CCR a publicat miercuri motivarea deciziei din 8 iulie prin care a fost declarată neconstituţională Legea 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice.
Curtea precizează că, având în vedere şi Hotărârea din 8 aprilie 2014 a Curţii de Justiţie a Uniunii Europene, odată cu publicarea în Monitorul Oficial a prezentei decizii, devine lipsită de temei juridic, atât din punct de vedere al dreptului european, cât şi al celui naţional, activitatea de reţinere şi folosire a datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţelele de comunicaţii publice.
‘Concret, aceasta înseamnă că de la publicarea deciziei CCR furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului nu mai au nici obligaţia, dar nici posibilitatea legală de a reţine anumite date generate sau prelucrate în cadrul activităţii lor şi de a le pune la dispoziţia organelor judiciare şi ale celor cu atribuţii în domeniul siguranţei naţionale. Prin excepţie, pot fi reţinute de către aceşti furnizori doar datele necesare pentru facturare sau plăţi pentru interconectare ori alte date prelucrate în scopuri de comercializare doar cu consimţământul prealabil al persoanei ale cărei date sunt prelucrate, aşa cum prevede Directiva 2002/58/CE, în vigoare’, susţin judecătorii.
Corelativ, reţine CCR, până la adoptarea de către Parlament a unei noi legi privind reţinerea datelor, care să respecte prevederile şi exigenţele constituţionale, organele judiciare şi organele de stat cu atribuţii în domeniul siguranţei naţionale nu mai au acces la datele care au fost reţinute şi stocate deja în baza Directivei 2006/24/CE şi a Legii 82/2012 în vederea utilizării lor în cadrul activităţilor definite de art.1 alin.(1) din Legea 82/2012.
‘Organele judiciare şi cele cu atribuţii în domeniul siguranţei naţionale nu au temei legal şi constituţional nici pentru accesarea şi utilizarea datelor reţinute de către furnizori pentru facturare, plăţi pentru interconectare ori în alte scopuri comerciale, pe care să le folosească în cadrul activităţilor de prevenire, de cercetare, de descoperire şi de urmărire penală a infracţiunilor grave sau pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei, tocmai datorită caracterului, naturii şi scopului diferit al acestora, aşa cum este prevăzut de Directiva 2002/58/CE. De altfel, chiar Legea 82/2012 stabileşte în art.11 că aceste ultime date reţinute sunt exceptate de la prevederile legii, având un alt regim juridic, fiind supuse prevederilor Legii 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice’, se mai spune în document.
În motivare se arată că Legea 82/2012 reprezintă transpunerea în legislaţia naţională a Directivei 2006/24/CE a Parlamentului European şi a Consiliului din 15 martie 2006, directivă declarată nevalidă prin Hotărârea din 8 aprilie 2014 a Curţii de Justiţie a Uniunii Europene.
De asemenea, în motivare sunt reiterate argumentele reţinute de CCR într-o altă decizie, respectiv din 8 octombrie 2009, prin care s-a constatat că sunt neconstituţionale dispoziţiile Legii 298/2008 privind reţinerea datelor.
Sursa citată subliniază că ingerinţa în drepturile fundamentale privind viaţa intimă, familială şi privată, secretul corespondenţei şi libertatea de exprimare este de o mare amploare şi trebuie considerată ca fiind deosebit de gravă, iar împrejurarea că păstrarea datelor şi utilizarea lor ulterioară sunt efectuate fără ca utilizatorul să fie informat este susceptibilă să imprime în conştiinţa persoanelor vizate sentimentul că viaţa lor privată face obiectul unei supravegheri constante.
‘Datele avute în vedere conduc la concluzii foarte precise privind viaţa privată a persoanelor ale căror date au fost păstrate, concluzii ce pot viza obiceiurile din viaţa cotidiană, locurile de şedere permanentă sau temporară, deplasările zilnice sau alte deplasări, activităţile desfăşurate, relaţiile sociale ale acestor persoane şi mediile sociale frecventate de ele’, se arată în motivare.
Judecătorii atrag atenţia că legea criticată nu cuprinde norme clare şi precise cu privire la conţinutul şi aplicarea măsurii reţinerii şi utilizării, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau utilizări ilicite.
‘Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, că accesul autorităţilor naţionale la datele stocate nu este condiţionat, în toate cazurile, de controlul prealabil efectuat de către o instanţă sau de o entitate administrativă independentă, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă’, mai subliniază CCR.
Pe de altă parte, Curtea menţionează că nici Constituţia şi nici jurisprudenţa CCR nu interzic stocarea preventivă, fără o ocazie anume a datelor de trafic şi de localizare, cu condiţia însă ca accesul şi utilizarea lor să fie însoţite de garanţii şi să respecte principiul proporţionalităţii.
Judecătorii susţin că doar solicitarea adresată de organele de urmărire penală furnizorilor de reţele este supusă autorizării prealabile a judecătorului de drepturi şi libertăţi, în timp ce cele formulate de către organele de stat cu atribuţii în domeniul securităţii naţionale nu sunt supuse aprobării instanţei, lipsind astfel garanţia unei protecţii eficiente a datelor păstrate împotriva riscurilor de abuz, precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date.
‘Această împrejurare este de natură a constitui o ingerinţă în drepturile fundamentale la viaţă intimă, familială şi privată şi a secretului corespondenţei şi, prin urmare, contravine dispoziţiilor constituţionale care consacră şi protejează aceste drepturi. (…) Astfel, Legea 51/1991 privind securitatea naţională a României, republicată în MO, Partea I, nr.190 din 18 martie 2014, stabileşte, la art.8, organele de stat cu atribuţii în domeniul securităţii naţionale, acestea fiind Serviciul Român de Informaţii, Serviciul de Informaţii Externe şi Serviciul de Protecţie şi Pază, iar la art.9, prevede că Ministerul Apărării Naţionale, Ministerul Afacerilor Interne şi Ministerul Justiţiei îşi organizează structuri de informaţii cu atribuţii specifice domeniilor lor de activitate’, mai menţionează CCR.
Totodată, Curtea constată că legea nu prevede un mecanism autentic de control astfel încât să poată fi sesizate cu uşurinţă cazurile în care furnizorii de servicii încalcă dispoziţiile legale privitoare la tipul de date reţinute, durata în care acestea sunt stocate, distrugerea lor în cazurile prevăzute de lege ori organele şi instituţiile cărora li se permite accesul la aceste date.
Decizia este definitivă şi general obligatorie, se comunică celor două Camere ale Parlamentului, Guvernului, Judecătoriei Constanţa şi Judecătoriei Târgovişte şi se publică în Monitorul Oficial al României, Partea I.