, care reprezintă informaţiile care fac obiectul raportării obligatorii, conform legislaţiei interne şi europene în vigoare. De asemenea, limitarea dreptului la ştergere cu privire la datele cuprinse întrun registru epidemiologic nu doar că este proporţională, ci face parte din practica standard europeană, fiind necesară pentru protejarea altor drepturi fundamentale: dreptul la viaţă, la sănătate şi la un mediu sănătos. Se menţionează, în acest sens, dispoziţiile cuprinse în Regulamentul (UE) 2016/679 (GDPR) şi în Regulamentul (UE) 2022/2.371 privind ameninţările transfrontaliere grave pentru sănătate şi de abrogare a Deciziei nr. 1.082/2013/UE.
    26. Cadrul legislativ european impune statelor membre colectarea şi păstrarea unor astfel de date şi stabileşte obligaţii explicite pentru statele membre, respectiv: colectarea de date individuale pentru bolile transmisibile de interes public; utilizarea de registre şi sisteme digitale naţionale interoperabile; transmiterea datelor relevante către Centrul European de Prevenire şi Control al Bolilor (ECDC) în format nominal sau pseudonimizat, în funcţie de boală; păstrarea datelor pe perioade adecvate pentru analize longitudinale, evaluări de risc şi răspuns rapid. În conformitate cu Decizia nr. 2.119/98/CE a Parlamentului European şi a Consiliului, a fost creată o reţea de supraveghere epidemiologică şi control al bolilor transmisibile. Domeniul său de aplicare a fost extins prin Decizia nr. 1.082/2013/UE a Parlamentului European şi a Consiliului, abrogată prin Regulamentul (UE) 2022/2.371. Acest din urmă Regulament se aplică supravegherii epidemiologice a bolilor transmisibile şi a problemelor de sănătate speciale conexe, în acest scop fiind reglementată reţeaua europeană de supraveghere epidemiologică a bolilor transmisibile, din care face parte şi statul român, care îşi îndeplineşte obligaţiile de raportare prin intermediul autorităţilor naţionale competente (astfel cum este Institutul Naţional de Sănătate Publică - INSP). Statele membre sunt responsabile de asigurarea faptului că sistemul integrat de supraveghere este alimentat periodic cu informaţii, date şi documente actuale, complete şi exacte, transmise şi partajate prin intermediul platformei digitale. În scopuri de supraveghere epidemiologică, ECDC are acces, de asemenea, la datele relevante privind sănătatea, accesate sau puse la dispoziţie prin intermediul unei infrastructuri digitale, care permite utilizarea datelor medicale în scopuri de cercetare, de consiliere cu privire la elaborarea politicilor şi de reglementare.
    27. Un astfel de registru nu reprezintă deci o opţiune unilaterală a statului român, ci o obligaţie de conformare cu legislaţia europeană şi cu cerinţele de securitate sanitară la nivelul Uniunii.
    28. Durata de stocare este stabilită în funcţie de necesitatea epidemiologică şi este compatibilă cu legislaţia europeană, iar accesul la date nu este extins, neclar sau nelimitat, ci este condiţionat de: rolul profesional, obligaţia de raportare (medici, laboratoare, direcţii de sănătate publică, scopurile prelucrării, jurnalizarea tuturor accesărilor şi audit periodic cu responsabilităţi stricte pentru operatori cu sancţiuni în caz de abuz.
    29. Supravegherea epidemiologică nu este o activitate clinică, ci o responsabilitate de securitate sanitară a statului, reglementată strict la nivel european, iar instrumentele de sănătate publică trebuie evaluate în lumina obligaţiilor europene, a necesităţilor epidemiologice şi a garanţiilor legale existente.
    30. Cu privirea la solicitarea de eliminare din fondul activ al legislaţiei, prin efectul deciziei care se va pronunţa, a dispoziţiilor art. 83 din Legea nr. 95/2006, cu consecinţa încetării de drept a efectelor Hotărârii Guvernului nr. 657/2022, se arată că o eventuală admitere va genera oprirea transmiterii datelor medicale, epidemiologice, dinspre furnizorii de servicii de sănătate spre Registrul naţional operat de INSP, cu consecinţa faptului că România va ajunge în imposibilitatea onorării obligaţiilor de raportare către ECDC şi Organizaţia Mondială a Sănătăţii (OMS). Or, spre deosebire de raportarea către OMS, în ceea ce priveşte ECDC, care este agenţie a Uniunii Europene, lipsa raportării sau raportarea unor date epidemiologice incomplete poate avea consecinţe grave. În acest scop, în toate statele europene există registre similare, cu structuri de date apropiate, conforme cu standardele europene.
    31. Guvernul apreciază că obiecţia de neconstituţionalitate este întemeiată în raport cu criticile vizând încălcarea art. 1 alin. (3) şi a art. 26 coroborat cu art. 20 din Constituţie prin raportare la art. 8 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale, dar şi cu art. 148 din Constituţie prin raportare la art. 7 şi art. 8 alin. (2) teza a doua din Carta drepturilor fundamentale a Uniunii Europene, aceeaşi sesizare fiind neîntemeiată însă în raport cu dispoziţiile art. 26 coroborat cu art. 1 alin. (5), precum şi art. 147 alin. (4) din Constituţie.
    32. În sensul temeiniciei sesizării se arată că informaţiile privind sănătatea persoanei intră în noţiunea de viaţă privată şi reprezintă, prin urmare, un mod de a realiza protecţia drepturilor prevăzute de art. 26 din Constituţie, consacrate în egală măsură şi în art. 8 din Convenţie. Potrivit jurisprudenţei Curţii Europene a Drepturilor Omului, protecţia datelor personale, nu în ultimul rând a datelor cu caracter medical, este de o importanţă fundamentală pentru ca o persoană să se poată bucura de dreptul său la respectarea vieţii private şi a vieţii de familie. Pe de altă parte, dreptul la viaţa familială nu are caracter absolut, exerciţiul acestuia putând fi restrâns, potrivit art. 53 din Legea fundamentală, prin lege. Însă principiul proporţionalităţii impune ca restrângerea exerciţiului acestui drept să nu depăşească limitele a ceea ce este necesar pentru realizarea obiectivelor legitime, fiind de preferat ca, atunci când este posibilă alegerea dintre mai multe măsuri adecvate, să se recurgă la cea mai puţin constrângătoare, iar inconvenientele cauzate să nu fie disproporţionate în raport cu scopurile vizate. Drepturile individuale nu pot fi exercitate in absurdum, ci pot constitui obiectul unor restrângeri care sunt justificate în funcţie de scopul urmărit.
    33. Garantând dreptul la ocrotirea sănătăţii, art. 34 din Constituţie stabileşte obligaţia statului de a lua măsurile necesare pentru asigurarea sănătăţii publice, iar art. 1 alin. (3) din Constituţie reprezintă o reglementare de principiu care constituie cadrul pe care se grefează toate celelalte norme ale Constituţiei.
    34. Curtea Constituţională a arătat în jurisprudenţa sa că statului nu îi este permis ca, protejând un drept constituţional, să o facă în detrimentul celuilalt drept deopotrivă ocrotit, pentru că s-ar ajunge la situaţia în care afectarea acestuia din urmă să fie atât de puternică încât avantajul iniţial obţinut să apară ca fiind nesemnificativ în contextul general. La nivel normativ, complementaritatea şi proporţionalitatea trebuie să caracterizeze relaţia dintre drepturile constituţionale. Curtea a mai stabilit, referitor la relaţia dintre demnitatea umană şi drepturile pacientului, că obligaţia pozitivă a statului de a reglementa un cadru normativ care să respecte demnitatea umană nu trebuie să îl pună nici pe angajatul statului şi nici pe pacient în situaţia de a obliga, respectiv de a-şi da consimţământul, chiar dacă aceştia, la nivel subiectiv, nu realizează faptul că îşi încalcă propria demnitate. Astfel, cadrul legislativ în sine trebuie să preîntâmpine posibilitatea ca, prin modul lor de acţiune, cele două categorii de persoane să îşi încalce propria demnitate umană (Decizia nr. 498 din 17 iulie 2018).
    35. În schimb, Guvernul consideră că sunt neîntemeiate susţinerile formulate cu privire la încălcarea art. 26 coroborat cu art. 1 alin. (5), precum şi a art. 147 alin. (4) din Constituţie, pe motiv că garanţiile pe care le impune protejarea dreptului la viaţă intimă, familială şi privată se realizează la un standard necorespunzător, prin legislaţie secundară, şi nu prin acte normative de nivel primar. În acest sens, se arată că prin modalitatea de reglementare nu se aduce atingere ierarhiei actelor normative, actul normativ criticat stabilind garanţii suficiente, care urmează să fie aplicate prin elaborarea unor metodologii specifice. În plus, potrivit normei primare, textele care detaliază garanţiile asociate art. 26 din Constituţie, care urmează să fie detaliate prin legislaţia de nivel secundar, urmează să fie stabilite în concordanţă cu prevederile Regulamentului (UE) 2016/679, act legislativ al Uniunii care are forţa juridică a legii. Garanţiile care urmează să fie detaliate prin acte de nivel secundar nu sunt instituite în mod direct de aceste acte administrative, ci prin intermediul acestora se detaliază conţinutul garanţiilor prevăzute şi instituite la nivel primar. Autoritatea administrativă nu ar putea modifica concepţia generală a garanţiei asociate art. 26 din Constituţie, întrucât principiile generale care trebuie să caracterizeze conţinutul acestor măsuri sunt prevăzute la nivel primar, fie prin acte normative cu putere de lege, fie prin acte legislative ale Uniunii Europene.
    36. Referitor la condiţiile pe care o reglementare de nivel primar trebuie să le îndeplinească în raport cu art. 1 alin. (5) din Legea fundamentală, instanţa de contencios constituţional a reţinut, prin Decizia nr. 547 din 13 iulie 2017, că o lege îndeplineşte condiţiile calitative impuse atât de Constituţie, cât şi de Convenţie numai dacă norma este enunţată cu suficientă precizie pentru a permite cetăţeanului să îşi adapteze conduita în funcţie de aceasta, astfel încât, apelând la nevoie la consiliere de specialitate în materie, el să fie capabil să prevadă, într-o măsură rezonabilă, faţă de circumstanţele speţei, consecinţele care ar putea rezulta dintr-o anumită faptă şi să îşi corecteze conduita. Totodată, Curtea, având în vedere principiul generalităţii legilor, a reţinut că poate să fie dificil să se redacteze legi de o precizie totală şi o anumită supleţe poate chiar să se dovedească de dorit, supleţe care nu trebuie să afecteze însă previzibilitatea legii.
    37. Pe de altă parte, dacă actele administrative emise în scopul punerii în aplicare a actului primar depăşesc temeiul primar în baza căror au fost adoptate/emise ori prezintă alte vicii de nelegalitate, acestea urmează să fie supuse controlului judecătoresc, putând fi anulate în cazul în care instanţa de judecată constată existenţa motivelor de nelegalitate.
    38. Preşedintele Senatului nu a transmis punctul său de vedere.
    39. La dosarul cauzei, în calitate de amicus curiae, Institutul Naţional de Sănătate Publică, organ de specialitate din subordinea Ministerului Sănătăţii, a transmis la dosarul cauzei un memoriu, prin care prezintă, în sprijinul soluţionării cauzei, o serie de informaţii, clarificări şi date de drept comparat, solicitând, în principal, respingerea obiecţiei de neconstituţionalitate, iar, în subsidiar, în eventualitatea în care Curtea constată unele vicii de neconstituţionalitate, „să limiteze remediul la indicarea punctelor care necesită completare sau la trimiterea la o corectare legislativă (îndrumare/ordonanţă de remediere), în locul unei invalidări în bloc“.
    CURTEA,
    examinând obiecţia de neconstituţionalitate, punctele de vedere ale Preşedintelui Camerei Deputaţilor şi Guvernului, documentele depuse la dosar, raportul întocmit de judecătorul-raportor, dispoziţiile legii criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:
    40. Obiectul controlului de constituţionalitate îl constituie Legea privind aprobarea Ordonanţei Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, act normativ ce cuprinde următoarele prevederi:
    "ARTICOL UNIC
    Se aprobă Ordonanţa Guvernului nr. 7 din 31 ianuarie 2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, adoptată în temeiul art. 1 pct. VI.2 din Legea nr. 332/2024 privind abilitarea Guvernului de a emite ordonanţe, şi publicată în Monitorul Oficial al României, Partea I, nr. 93 din 31 ianuarie 2025, cu următoarea modificare:
    1. La articolul II, alineatul (1) al articolului V se modifică şi va avea următorul cuprins:
    "ART. V
    (1) În vederea raportării şi supravegherii evoluţiei bolilor transmisibile, Serviciul de Telecomunicaţii Speciale dezvoltă o nouă aplicaţie care va prelua toate datele înregistrate în aplicaţia informatică „Corona-forms“ şi aplicaţia informatică pentru Registrul Unic de Boli Transmisibile, prevăzută de Hotărârea Guvernului nr. 657/2022 privind aprobarea conţinutului şi a metodologiei de colectare şi raportare a datelor pentru supravegherea bolilor transmisibile în Registrul unic de boli transmisibile, denumită în continuare Registrul Unic Electronic de Boli Transmisibile, i-RUBT."
"
    Dispoziţiile din Ordonanţa Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, care au legătură cu prevederile criticate, au următorul conţinut:
    ART. II

    "Articolul V din Ordonanţa de urgenţă a Guvernului nr. 180/2020 pentru modificarea şi completarea Legii nr. 136/2020 privind instituirea unor măsuri în domeniul sănătăţii publice în situaţii de risc epidemiologic şi biologic, a Ordonanţei de urgenţă a Guvernului nr. 158/2005 privind concediile şi indemnizaţiile de asigurări sociale de sănătate, precum şi pentru stabilirea unor măsuri cu privire la acordarea concediilor medicale, publicată în Monitorul Oficial al României, Partea I, nr. 982 din 23 octombrie 2020, aprobată prin Legea nr. 126/2021, cu modificările ulterioare, se modifică şi va avea următorul cuprins:
    ART. V
    (1) În vederea raportării şi supravegherii evoluţiei bolilor transmisibile, Serviciul de Telecomunicaţii Speciale dezvoltă o nouă aplicaţie care va prelua toate datele înregistrate în aplicaţia informatică „Corona-forms“ şi aplicaţia informatică pentru Registrul Unic de Boli Transmisibile, prevăzută de Hotărârea Guvernului nr. 657/2022 privind aprobarea conţinutului şi a metodologiei de colectare şi raportare a datelor pentru supravegherea bolilor transmisibile în Registrul unic de boli transmisibile, denumită în continuare Registrul Unic de Boli Transmisibile Electronic, i-RUBT.
    (2) Serviciul de Telecomunicaţii Speciale, în calitate de persoană împuternicită de Institutul Naţional de Sănătate Publică, prelucrează datele cu caracter personal colectate în aplicaţia informatică i-RUBT cu respectarea prevederilor Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, respectiv Regulamentul general privind protecţia datelor, precum şi ale Legii nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE, cu modificările ulterioare.
    (3) Datele cu caracter personal colectate şi prelucrate în aplicaţia informatică dezvoltată de Serviciul de Telecomunicaţii Speciale conform prevederilor alin. (1) sunt date privind identificarea persoanei: nume, prenume, CNP, seria şi numărul actului de identitate sau, după caz, numărul paşaportului sau numărul cardului EU/CE, vârstă, data naşterii, sex, adresa de domiciliu sau reşedinţă, numărul de telefon, adresa de e-mail şi date privind starea de sănătate: diagnostic sau stare patologică, istoric testări şi boli transmisibile, istoric vaccinări.
    (4) Datele cu caracter personal prevăzute la alin. (3) se păstrează pe toată perioada de viaţă a persoanei vizate şi nu pot fi şterse. La 180 de zile de la decesul persoanei vizate, datele cu caracter personal privind identificarea acesteia se anonimizează prin mijloace automatizate, în mod ireversibil, iar datele privind starea de sănătate ale acesteia se păstrează în vederea utilizării strict în scop ştiinţific sau statistic.
    (5) Metodologia de raportare, colectare şi prelucrare a datelor prevăzute la alin. (3), condiţiile şi limitele de acces la datele cu caracter personal, măsurile şi garanţiile privind securitatea şi confidenţialitatea datelor şi informaţiilor din aplicaţia informatică dezvoltată de Serviciul de Telecomunicaţii Speciale conform prevederilor alin. (1), precum şi modul de îndeplinire a măsurilor necesare în vederea informării persoanelor vizate asupra operaţiunilor de prelucrare şi modul de exercitare a drepturilor persoanelor vizate, în concordanţă cu prevederile Regulamentului (UE) 2016/679, se stabilesc prin ordin comun al ministrului sănătăţii şi al directorului Serviciului de Telecomunicaţii Speciale.
    (6) Cererile referitoare la datele din aplicaţia informatică dezvoltată de Serviciul de Telecomunicaţii Speciale conform prevederilor alin. (1), precum şi cererile formulate pentru exercitarea drepturilor persoanelor vizate, prevăzute la art. 1322 din Regulamentul (UE) 2016/679, în raport cu prelucrările de date cu caracter personal realizate în condiţiile prevăzute de prezentul articol, se adresează şi se soluţionează de către Institutul Naţional de Sănătate Publică.
    (7) În vederea implementării şi utilizării funcţionalităţilor aplicaţiei dezvoltată de Serviciul de Telecomunicaţii Speciale conform prevederilor alin. (1), Ministerul Sănătăţii şi Institutul Naţional de Sănătate Publică transmit, primesc, interoghează şi validează seturile de date prevăzute la alin. (6) în sistemele informatice ale instituţiilor şi autorităţilor publice care deţin sau administrează, după caz, seturile de date respective, în condiţiile prevăzute printr-un acord de colaborare încheiată între Ministerul Sănătăţii, Serviciul de Telecomunicaţii Speciale şi entitatea care deţine seturile de date necesare.
    (8) Au calitatea de operatori ai aplicaţiei dezvoltată de Serviciul de Telecomunicaţii Speciale conform prevederilor alin. (1):
    a) Ministerul Sănătăţii;
    b) Institutul Naţional de Sănătate Publică;
    c) direcţiile de sănătate publică judeţene şi a municipiului Bucureşti, precum şi structurile de specialitate din cadrul ministerelor şi instituţiilor cu reţea sanitară proprie;
    d) toţi furnizorii de servicii medicale din sistemul public şi privat, inclusiv laboratoarele, furnizorii aparţinând altor ministere şi instituţii cu reţea sanitară proprie şi din unităţile de asistenţă socială, indiferent de forma de organizare juridică, care au obligaţia raportării datelor în aplicaţia RUBT, potrivit prevederilor Hotărârii Guvernului nr. 657/2022.
    (9) Pentru ministerele şi instituţiile cu reţea sanitară proprie din Sistemul naţional de apărare, ordine publică şi siguranţă naţională, datele sunt colectate, prelucrate, validate sau modificate de către structurile de specialitate din cadrul acestora, cu respectarea prevederilor Legii nr. 182/2002 privind protecţia informaţiilor clasificate, cu modificările şi completările ulterioare.
    (10) Aplicaţia i-RUBT se dezvoltă de către Serviciul de Telecomunicaţii Speciale.;"

    ART. IV

    "În termen de 12 luni de la data intrării în vigoare a prezentei ordonanţe, Serviciul de Telecomunicaţii Speciale are obligaţia de a dezvolta i-RUBT, prevăzută la art. V alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 180/2020 pentru modificarea şi completarea Legii nr. 136/2020 privind instituirea unor măsuri în domeniul sănătăţii publice în situaţii de risc epidemiologic şi biologic, a Ordonanţei de urgenţă a Guvernului nr. 158/2005 privind concediile şi indemnizaţiile de asigurări sociale de sănătate, precum şi pentru stabilirea unor măsuri cu privire la acordarea concediilor medicale, aprobată prin Legea nr. 126/2021, cu modificările ulterioare, precum şi cu modificările aduse prin prezenta ordonanţă."

    41. Textele constituţionale indicate în susţinerea obiecţiei de neconstituţionalitate sunt cele ale art. 1 alin. (3) şi (5) invocate în componenta privind demnitatea umană ca valoare supremă a statului român şi, respectiv, din perspectiva principiului legalităţii, ale art. 26 - Viaţa intimă, familială şi privată, astfel cum acesta se interpretează, potrivit art. 20 şi 148 din Constituţie, şi prin prisma exigenţelor dispoziţiilor art. 8 privind dreptul la respectarea vieţii private şi de familie din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale, şi ale art. 7 - Respectarea vieţii private şi de familie şi ale art. 8 alin. (2) teza a doua privind protecţia datelor cu caracter personal din Carta drepturilor fundamentale a Uniunii Europene, şi ale art. 147 alin. (4) privind efectul obligatoriu al deciziilor Curţii Constituţionale.
    (1) Admisibilitatea obiecţiei de neconstituţionalitate
    42. În prealabil examinării obiecţiei de neconstituţionalitate, Curtea Constituţională are obligaţia verificării condiţiilor de admisibilitate a acesteia, prin prisma titularului dreptului de sesizare, a termenului în care acesta este îndrituit să sesizeze instanţa constituţională, precum şi a obiectului controlului de constituţionalitate.
    43. Dacă primele două condiţii se referă la regularitatea sesizării instanţei constituţionale, din perspectiva legalei sale sesizări, cea de-a treia vizează stabilirea sferei sale de competenţă, astfel încât urmează să fie cercetate în ordinea antereferită, iar constatarea neîndeplinirii uneia dintre ele are efecte dirimante, făcând inutilă analiza celorlalte condiţii (Decizia nr. 66 din 21 februarie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 213 din 9 martie 2018, paragraful 38).
    44. Analizând obiecţia de neconstituţionalitate din perspectiva celor trei condiţii de admisibilitate prevăzute de art. 146 lit. a) teza întâi din Constituţie, Curtea constată că acestea sunt îndeplinite.
    45. Astfel, sub aspectul titularului dreptului de sesizare, se constată că obiecţia de neconstituţionalitate este formulată de Preşedintele României, subiect de sezină expres prevăzut de art. 146 lit. a) din Legea fundamentală şi de art. 15 alin. (1) din Legea nr. 47/1992.
    46. Cu privire la termenul în care poate fi sesizată instanţa de contencios constituţional, potrivit art. 15 alin. (2) din Legea nr. 47/1992, acesta este de 5 zile de la data depunerii legii adoptate la secretarii generali ai celor două Camere ale Parlamentului, respectiv de 2 zile, începând de la acelaşi moment, dacă legea a fost adoptată în procedură de urgenţă. Aceste termene nu sunt însă incidente în ipoteza în care dreptul de sesizare este exercitat de Preşedintele României, căruia i se aplică prevederile art. 77 din Constituţie, în sensul că acesta poate sesiza Curtea Constituţională pe durata termenului stabilit de art. 77 alin. (1) şi (3) pentru promulgarea legilor, şi anume în termen de 20 de zile, respectiv de 10 zile de la data primirii legii (Decizia nr. 296 din 29 mai 2025, publicată în Monitorul Oficial al României, Partea I, nr. 652 din 11 iulie 2025, paragraful 42).
    47. Astfel, se constată că legea supusă controlului de constituţionalitate a priori a fost adoptată în procedură de drept comun la data de 22 octombrie 2025, depusă la secretarii generali ai celor două Camere ale Parlamentului la data de 27 octombrie 2025 şi trimisă pentru promulgare Preşedintelui României la data de 1 noiembrie 2025, care, în data de 18 noiembrie 2025, a adresat Curţii Constituţionale prezenta sesizare, în cadrul termenului de promulgare de 20 de zile prevăzut de art. 77 alin. (1) din Constituţie.
    48. În sfârşit, cât priveşte obiectul sesizării, acesta este reprezentat de o lege adoptată şi încă nepromulgată, încadrându-se în ipoteza normativă prevăzută de art. 146 lit. a) din Constituţie şi de art. 15 alin. (1) din Legea nr. 47/1992.

    (2) Parcursul legislativ şi soluţiile legislative preconizate
    49. Legea a fost adoptată de Senat, în calitate de primă Cameră sesizată, la data de 24 februarie 2025, şi de Camera Deputaţilor, în calitate de Cameră decizională, la data de 22 octombrie 2025.
    50. Legea supusă controlului aprobă Ordonanţa Guvernului nr. 7/2025 şi operează o singură modificare în privinţa art. II din această ordonanţă, text care, la rândul său, reglementează unele modificări asupra art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020 pentru modificarea şi completarea Legii nr. 136/2020 privind instituirea unor măsuri în domeniul sănătăţii publice în situaţii de risc epidemiologic şi biologic, a Ordonanţei de urgenţă a Guvernului nr. 158/2005 privind concediile şi indemnizaţiile de asigurări sociale de sănătate, precum şi pentru stabilirea unor măsuri cu privire la acordarea concediilor medicale, publicată în Monitorul Oficial al României, Partea I, 982 din 23 octombrie 2020. Modificarea operată prin legea criticată este de ordin formal şi vizează conţinutul normativ cuprins în art. V alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 180/2020, în sensul că denumirea aplicaţiei Registrul Unic de Boli Transmisibile Electronic devine Registrul Unic Electronic de Boli Transmisibile.
    51. Deşi Ordonanţa Guvernului nr. 7/2025 este structurată, în prezent, pe patru articole (art. I-IV), iar legea criticată, odată cu aprobarea actului normativ emis de Guvern, modifică doar art. II din aceasta, Curtea observă că autorul sesizării formulează critici de natură intrinsecă ce vizează exclusiv conţinutul normativ al întregului art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020, astfel cum acesta a fost modificat prin art. II din Ordonanţa Guvernului nr. 7/2025 şi redat, în mod corespunzător, în corpul acestui din urmă act normativ.
    52. Cu privire la acest aspect, Curtea reaminteşte că, în cadrul controlului de constituţionalitate a priori exercitat asupra legilor de aprobare a ordonanţelor ori a ordonanţelor de urgenţă ale Guvernului, acestea din urmă pot fi direct contestate, iar instanţa de contencios constituţional este competentă să verifice, în consecinţă, şi constituţionalitatea acestor acte normative adoptate de Guvern în calitate de legiuitor delegat şi care au intrat deja în vigoare, deoarece ordonanţele Guvernului aprobate de Parlament prin lege, în conformitate cu prevederile art. 115 alin. (7) din Constituţie, încetează să mai fie acte normative de sine stătătoare şi devin, ca efect al aprobării de către autoritatea legiuitoare, acte normative cu caracter de lege, chiar dacă, din raţiuni de tehnică legislativă, alături de datele legii de aprobare, conservă şi elementele de identificare atribuite la adoptarea lor de către Guvern. Mai mult, Curtea a statuat că viciul de neconstituţionalitate al unei ordonanţe sau ordonanţe de urgenţă emise de Guvern nu poate fi acoperit prin legea de aprobare adoptată de Parlament a ordonanţei respective, această lege fiind ea însăşi neconstituţională (cu titlu exemplificativ, Decizia nr. 556 din 29 octombrie 2024, publicată în Monitorul Oficial al României, Partea I, nr. 125 din 11 februarie 2025, paragrafele 38 şi 39).
    53. În esenţă, dispoziţiile art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020, astfel cum au fost modificate prin art. II din Ordonanţa Guvernului nr. 7/2025, cuprind următoarele soluţii legislative:
    - instituie dezvoltarea de către Serviciul de Telecomunicaţii Speciale (STS) a unei noi aplicaţii informatice denumite Registrul Unic de Boli Transmisibile Electronic (s.n. - redenumit Registrul Unic Electronic de Boli Transmisibile prin legea criticată), i-RUBT, care va prelua datele înregistrate în aplicaţia informatică „Corona-forms“ şi în aplicaţia informatică pentru Registrul Unic de Boli Transmisibile, prevăzută de Hotărârea Guvernului nr. 657/2022, măsură instituită în vederea raportării şi supravegherii evoluţiei bolilor transmisibile [alin. (1) şi (10)];
    – competenţa STS, în calitate de persoană împuternicită de Institutul Naţional de Sănătate Publică (INSP), de a prelucra datele cu caracter personal completate în aplicaţia informatică i-RUBT cu respectarea Regulamentului general privind protecţia datelor (GDPR) şi a Legii nr. 190/2018 (pentru punerea în aplicare a acestuia) [alin. (2)];
    – enumeră care sunt datele privind identificarea persoanei colectate şi prelucrate în cadrul aplicaţiei i-RUBT (nume, prenume, CNP, seria şi numărul actului de identitate sau, după caz, numărul paşaportului ori numărul cardului EU/CE, vârstă, data naşterii, sex, adresa de domiciliu sau reşedinţă, numărul de telefon, adresa de e-mail) şi datele privind starea de sănătate (diagnostic sau stare patologică, istoric testări şi boli transmisibile, istoric vaccinări) [alin. (3)];
    – stabileşte regula potrivit căreia datele cu caracter personal se păstrează pe toată perioada de viaţă a persoanei vizate şi nu pot fi şterse, urmând să fie anonimizate la 180 de zile după deces [alin. (4)];
    – precizează că metodologia de raportare, colectare şi prelucrare a datelor personale, condiţiile şi limitele de acces la datele cu caracter personal, măsurile şi garanţiile privind securitatea şi confidenţialitatea datelor şi informaţiilor din noua aplicaţie informatică, precum şi modul de îndeplinire a măsurilor necesare în vederea informării persoanelor vizate asupra operaţiunilor de prelucrare şi modul de exercitare a drepturilor persoanelor vizate se stabilesc prin ordin comun al ministrului sănătăţii şi al directorului STS [alin. (5)];
    – arată că cererile referitoare la datele din aplicaţia informatică i-RUBT şi cererile formulate pentru exercitarea drepturilor persoanelor vizate se adresează şi se soluţionează de către INSP [alin. (6)], iar Ministerul Sănătăţii şi INSP transmit, primesc, interoghează şi validează seturile de date prevăzute la alin. (6) în sistemele informatice ale instituţiilor şi autorităţilor publice care deţin sau administrează, după caz, seturile de date respective, în condiţiile prevăzute printr-un acord de colaborare încheiat între Ministerul Sănătăţii, STS şi entitatea care deţine seturile de date necesare [alin. (7)];
    – enumeră operatorii aplicaţiei i-RUBT: Ministerul Sănătăţii, INSP, direcţiile de sănătate publică judeţene şi a municipiului Bucureşti, structurile de specialitate din cadrul ministerelor şi instituţiilor cu reţea sanitară proprie, precum şi toţi furnizorii de servicii medicale din sistemul public şi privat, inclusiv laboratoarele, furnizorii aparţinând altor ministere şi instituţii cu reţea sanitară proprie şi din unităţile de asistenţă socială, indiferent de forma de organizare juridică, aceştia având obligaţia raportării datelor în aplicaţia RUBT, potrivit prevederilor Hotărârii Guvernului nr. 657/2022 [alin. (8)];
    – structurile de specialitate din cadrul ministerelor şi instituţiilor cu reţea sanitară proprie din Sistemul naţional de apărare, ordine publică şi siguranţă naţională au obligaţia colectării, prelucrării, validării sau modificării acestor date cu respectarea Legii nr. 182/2002 privind protecţia informaţiilor clasificate, publicată în Monitorul Oficial al României, Partea I, nr. 248 din 12 aprilie 2002, cu modificările şi completările ulterioare [alin. (9)].

    54. Art. IV din Ordonanţa Guvernului nr. 7/2025 stabileşte că STS are obligaţia de a dezvolta i-RUBT în termen de 12 luni de la data intrării în vigoare a ordonanţei, respectiv până la data de 31 ianuarie 2026.

    (3) Analiza obiecţiei de neconstituţionalitate

    (3.1.) Critica de neconstituţionalitate privind încălcarea demnităţii umane şi a dreptului persoanei la viaţă intimă, familială şi privată
    55. În esenţă, autorul sesizării susţine că soluţia legislativă cuprinsă la art. V alin. (4) din Ordonanţa de urgenţă a Guvernului nr. 180/2020, potrivit căreia datele cu caracter personal colectate şi prelucrate în aplicaţia informatică i-RUBT nu pot fi şterse, este o măsură ce se îndepărtează de scopul său iniţial şi devine nenecesară în situaţia în care persoana vizată este complet vindecată şi nu mai prezintă niciun risc de contagiozitate. Întrucât legea nu face nicio distincţie în funcţie de posibilitatea eliminării în mod ireversibil a riscului de reîmbolnăvire cu aceeaşi boală transmisibilă, menţinerea măsurii de stocare şi prelucrare a datelor cu caracter personal este disproporţională şi creează o ingerinţă asupra dreptului la viaţă intimă, familială şi privată, dar şi asupra demnităţii umane, omul fiind tratat ca un obiect, şi nu ca subiect al acţiunii statului, aspecte ce contravin dispoziţiilor cuprinse în art. 1 alin. (3) şi art. 26 din Constituţie, coroborat cu art. 8 din Convenţie şi cu art. 7 şi art. 8 alin. (2) teza a doua din Carta drepturilor fundamentale a Uniunii Europene.
    56. Curtea observă că datele medicale conţin informaţii despre starea de sănătate a unei persoane şi se bucură de aceeaşi protecţie a regimului juridic al datelor cu caracter personal, componentă integrantă esenţială a dreptului fundamental la viaţă privată, consacrat atât de art. 26 din Constituţie, cât şi de art. 8 din Convenţie. Datorită specificului său, care ţine de forul interior al persoanei şi poate atinge cele mai sensibile aspecte ale existenţei umane, dreptul la viaţă privată se caracterizează printr-un nivel foarte ridicat de protecţie, în sensul că, deşi nu este un drept absolut, exercitarea lui trebuie lăsată, ca regulă, nestingherită, statul având în general obligaţia negativă de a nu interveni. Art. 8 alin. (2) din Convenţie precizează în mod expres că motivele pentru care este admis amestecul autorităţii publice în exercitarea dreptului la viaţă privată trebuie să fie prevăzute de lege şi trebuie să constituie, într-o societate democratică, o măsură necesară pentru securitatea naţională, siguranţa publică, bunăstarea economică a ţării, apărarea ordinii şi prevenirea faptelor penale, protecţia sănătăţii, a moralei, a drepturilor şi a libertăţilor altora.
    57. Spre deosebire de sistemul Convenţiei, care integrează în sfera dreptului la viaţă privată şi dreptul la protecţia datelor cu caracter personal, ordinea juridică a Uniunii Europene a conferit datelor cu caracter personal o protecţie juridică specifică, distinctă de cea privind dreptul la respectarea vieţii private şi de familie, rezervându-i norme de nivel primar proprii, concretizate în art. 8 din Carta drepturilor fundamentale a Uniunii Europene şi art. 16 alin. (1) din Tratatul privind funcţionarea Uniunii Europene, abordare care reflectă importanţa crescută a dreptului la protejarea datelor cu caracter personal, devenit drept independent, pe baza căruia s-a dezvoltat ulterior legislaţia subsecventă în materie. Normele mai sus menţionate au fundamentat, printre altele, şi adoptarea Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor, denumit în continuare GDPR), act juridic care, la paragraful 1 al preambulului, prevede că „Protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal este un drept fundamental.“
    58. Potrivit definiţiei prevăzute la art. 4 pct. 15 din GDPR, datele privind sănătatea înseamnă date cu caracter personal legate de sănătatea fizică sau mentală a unei persoane fizice, inclusiv prestarea de servicii de asistenţă medicală, care dezvăluie informaţii despre starea de sănătate a acesteia (date sensibile).
    59. Articolul 5 din GDPR instituie principiile de prelucrare a datelor cu caracter personal prelucrate în mod legal, şi anume: (1) legalitate, echitate şi transparenţă; (2) limitări legate de scop; (3) reducerea la minimum a datelor; (4) exactitate; (5) limitări legate de stocare; (6) integritate şi confidenţialitate.
    60. Principiul limitării legate de stocare, care interesează în raport cu critica formulată de autorul sesizării, este cuprins la art. 5 alin. (1) lit. e) din GDPR şi impune ca datele cu caracter personal să fie păstrate, ca regulă, într-o formă care permite identificarea persoanelor vizate pe o perioadă care nu depăşeşte perioada necesară îndeplinirii scopurilor în care sunt prelucrate datele. Datele cu caracter personal pot fi stocate şi pe perioade mai lungi în măsura în care acestea vor fi prelucrate exclusiv în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu art. 89 alin. (1), sub rezerva punerii în aplicare a măsurilor de ordin tehnic şi organizatoric adecvate prevăzute în GDPR în vederea garantării drepturilor şi libertăţilor persoanei vizate.
    61. În ceea ce priveşte prelucrarea datelor cu caracter personal, inclusiv a datelor privind sănătatea, art. 9 alin. (1) din GDPR stabileşte, de principiu, regula interzicerii prelucrării, însă prevede expres la alin. (2) şi excepţiile care, prin scopul urmărit, justifică prelucrarea acestor date. Printre motivele vizate de aceste scopuri se numără cele de interes public major [lit. g)], scopurile legate de medicina preventivă [lit. h)] sau motivele de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii [lit. i)]. Este necesar ca aceste scopuri să fie prevăzute în temeiul dreptului Uniunii sau al dreptului intern, iar alin. (3) al art. 9 precizează ca prelucrarea datelor să fie făcută de către un profesionist supus obligaţiei de păstrare a secretului profesional sau sub responsabilitatea acestuia, în temeiul dreptului Uniunii sau al dreptului intern sau în temeiul normelor stabilite de organisme naţionale competente ori de o altă persoană supusă, de asemenea, unei obligaţii de confidenţialitate în temeiul dreptului Uniunii sau al dreptului intern ori al normelor stabilite de organisme naţionale competente. Alin. (4) al art. 9 permite statelor membre să introducă condiţii suplimentare, inclusiv restricţii, în ceea ce priveşte prelucrarea de date privind sănătatea, ceea ce conferă condiţiilor cuprinse expres în art. 9 alin. (2) şi (3) un caracter minimal şi obligatoriu.
    62. Referitor la dreptul la ştergerea datelor, consacrat de art. 17 din GDPR, se reţine că acesta implică dreptul persoanei vizate de a obţine din partea operatorului ştergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, acesta din urmă având obligaţia corelativă de a le şterge imediat. Persoana vizată poate solicita ştergerea datelor sub motivele prevăzute laalin. (1) şi (2) ale art. 17, cum ar fi, de exemplu, retragerea consimţământului sau prelucrarea ilegală. Potrivit alin. (3) al aceluiaşi articol, aceste motive nu se aplică în măsura în care prelucrarea este necesară: a) pentru exercitarea dreptului la liberă exprimare şi la informare; b) pentru respectarea unei obligaţii legale care prevede prelucrarea în temeiul dreptului Uniunii sau al dreptului intern care se aplică operatorului ori pentru îndeplinirea unei sarcini executate în interes public sau în cadrul exercitării unei autorităţi oficiale cu care este învestit operatorul; c) din motive de interes public în domeniul sănătăţii publice, în conformitate cu art. 9 alin. (2) lit. (h) şi (i) şi cu art. 9 alin. (3); d) în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, în conformitate cu art. 89 alin. (1), în măsura în care dreptul menţionat la alin. (1) este susceptibil să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective; sau e) pentru constatarea, exercitarea sau apărarea unui drept în instanţă.
    63. Sintetizând esenţa conţinutului normativ al prevederilor mai sus indicate, rezultă că dreptul convenţional, precum şi legislaţia primară şi cea secundară a Uniunii Europene consideră că datele cu caracter personal reprezintă o componentă centrală a vieţii private, iar protecţia acestora constituie un drept fundamental al persoanelor, corelată cu dreptul la respectarea vieţii private şi de familie. Deşi este un drept de prim rang, cu un nivel de protecţie foarte ridicat, acesta nu este însă un drept absolut, excepţiile sau derogările fiind permise în condiţii strict prevăzute în legislaţie.
    64. Potrivit textelor din GDPR anterior indicate, rezultă că pentru invocarea situaţiilor care justifică aplicarea excepţiilor în privinţa interdicţiei prelucrării datelor cu caracter personal şi a dreptului la ştergerea acestor date este necesară mai întâi identificarea scopului instituirii măsurii restrictive. La rândul său, acest scop trebuie să fie determinat, explicit şi legitim, adică expres prevăzut în dreptul Uniunii sau în dreptul intern şi să atingă o importanţă deosebită, de interes major, aşa cum sunt cele mai sus enumerate: scopuri legate de medicina preventivă sau a muncii, de furnizarea de asistenţă medicală sau socială, de gestionarea sistemelor şi serviciilor de sănătate sau de asistenţă socială, motive de interes public în domeniul sănătăţii publice, scopuri de arhivare în interes public, de cercetare ştiinţifică sau istorică ori în scopuri statistice. Astfel, atât prelucrarea, cât şi păstrarea datelor privind sănătatea sunt permise fără consimţământul persoanei vizate şi pe o perioadă nedeterminată, dacă scopul prevăzut de lege urmăreşte motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii, expres indicat în art. 9 alin. (2) lit. i) din GDPR.
    65. Conceptul de „sănătate publică“ este definit în art. 3 lit. c) din Regulamentul (CE) nr. 1.338/2008 al Parlamentului European şi al Consiliului din 16 decembrie 2008 privind statisticile comunitare referitoare la sănătatea publică, precum şi la sănătatea şi siguranţa la locul de muncă (aplicabil şi în contextul GDPR, conform paragrafului 54 din preambulul acestuia) şi înseamnă toate elementele referitoare la sănătate, şi anume starea de sănătate, inclusiv morbiditatea sau dizabilitatea, factorii determinanţi care au efect asupra stării de sănătate, necesităţile în domeniul asistenţei medicale, resursele alocate asistenţei medicale, furnizarea asistenţei medicale şi asigurarea accesului universal la aceasta, precum şi cheltuielile şi sursele de finanţare în domeniul sănătăţii şi cauzele mortalităţii.
    66. Curtea reţine, totodată, că Regulamentul (UE) 2022/2.371 al Parlamentului European şi Consiliului Uniunii din 23 noiembrie 2022 privind ameninţările transfrontaliere grave pentru sănătate şi de abrogare a Deciziei nr. 1.082/2013/UE conţine o serie de măsuri care vizează securitatea sanitară a Uniunii Europene, menite să abordeze ameninţările transfrontaliere grave pentru sănătate şi consecinţele acestora. Prin acest act normativ a fost extins cadrul juridic preexistent referitor la supravegherea epidemiologică, monitorizarea, alerta precoce cu privire la ameninţările transfrontaliere grave pentru sănătate, inclusiv ameninţările de natură zoonotică cu scopul combaterii lor într-un mod cât mai eficient fiind instituită în acest sens, printre altele, aşa numita „reţea de supraveghere epidemiologică“, mecanism prin care s-au suplimentat obligaţiile statelor membre în materie de raportare şi de analiză a indicatorilor sistemelor de sănătate.
    67. Din lectura prevederilor cuprinse în regulamentul mai sus menţionat, reiese că bolile transmisibile şi aşa-numitele „probleme de sănătate speciale conexe“ (rezistenţa la antimicrobiene şi infecţiile asociate asistenţei medicale legate de bolile transmisibile) se încadrează în categoria ameninţărilor de origine biologică, componentă a categoriilor de ameninţări transfrontaliere grave pentru sănătate, astfel că statele membre au obligaţia supravegherii, monitorizării şi raportării situaţiilor epidemiologice la nivel naţional [pct. 1, 21, 24, 26, 27, 28; I 43 din preambul, art. 2 alin. (1) lit. a) şi alin. (2), art. 13 din Regulamentul (UE) 2022/2.371].
    68. Faţă de cadrul normativ mai sus configurat, Curtea Constituţională, analizând dispoziţiile art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020, astfel cum au fost modificate prin art. II din Ordonanţa Guvernului nr. 7/2025, prin prisma criticilor de neconstituţionalitate formulate în prezenta cauză, reţine că legiuitorul delegat a exprimat clar în alin. (1) al articolului indicat scopul pentru care se instituie noua aplicaţie informatică i-RUBT, acesta constând în raportarea şi supravegherea evoluţiei bolilor transmisibile.
    69. Acest scop nu este unul de noutate în domeniul sănătăţii publice, de noutate fiind doar domeniul de aplicare şi amploarea măsurilor concrete luate în acest scop. Monitorizarea şi analiza stării de sănătate a populaţiei, precum şi supravegherea epidemiologică, prevenirea şi controlul bolilor sunt unele dintre principalele funcţii ale asistenţei de sănătate publică, definită ca efortul organizat al societăţii în vederea protejării şi promovării sănătăţii populaţiei [art. 2 alin. (1) şi art. 5 lit. b) şi d) din Legea nr. 95/2006 privind reforma în domeniul sănătăţii]. Modalităţile prin care aceste funcţii se duc la îndeplinire de către autorităţile publice de resort au variat în timp şi au avut un caracter evolutiv. Astfel, prin Ordonanţa de urgenţă a Guvernului nr. 8/2018 privind reglementarea unor măsuri în domeniul sănătăţii, publicată în Monitorul Oficial al României, Partea I, nr. 190 din 1 martie 2018, s-a impus dezvoltarea de registre naţionale pentru monitorizarea principalelor domenii de intervenţie ale asistenţei de sănătate publică (a se vedea în acest sens art. 6^1 din Legea nr. 95/2006). Ulterior, în contextul pandemiei generate de coronavirusul SARS-Cov-2, prin Ordonanţa de urgenţă a Guvernului nr. 180/2020 a fost impusă utilizarea sistemelor şi aplicaţiilor informatice, inclusiv a aplicaţiei informatice Corona-forms, în scopul colectării şi corelării datelor strict necesare furnizate de entităţile implicate în combaterea efectelor generate de coronavirusul SARS-Cov-2 şi al evidenţei persoanelor confirmate cu coronavirusul SARS-Cov-2 sau decedate ca urmare a infectării cu acest virus [art. V alin. (1) din Ordonanţa de urgenţă a Guvernului nr. 180/2020 în redactarea iniţială]. În sfârşit, art. II din Ordonanţa Guvernului nr. 7/2025 a extins scopul mai sus precizat la sfera bolilor transmisibile, astfel că şi modalitatea de monitorizare şi supraveghere epidemiologică a populaţiei s-a modificat, prin utilizarea unei noi aplicaţii, i-RUBT, care valorifică aplicaţiile informatice preexistente, respectiv Corona-forms şi Registrul Unic de Boli Transmisibile, prevăzută de Hotărârea Guvernului nr. 657/2022.
    70. Extinderea domeniului de aplicare a măsurilor care vizează, în esenţă, monitorizarea bolilor transmisibile este una firească, dat fiind gradul crescut de preocupare în ceea ce priveşte securitatea sanitară, în special după etapa pandemiei globale de coronavirus ce a debutat la sfârşitul anului 2019, aspect ce se reflectă în reglementările Uniunii Europene în materia protecţiei şi securităţii sănătăţii publice, mai sus referite.
    71. Tocmai pentru a reduce la minimul necesar intruziunea statală asupra vieţii private, aşa cum impun textele convenţionale şi de drept al Uniunii invocate de autorul sesizării, dispoziţiile art. V alin. (4) din Ordonanţa de urgenţă a Guvernului nr. 180/2020, modificate prin art. II din Ordonanţa Guvernului nr. 7/2025, prevăd, într-adevăr, că datele cu caracter personal colectate [enumerate la alin. (3)] se păstrează pe toată durata de viaţă a persoanei vizate şi nu pot fi şterse, însă acestea se anonimizează prin mijloace automatizate, în mod ireversibil, la 180 de zile de la decesul acesteia; doar datele privind starea de sănătate se păstrează în vederea utilizării strict în scop ştiinţific sau statistic. Prin urmare, sunt respectate dispoziţiile art. 5 alin. (1) lit. b) din GDPR, care permit prelucrarea ulterioară de date cu caracter personal, în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, ale art. 9 alin. (1) lit. i) şi j), care permit prelucrarea de date privind sănătatea din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii sau asigurarea de standarde ridicate de calitate şi siguranţă a asistenţei medicale şi a medicamentelor sau a dispozitivelor medicale, în temeiul dreptului Uniunii sau al dreptului intern, sau dacă prelucrarea este necesară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, precum şi ale art. 17 alin. (3) lit. c) şi d) din acesta, care exclud dreptul la ştergerea datelor din motive de interes public în domeniul sănătăţii publice, în conformitate cu art. 9 alin. (2) lit. (h) şi (i) şi cu art. 9 alin. (3) sau în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice.
    72. Sintetizând cele de mai sus, rezultă că datele de identificare ale persoanei enumerate la art. V alin. (3) dinOrdonanţa de urgenţă a Guvernului nr. 180/2020 (respectiv: nume, prenume, CNP, seria şi numărul actului de identitate sau, după caz, numărul paşaportului sau numărul cardului EU/CE, vârstă, data naşterii, sex, adresa de domiciliu sau reşedinţă, numărul de telefon, adresa de e-mail) se prelucrează şi după o perioadă mai lungă după colectare, nu pot fi şterse (chiar dacă persoană se vindecă în mod ireversibil de respectiva boală transmisibilă) şi se anonimizează la 180 de zile de la data decesului, prelucrarea acestora fiind necesară din motive de interes public în domeniul sănătăţii publice, cum ar fi protecţia împotriva ameninţărilor transfrontaliere grave la adresa sănătăţii, domeniu reglementat special prin Regulamentul (UE) 2022/2.371, care impune statelor membre obligaţii suplimentare de monitorizare şi raportare a datelor privind bolile transmisibile şi problemele de sănătate speciale conexe.
    73. După anonimizarea datelor cu caracter personal, ceea ce se păstrează intact sunt exclusiv datele privind starea de sănătate (şi anume: diagnostic sau stare patologică, istoric testări şi boli transmisibile, istoric vaccinări), acestea fiind utilizate independent de datele de identificare ale persoanei, strict/exclusiv în scop ştiinţific sau statistic, scop expres precizat şi în normele regulamentare de drept unional mai sus menţionate care exclud dreptul la ştergerea datelor cu caracter personal. Astfel, faptul că persoana vizată iniţial de măsurile de prelucrare a datelor cu caracter personal ca urmare a diagnosticării cu o boală transmisibilă se vindecă în mod ireversibil nu poate avea nicio relevanţă din perspectiva scopului ştiinţific sau statistic pe care îl prezintă datele privind sănătatea, acesta fiind, de altfel, unicul scop al măsurilor respective, şi nu doar cel iniţial, aşa cum apreciază autorul sesizării. Dimpotrivă, chiar şi acest segment, al populaţiei vindecate după o anumită boală contagioasă, reprezintă un obiect de studiu ştiinţific şi statistic specific, ce se integrează aceluiaşi scop.
    74. În concluzie, nu pot fi reţinute criticile de neconstituţionalitate formulate de autorul obiecţiei potrivit cărora prelucrarea şi stocarea datelor de identificare ale persoanei şi a datelor privind starea de sănătate reprezintă măsuri care devin disproporţionate prin pierderea caracterului necesar odată cu vindecarea persoanei vizate. Măsura criticată se justifică prin însăşi scopul urmărit, precizat expres atât în cuprinsul actului normativ intern [art. V alin. (4) din Ordonanţa de urgenţă a Guvernului nr. 180/2020, modificat prin art. II din Ordonanţa Guvernului nr. 7/2025], cât şi, la nivel general, într-unul de drept al Uniunii Europene [art. 17 alin. (3) lit. c) şi d) şi art. 89 din GDPR]. Scopul acestor măsuri serveşte, aşa cum s-a arătat mai sus, unor raţiuni de importanţă majoră, şi anume securităţii sanitare, privită ca ansamblu complex de acţiuni necesare - de supraveghere, monitorizare, raportare, analiză şi statistică a bolilor transmisibile - pentru ca statul să fie apt de un răspuns rapid şi adecvat în exercitarea obligaţiei sale pozitive stabilite în art. 34 alin. (2) din Constituţie, de a lua măsuri pentru asigurarea igienei şi a sănătăţii publice, dimensiune pe care, de altfel, nici autorul sesizării nu o neagă. Imperativul prevenţiei, al monitorizării şi al colaborării în spaţiul Uniunii Europene prin modalităţi eficiente, moderne şi dinamice este impus de însăşi dimensiunea fundamentală a dreptului persoanei la protecţia sănătăţii, stipulat în art. 35 din Carta drepturilor fundamentale a Uniunii Europene, sens în care la nivelul Uniunii Europene se manifestă o preocupare constantă prin elaborarea de politici şi acţiuni complexe, detaliate şi dinamice, cu direcţii şi măsuri comune obligatorii pentru toate statele membre. Aceste măsuri se justifică prin prisma scopului urmărit şi nu pot fi privite, în sine, ca fiind contrare dreptului la viaţă privată şi nici ca lezând demnitatea umană, ci ca măsuri necesare, constituind obiectul unor limitări legitime ale drepturilor şi libertăţilor fundamentale. Fără aceste derogări, întreaga politică de securitate sanitară europeană şi, implicit, naţională ar fi pur teoretică şi deci ineficientă. De altfel, art. 5 lit. b) teza a doua din GDPR precizează în mod expres regula potrivit căreia prelucrarea ulterioară în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice nu este considerată incompatibilă cu scopurile iniţiale, în conformitate cu articolul 89 alineatul (1) („limitări legate de scop“). Prin urmare, fiind vorba de derogări ope legis, permise de dreptul Uniunii Europene şi direct aplicabile dreptului intern prin prisma art. 148 alin. (2) din Constituţie, nu poate fi adusă în discuţie efectuarea unui test de proporţionalitate, aşa cum sugerează autorul obiecţiei de neconstituţionalitate, Curtea neavând competenţă în acest sens.

    (3.2.) Critica de neconstituţionalitate privind insuficienţa garanţiilor asociate respectării dreptului la viaţă intimă, familială şi privată
    75. Autorul sesizării arată, în esenţă, că dispoziţiile art. II din Ordonanţa Guvernului nr. 7/2025 contravin art. 26 coroborat cu art. 1 alin. (5) din Constituţie, deoarece nu sunt respectate cerinţele de fond privind conţinutul garanţiilor asociate protecţiei datelor cu caracter personal, în sensul că aceste garanţii nu au un regim juridic legal, ci infralegal, şi nici nu conţin dispoziţii referitoare la contravenţii şi sancţiuni, iar trimiterile generice la respectarea prevederilor GDPR sunt insuficiente, în absenţa unor garanţii specifice şi clare, stabilite la nivel de lege.
    76. Deşi măsurile cuprinse în art. II din Ordonanţa Guvernului nr. 7/2025 se justifică prin motive ce ţin de domeniul sănătăţii publice, astfel că, din această perspectivă, pot constitui, de principiu, obiectul unor derogări în materia dreptului la viaţă privată, instituite la nivelul dreptului Uniunii Europene şi al dreptului intern şi nu pot fi considerate, în sine, contrare acestui drept, Curtea reaminteşte că aceste măsuri trebuie însoţite de garanţii adecvate prevăzute prin acte de legislaţie primară, care să asigure persoana vizată că principiile prelucrării datelor cu caracter personal sunt respectate, pentru a fi valorizate principiile protejării datelor cu caracter personal inclusiv sub aspectul regulilor derogatorii de la acestea [a se vedea art. 5, art. 9 alin. (2), art. 89 alin. (1) şi paragrafele 52-54 din preambulul GDPR].
    77. Principiile prelucrării datelor cu caracter personal, prevăzute de art. 5 din GDPR, trebuie respectate în mod cumulativ, şi nu alternativ. Astfel, dacă din conţinutul normativ al art. II din Ordonanţa Guvernului nr. 7/2025 rezultă că sunt îndeplinite primele 5 principii [(1) legalitate, echitate şi transparenţă; (2) limitări legate de scop; (3) reducerea la minimum a datelor; (4) exactitate; (5) limitări legate de stocare], Curtea constată, în schimb, că nu este asigurat şi principiul care impune integritate şi confidenţialitate în prelucrarea datelor. Potrivit acestui principiu, afirmat la art. 5 alin. (1) lit. f) din GDPR, datele cu caracter personal trebuie prelucrate într-un mod care asigură securitatea adecvată a datelor cu caracter personal, inclusiv protecţia împotriva prelucrării neautorizate sau ilegale şi împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare. Totodată, operatorul are responsabilitatea respectării principiilor de mai sus, iar acesta trebuie să poată să demonstreze că le-a respectat, ceea ce indică un principiu subsecvent, cel al responsabilităţii operatorului [art. 5 alin. (2)].
    78. În acelaşi timp, deşi lit. i) şi j) ale art. 9 alin. (2) din GDPR instituie derogările anterior menţionate, în sensul că permit prelucrarea datelor privind sănătatea din motive de interes public sau în scopuri de cercetare ştiinţifică ori în scopuri statistice, aceste derogări sunt condiţionate, în acelaşi timp, de existenţa în dreptul Uniunii sau în dreptul intern a unor măsuri adecvate şi specifice pentru protejarea drepturilor şi libertăţilor persoanei vizate, în special a secretului profesional, sau de respectarea art. 89 alin. (1) din GDPR.
    79. Art. 89 din GDPR stabileşte garanţiile şi derogările privind prelucrarea în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice. În conformitate cu alin. (1) al art. 89, aceste garanţii trebuie să fie corespunzătoare pentru drepturile şi libertăţile persoanelor vizate şi au rolul de a asigura faptul că au fost instituite măsuri tehnice şi organizatorice necesare pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor. Aceste măsuri pot include pseudonimizarea, cu condiţia ca respectivele scopuri să fie îndeplinite în acest mod. Atunci când respectivele scopuri pot fi îndeplinite printr-o prelucrare ulterioară care nu permite sau nu mai permite identificarea persoanelor vizate, scopurile respective sunt îndeplinite în acest mod. Sub rezerva respectării acestor condiţii şi garanţii, alin. (2) al art. 89 permite prelucrarea datelor cu caracter personal în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice prin stabilirea în dreptul Uniunii sau în dreptul intern a unor derogări de la drepturile menţionate la art. 15, 16, 18 şi 21 din GDPR (şi anume dreptul de acces al persoanei vizate, dreptul la rectificare, dreptul la restricţionarea prelucrării şi dreptul la opoziţie), în măsura în care aceste drepturi sunt de natură să facă imposibilă sau să afecteze în mod grav realizarea scopurilor specifice, iar derogările respective sunt necesare pentru îndeplinirea acestor scopuri. Aceeaşi derogare a fost expres prevăzută şi în dreptul naţional, prin intermediul Legii nr. 233/2019 pentru modificarea art. 8 alin. (1) din Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicată în Monitorul Oficial al României, Partea I, nr. 956 din 28 noiembrie 2019.
    80. Din reglementările anterior menţionate rezultă că, atât la nivelul Uniunii Europene, cât şi al legislaţiei naţionale, derogările privind prelucrarea în scopuri de cercetare ştiinţifică ori în scopuri statistice sunt permise numai în măsura respectării unor garanţii corespunzătoare şi adecvate. Cu alte cuvinte, garanţiile trebuie să fie instituite printr-un act normativ cu aceeaşi forţă juridică precum cea a actului normativ ce permite derogarea (corespunzătoare) şi să fie apte să asigure persoana vizată de respectarea drepturilor sale fundamentale (adecvate) şi că au fost instituite măsuri tehnice şi organizatorice necesare în acest sens, pentru a se asigura, în special, respectarea principiului reducerii la minimum a datelor.
    81. Curtea Europeană a Drepturilor Omului a dezvoltat o jurisprudenţă constantă conform căreia datele medicale sunt considerate date personale care trebuie să beneficieze de un nivel sporit de protecţie, care poate fi asigurată prin instituirea prin lege şi respectarea, în concret, a caracterului confidenţial al acestora. Curtea a arătat că, pentru respectarea garanţiilor prevăzute de art. 8 din Convenţie, statul are obligaţia pozitivă de a include în legislaţia sa internă un sistem de norme şi garanţii adecvate care să asigure o protecţie practică şi efectivă, menită să excludă posibilitatea producerii unui acces neautorizat încă de la bun început în sfera vieţii private (de exemplu, Hotărârea din 17 iulie 2008, pronunţată în Cauza I. împotriva Finlandei, paragrafele 35-38 şi 47). Curtea a constatat că astfel de garanţii există atunci când, de exemplu, (i) consultarea datelor colectate în dosar era accesibilă exclusiv autorităţilor supuse obligaţiei de confidenţialitate (Hotărârea din 17 decembrie 2009, pronunţată în Cauza B.B. împotriva Franţei, paragraful 69; Decizia din 4 iunie 2013, pronunţată în Cauza Peruzzo şi Martens împotriva Germaniei, paragraful 47) sau (ii) datele stocate făceau obiectul unor proceduri de consultare suficient delimitate, care reglementau persoanele abilitate să consulte dosarul (Hotărârea din 18 aprilie 2013, pronunţată în Cauza M.K. împotriva Franţei, paragraful 37). Dreptul unei persoane la protecţia confidenţialităţii datelor sale medicale nu este absolut şi trebuie conciliat cu alte drepturi şi interese legitime, precum dreptul la o procedură contradictorie al angajatorului său (Decizia din 27 martie 2012, pronunţată în Cauza Eternit împotriva Franţei, paragraful 37). Acesta poate fi anulat de necesitatea de a apăra un aspect primordial de interes public, cum ar fi siguranţa personalului spitalicesc şi protejarea sănătăţii publice. Transmiterea unor date sensibile precum date privind sănătatea unui pacient trebuie să se realizeze cu preocuparea de a evita orice formă de stigmatizare a persoanei vizate şi prin oferirea unor garanţii suficiente pentru a exclude orice risc de abuz (Hotărârea din 10 martie 2015, pronunţată în Cauza Y. împotriva Turciei, paragraful 79). Destinatarul informaţiilor trebuie să se supună normelor de confidenţialitate specifice profesioniştilor din domeniul sănătăţii sau normelor de confidenţialitate comparabile (ibidem, paragraful 74).
    82. Raportându-se la această jurisprudenţă, Curtea Constituţională a arătat, prin Decizia nr. 498 din 17 iulie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 650 din 26 iulie 2018, că exercitarea obligaţiei pozitive a statului de a crea condiţiile optime asigurării sănătăţii publice trebuie realizată cu respectarea garanţiilor asociate dreptului la viaţă intimă, familială şi privată a pacientului. Cu alte cuvinte, dacă statul a instituit, prin lege, o măsură în aplicarea dreptului la ocrotirea sănătăţii persoanei, tot acestuia îi revine obligaţia de a proteja şi garanta caracterul confidenţial al informaţiilor medicale prelucrate, printr-un act normativ de acelaşi nivel, respectiv prin lege. Astfel, din acest punct de vedere, obligaţiile pozitive asociate celor două drepturi sunt corelative şi interdependente, trebuind să existe un just echilibru între acestea. Statului nu îi este permis ca, protejând un drept constituţional, să o facă în detrimentului celuilalt drept deopotrivă ocrotit, pentru că s-ar putea ajunge la situaţia în care afectarea acestuia din urmă să fie atât de puternică încât avantajul iniţial obţinut să apară ca fiind nesemnificativ în această ecuaţie. Prin urmare, la nivel normativ, complementaritatea şi proporţionalitatea trebuie să caracterizeze relaţia dintre cele două drepturi constituţionale antereferite (paragraful 42). O reglementare cu caracter primar este cea care se bucură de forţa juridică a legii şi de o stabilitate în consecinţă, astfel că pare chiar impropriu ca o măsură de natura legii, dată în aplicarea art. 34 din Constituţie, să cunoască limitări printr-o hotărâre a Guvernului sau printr-un ordin de ministru, considerată a fi suficientă pentru respectarea art. 26 din Constituţie. Într-o atare modalitate de reglementare se ajunge la o restructurare/reconfigurare a legii, prin intermediul actului administrativ, ceea ce este de neconceput. Ar rezulta că limitele unei ingerinţe etatice prevăzute de lege sunt fixate printrun act administrativ, emis chiar în baza acelei legi, ceea ce încalcă art. 1 alin. (5) din Constituţie. Prin urmare, îi revine legiuitorului obligaţia de a reglementa garanţiile asociate dreptului la viaţă intimă, familială şi privată. Această obligaţie trebuie să se materializeze prin lege, în sens de instrumentum (paragrafele 51 şi 52). Legea trebuie să prevadă, în mod expres, atât natura răspunderii, cât şi sancţiunile - care în sine trebuie să fie corespondente ca intensitate standardului înalt de protecţie a datelor medicale - aplicabile persoanelor implicate în gestionarea dosarului electronic de sănătate, în cazul încălcării obligaţiilor şi garanţiilor ce urmează să fie reglementate prin lege (paragraful 54).
    83. Ordonanţa Guvernului nr. 7/2025 - aprobată prin legea supusă examenului de constituţionalitate în prezenta cauză - reglementează dezvoltarea unei noi aplicaţii - Registrul Unic Electronic de Boli Transmisibile, i-RUBT - în vederea raportării şi supravegherii evoluţiei bolilor transmisibile. Acest demers se încadrează în îndeplinirea de către stat a obligaţiilor pozitive ce îi revin în baza art. 34 din Constituţie, colectarea datelor privind bolile transmisibile şi supravegherea acestora reprezentând o măsură necesară pentru asigurarea sănătăţii publice, iar realizarea acestora fiind obligatorie pentru statul român şi conform Regulamentului (UE) 2022/2.371.
    84. În cadrul aplicaţiei i-RUBT urmează să fie prelucrate, în sensul pct. 2 al art. 4 din GDPR, („prelucrare“ înseamnă orice operaţiune sau set de operaţiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod, alinierea sau combinarea, restricţionarea, ştergerea sau distrugerea), date medicale care reprezintă o categorie specială de date cu caracter personal („date sensibile“), atât faţă de natura lor, cât şi faţă de durata de stocare care se întinde pe durata întregii vieţi a persoanei vizate. În consecinţă, aceste date sensibile trebuie protejate prin acordarea beneficiului unor garanţii suficiente.
    85. În lumina considerentelor mai sus expuse, Curtea observă că art. II din Ordonanţa Guvernului nr. 7/2025, prin care este modificat conţinutul normativ al art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020, nu cuprinde norme proprii prin care să fie stabilite garanţii adecvate cu privire la integritatea şi confidenţialitatea prelucrării datelor cu caracter personal şi nici un sistem minimal de norme referitoare la responsabilitatea operatorilor, sub aspectul instituirii unor sancţiuni corespunzătoare.
    86. Astfel, conform alin. (5) din art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020, modificat prin art. II din Ordonanţa Guvernului nr. 7/2025, metodologia de raportare, colectare şi prelucrare a datelor cu caracter personal vizate, condiţiile şi limitele de acces la aceste date, măsurile şi garanţiile privind securitatea şi confidenţialitatea datelor şi informaţiilor din aplicaţia informatică dezvoltată de STS, precum şi modul de îndeplinire a măsurilor necesare în vederea informării persoanelor vizate asupra operaţiunilor de prelucrare şi modul de exercitare a drepturilor persoanelor vizate, în concordanţă cu prevederile GDPR, se stabilesc prin ordin comun al ministrului sănătăţii şi al directorului STS.
    87. Aşadar, Curtea constată că dispoziţiile mai sus menţionate, deşi sunt cuprinse într-un act de legiferare de nivel primar, nu asigură standardul minim de protecţie a datelor cu caracter personal necesar a fi configurat prin lege, întrucât nu fac decât să enumere, generic, domeniile specifice acestor garanţii, lăsând în seama legislaţiei secundare stabilirea în concret a tuturor garanţiilor care să răspundă în mod adecvat cerinţelor GDPR.
    88. Curtea reţine că, în redactarea sa iniţială, art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020, care viza exclusiv aplicaţia „Corona-forms“, atribuia, în mod similar Ordonanţei Guvernului nr. 7/2025, stabilirea metodologiei de prelucrare şi raportare a sistemelor informatice prin ordin comun al ministrului sănătăţii şi al directorului STS. Ulterior, prin Hotărârea Guvernului nr. 657/2022, adoptată în temeiul art. 83 alin. (1) din Legea nr. 95/2006, au fost aprobate conţinutul şi metodologia de colectare şi raportare a datelor pentru supravegherea bolilor transmisibile în Registrul Unic de Boli Transmisibile, acesta fiind actul normativ de legislaţie secundară în care este prevăzută obligaţia de confidenţialitate a persoanelor din cadrul fiecărei direcţii de sănătate publică autorizate să aibă acces la datele menţionate în Fişa unică. Acelaşi act infralegal stabileşte regula păstrării pe viaţă a datelor, precum şi persoanele care au acces la aceste date. Abia în anul 2024, prin Ordonanţa de urgenţă a Guvernului nr. 66/2024, a fost modificat art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020 în sensul introducerii în legislaţia primară a majorităţii normelor cuprinse în Hotărârea Guvernului nr. 657/2022, mai puţin însă şi cea referitoare la obligaţia de confidenţialitate. Modificările aduse prin art. II din Ordonanţa Guvernului nr. 7/2025 asupra aceluiaşi art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020 nu au făcut decât să adapteze normele la noua aplicaţie informatică i-RUBT, obligaţia de confidenţialitate lipsind în continuare din cuprinsul său normativ.
    89. Totodată, Curtea consideră că referirile pe care le conţine art. V din Ordonanţa de urgenţă a Guvernului nr. 180/2020, din perspectiva standardului obligatoriu de protecţie a datelor cu caracter personal, au un caracter pur generic, şi, în consecinţă, sunt insuficiente şi nu sunt apte să garanteze persoanei vizate respectarea drepturilor sale. Aşa cum s-a arătat deja, garanţiile trebuie să fie corespunzătoare şi adecvate, adică, în cazul de faţă, să fie de nivelul legii şi să aibă un caracter concret. Persoana vizată este titularul unui drept fundamental de la care legea permite unele derogări ce pot fi aplicate numai prin includerea unor garanţii reale printr-un act normativ ce se bucură de forţa juridică a legii, nu a unui act infralegal (ordin al ministrului şi al directorului STS sau hotărâre a Guvernului), acte care au, în general, un grad ridicat de instabilitate şi care se emit/aprobă în executarea şi pentru organizarea legii, şi nu pentru substituirea ei.
    90. Încălcarea principiului legalităţii instituit de art. 1 alin. (5) din Constituţie din perspectiva standardelor de calitate a legii rezultă şi din analiza domeniului de aplicare şi a sferei operatorilor pe care îi implică funcţionarea aplicaţiei i-RUBT.
    91. Astfel, analizând anexa la Hotărârea Guvernului nr. 657/2022, referitoare la Fişa unică de raportare a cazului de boală transmisibilă, se observă că printre bolile menţionate sunt enumerate şi o serie de boli care, chiar dacă sunt contagioase, sunt comune - rubeola, rujeola, varicela (aşa-numitele „boli ale copilăriei“), pertussis (tuse măgărească), infecţia urliană (oreion) - ceea ce înseamnă că majoritatea populaţiei va fi înregistrată pe viaţă în această aplicaţie informatică, inclusiv copiii, de la o vârstă fragedă.
    92. Pe de altă parte, operatorii care au obligaţia implementării şi utilizării acestei aplicaţii, deşi sunt identificaţi în art. V alin. (8) dinOrdonanţa de urgenţă a Guvernului nr. 180/2020, însumează un număr semnificativ de persoane, echivalând, practic, cu majoritatea personalului medical angajat în orice instituţie sau unitate medicală publică sau privată (direcţiile de sănătate publică judeţene şi a municipiului Bucureşti; structurile de specialitate din cadrul ministerelor şi al instituţiilor cu reţea sanitară proprie; toţi furnizorii de servicii medicale din sistemul public şi privat, inclusiv laboratoarele, furnizorii aparţinând altor ministere şi instituţii cu reţea sanitară proprie şi din unităţile de asistenţă socială, indiferent de forma de organizare juridică, care au obligaţia raportării datelor în aplicaţia RUBT, potrivit prevederilor Hotărârii Guvernului nr. 657/2022). Pe lângă aceştia, au calitatea de operatori şi Ministerul Sănătăţii şi INSP, fără ca textul legal menţionat să precizeze care dintre angajaţi au această calitate.
    93. Aceste împrejurări dau dimensiunea incertitudinii cu privire la o reală respectare a drepturilor pacientului diagnosticat cel puţin o dată în viaţă cu o boală transmisibilă. Un număr nedefinit de persoane, care sunt sau pot deveni, la un moment dat, operatori, au în această calitate vocaţia legală să prelucreze datele cu caracter personal ale aproape întregii populaţii, fără ca printr-o lege să fie stabilite minime garanţii concrete, cum ar fi obligaţia de confidenţialitate/de păstrare a secretului profesional şi sancţiunile nerespectării acesteia.
    94. Curtea subliniază că trimiterea generică în cuprinsul normelor criticate la respectarea prevederilor GDPR sau a legislaţiei aplicabile în domeniul sănătăţii publice nu absolvă legiuitorul naţional de reglementarea unor garanţii şi condiţii concrete. Dacă s-ar accepta această idee, ce se bazează pe forţa juridică a regulamentelor europene, cu directă aplicabilitate de către statele membre, ar însemna ca acestea din urmă să fie scutite de orice demers legislativ propriu de reglementare întrun domeniu ce intră sub incidenţa unui regulament european. Or, chiar GDPR menţionează în tot cuprinsul său necesitatea adoptării de măsuri tehnice şi organizatorice corespunzătoare pentru a se asigura îndeplinirea cerinţelor din acest regulament, inclusiv cele referitoare la protecţia drepturilor şi libertăţilor persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, însă ar fi de neconceput ca aceste măsuri să fie stabilite direct, exclusiv şi oricum incomplet prin reglementări interne infralegale, de nivel secundar, fără a avea un cadru normativ configurat în prealabil prin legislaţia primară.
    95. Aplicând mutatis mutandis considerentele statuate prin Decizia nr. 498 din 17 iulie 2018, rezultă că legea trebuie să prevadă, în mod expres, obligaţia de confidenţialitate a operatorilor, natura răspunderii, precum şi sancţiunile - care în sine trebuie să fie corespondente ca intensitate standardului înalt de protecţie a datelor medicale - aplicabile persoanelor implicate în gestionarea aplicaţiei informatice i-RUBT, în cazul încălcării obligaţiilor şi garanţiilor ce urmează să fie reglementate prin lege. Curtea subliniază că această lipsă de legiferare nu poate fi suplinită cu reglementarea prin Legea nr. 45/2019 pentru modificarea şi completarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii, publicată în Monitorul Oficial al României, Partea I, nr. 192 din 11 martie 2019, a noilor dispoziţii ale titlului IX^1 din Legea nr. 95/2006, introduse ca efect al deciziei antemenţionate, deoarece modul de gestionare a datelor din dosarul electronic nu se suprapune cu cel al gestionării aplicaţiei informatice i-RUBT, care vizează doar bolile transmisibile şi răspunde unui alt scop.
    96. În concluzie, Curtea constată că art. II din Ordonanţa Guvernului nr. 7/2025 instituie o derogare de la regimul special de protecţie a datelor cu caracter personal, şi în special a datelor privind sănătatea (date sensibile), care se justifică în sine prin scopul urmărit - abordarea ameninţărilor asupra securităţii sanitare într-un mod unitar şi integrat în cadrul politicilor şi acţiunilor Uniunii din domeniul sănătăţii publice -, dar care nu este însoţită de garanţiile corespunzătoare şi adecvate impuse prin însuşi caracterul fundamental al dreptului la viaţă privată, care să fie reglementate printr-o lege în sens de instrumentum. Aceasta întrucât dispoziţiile art. II din Ordonanţa Guvernului nr. 7/2025, cu referire la art. V alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 180/2020, lasă la latitudinea legiuitorului secundar stabilirea prin acte normative infralegale a unora dintre aceste garanţii, nu conţin dispoziţii exprese referitoare la contravenţii şi sancţiuni aplicabile operatorilor, iar trimiterile generice la respectarea prevederilor GDPR sunt insuficiente, în absenţa acestor garanţii specifice şi clare, stabilite la nivel de lege - aspecte care contravin art. 26 coroborat cu art. 1 alin. (5) din Constituţie.
    97. În final, Curtea arată că nu poate da curs solicitării autorului sesizării ca, în cadrul controlului de constituţionalitate exercitat în prezenta cauză, să constate inclusiv neconstituţionalitatea dispoziţiei art. 83 alin. (1) din Legea nr. 95/2006 întrucât a constituit temeiul pentru emiterea Hotărârii Guvernului nr. 657/2022, act care prin propriile norme ar exceda cadrului legal de referinţă. Jurisprudenţa constituţională a statuat în mod constant că dispoziţiile art. 146 lit. a) din Constituţie consacră controlul de constituţionalitate a priori, exercitat de Curtea Constituţională numai asupra legilor înainte de promulgarea acestora, iar nu şi asupra unor dispoziţii dintr-o lege sau ordonanţă în vigoare, care cunosc un tip distinct de control de constituţionalitate, cel posterior promulgării, instituit în temeiul art. 146 lit. d) din Constituţie (a se vedea, de exemplu, Decizia nr. 919 din 6 iulie 2011, publicată în Monitorul Oficial al României, Partea I, nr. 504 din 15 iulie 2011).
    98. Totuşi, singura interferenţă dintre controlul anterior şi cel posterior de constituţionalitate este posibilă doar în ipoteza în care Curtea analizează în cadrul controlului anterior promulgării o lege care aprobă o ordonanţă a Guvernului (simplă sau de urgenţă), aceasta din urmă fiind criticată distinct de autorul sesizării pentru motive proprii de neconstituţionalitate, aşa cum s-a întâmplat în prezenta cauză. După cum s-a arătat deja în precedent, controlul direct al Curţii asupra ordonanţei Guvernului în vigoare în procedura proprie controlului anterior de constituţionalitate se justifică din raţiuni de logică juridică şi tehnică legislativă, deoarece ordonanţele Guvernului aprobate de Parlament prin lege încetează să mai fie acte normative de sine stătătoare şi devin, ca efect al aprobării de către autoritatea legiuitoare, acte normative cu caracter de lege, deci fac corp comun cu legea de aprobare, chiar dacă în mod formal îşi conservă propriile elemente de identificare atribuite la adoptarea lor de către Guvern, adăugându-se subsecvent şi datele legii de aprobare, survenită ulterior. Acest mecanism este posibil însă exclusiv în cazul ordonanţelor Guvernului a căror lege de aprobare este atacată la Curtea Constituţională anterior promulgării.
    99. În prezenta cauză, autorul sesizării nu se limitează doar să critice pentru neconstituţionalitate o ordonanţă de urgenţă (Ordonanţa de urgenţă nr. 180/2020) modificată printr-o altă ordonanţă (Ordonanţa Guvernului nr. 7/2025), cu prilejul aprobării prin lege a acestei din urmă ordonanţe - ceea ce este posibil -, însă solicită Curţii să se extindă în acelaşi cadru procesual asupra unui text dintr-o lege distinctă în vigoare [art. 83 alin. (1) din Legea nr. 95/2006], susţinând că respectivul text legal constituie temeiul pentru emiterea unei hotărâri a Guvernului (Hotărârea Guvernului nr. 657/2022) ce ar depăşi prin propriul conţinut normativ limitele legale stabilite prin însăşi legea-cadru. Însă, spre deosebire de Ordonanţa Guvernului nr. 7/2025, Legea nr. 95/2006 nu constituie obiectul legii de aprobare examinate în prezenta cauză şi nici nu este posibil ca o lege în vigoare să fie aprobată ulterior printr-o altă lege, astfel că o asemenea solicitare nu poate avea niciun temei constituţional sau legal, iar Decizia Curţii Constituţionale nr. 1.640 din 10 decembrie 2009, publicată în Monitorul Oficial al României, Partea I, nr. 48 din 21 ianuarie 2010, şi Decizia Curţii Constituţionale nr. 414/2010, invocate în susţinerea acestei cereri, nu au nicio relevanţă în acest context, pentru a se putea pretinde aplicabilitatea mutatis mutandis.

    100. Pentru toate argumentele expuse, Curtea constată că prezenta obiecţie este întemeiată din perspectiva criticilor de neconstituţionalitate formulate prin raportare la dispoziţiile art. 26 coroborat cu art. 1 alin. (5) din Constituţie, deoarece, deşi derogarea de la regimul de protecţie juridică a datelor cu caracter personal pe care se bazează mecanismul de funcţionare a aplicaţiei informatice i-RUBT este justificată prin scop, aceasta nu este însoţită şi de garanţiile corespunzătoare şi adecvate asociate protejării dreptului la viaţă privată a datelor cu caracter personal, nefiind astfel respectate nici exigenţele cuprinse la art. 8 din Convenţia pentru apărarea drepturilor şi a libertăţilor fundamentale şi ale art. 8 din Carta drepturilor fundamentale a Uniunii Europene. Aceste garanţii trebuie să fie prevăzute printr-un act de reglementare primară la un nivel minimal care să cuprindă condiţii, drepturi şi obligaţii implicate în acest mecanism, ca expresie de asumare a legiuitorului primar sau delegat, şi nu a puterii executive.
    101. Curtea urmează, aşadar, să admită obiecţia şi să constate neconstituţionalitatea legii de aprobare a Ordonanţei Guvernului nr. 7/2025, precum şi a dispoziţiilor art. II din această ordonanţă, cu referire la art. V alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 180/2020, în sensul în care Curtea a efectuat prezentul examen de constituţionalitate. Ca efect al acestei decizii, art. V alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 180/2020 va continua să producă efecte în redactarea sa anterioară, respectiv cea conferită prin art. IX dinOrdonanţa de urgenţă a Guvernului nr. 66/2024, iar legiuitorul, în procedura reexaminării legii supuse controlului declanşată în temeiul art. 147 alin. (2) din Constituţie, va putea institui garanţiile adecvate pentru respectarea drepturilor şi libertăţilor fundamentale ale persoanei vizate, conform celor statuate în prezenta decizie.
    102. Pentru considerentele arătate, în temeiul art. 146 lit. a) şi al art. 147 alin. (4) din Constituţie, precum şi al art. 11 alin. (1) lit. A.a), al art. 15 alin. (1) şi al art. 18 alin. (2) din Legea nr. 47/1992, cu unanimitate de voturi,
    CURTEA CONSTITUŢIONALĂ
    În numele legii
    DECIDE:
    Admite obiecţia de neconstituţionalitate formulată de Preşedintele României şi constată că Legea privind aprobarea Ordonanţei Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, precum şi dispoziţiile art. II din Ordonanţa Guvernului nr. 7/2025 pentru modificarea Legii nr. 95/2006 privind reforma în domeniul sănătăţii şi pentru modificarea şi completarea unor acte normative în domeniul sănătăţii, cu referire la art. V alin. (5) din Ordonanţa de urgenţă a Guvernului nr. 180/2020 pentru modificarea şi completarea Legii nr. 136/2020 privind instituirea unor măsuri în domeniul sănătăţii publice în situaţii de risc epidemiologic şi biologic, a Ordonanţei de urgenţă a Guvernului nr. 158/2005 privind concediile şi indemnizaţiile de asigurări sociale de sănătate, precum şi pentru stabilirea unor măsuri cu privire la acordarea concediilor medicale, sunt neconstituţionale.
    Definitivă şi general obligatorie.
    Decizia se comunică Preşedintelui României, preşedinţilor celor două Camere ale Parlamentului şi prim-ministrului şi se publică în Monitorul Oficial al României, Partea I.
    Pronunţată în şedinţa din data de 4 februarie 2026.

                    PREŞEDINTELE CURŢII CONSTITUŢIONALE
                    ELENA-SIMINA TĂNĂSESCU
                    Magistrat-asistent-şef,
                    Claudia-Margareta Krupenschi
                    Magistrat-asistent,
                    Mihaela-Carmen Munteanu

    -------

Newsletter GRATUIT

Aboneaza-te si primesti zilnic Monitorul Oficial pe email

Tags: Monitorul Oficial, Acte Monitorul Oficial, DECIZIA nr. 95 din 4 februarie 2026

Comentarii

Fii primul care comenteaza.

MonitorulJuridic.ro este un proiect:

Atentie, Juristi!

Va oferim Modele de Documente conform GDPR + Clauze speciale

Descarcati GRATUIT Raportul Special "
5 Modele de Contracte Civile si Acte Comerciale"