Pe 2 martie 2021, Curtea de Justiţie a Uniunii Europene a stabilit condiţiile în care legislaţia naţională poate permite obţinerea datelor de comunicaţie şi de localizare unor echipamente de comunicare electronică folosite de cineva: procedura trebuie să vizeze o investigaţie penală cu privire la infracţiuni grave sau ameninţări la siguranţa naţională, iar autorizarea de acces la aceste date nu poate fi dată de procuror (Hotărârea în cauza C-746/18 H. K/Prokuratuur).
În Estonia există un caz judiciar cu privire la o persoană condamnată la închisoare pentru furt şi utilizarea cardului unei alte persoane. În recurs, instanţa naţională a suspendat cauza şi a cerut opinia CJUE cu privire la compatibilitatea dintre normele interne şi legislaţia europeană cu privire la modul în care au fost obţinute datele electronice despre inculpat. Procedura se numeşte întrebare preliminară şi este permisă de art. 267 din Tratatul pentru funcţionarea UE, entitate căreia România îi aparţine din 1 ianuarie 2007. CJUE este singura instituţie europeană care interpretează Tratatul în mod oficial şi cu efect obligatoriu pentru statele membre.
CJUE a decis ieri că dreptul european impune următoarele:
– datele de transfer sau de localizare cu privire la aspectele de viaţă privată a unei persoane, ce au relevanţă într-un caz penal, trebuie limitat la proceduri care vizează combaterea infracționalității grave sau prevenirea amenințărilor grave la adresa siguranței publice. Legea trebuie să prevadă norme clare și precise care să reglementeze conținutul și aplicarea măsurii respective și să impună o serie de cerințe minime astfel încât persoanele ale căror date cu caracter personal sunt vizate să dispună de garanții suficiente care să permită protejarea în mod eficient a acestor date împotriva riscurilor de abuz;
– Ministerul Public poate autoriza accesul unei autorități publice la datele de transfer și la datele de localizare în scopul desfășurării unei urmăriri penale. Atunci când se solicită accesul la asemenea date este necesar un control prealabil, care să fie efectuat de oganism independent, adică să nu fie implicat în investigaţia penală şi să fie nertu faţă de părţile din dosar.
Legislaţia europeană: În această materie sunt incidente două instrumente europene Directiva 2002/58/CE a Parlamentului European şi a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice) care reglementează securitatea prelucrării datelor, confidenţialitatea comunicaţiilor, ştergerea, anonimizarea şi prelucrarea datelor de transfer, furnizarea facturii detaliate, prezentarea și restricționarea identificării apelurilor și a liniilor de conectare, prelucrarea datelor de localizare; Carta drepturilor fundamentale în UE care reglementează demnitatea, libertăţile, egalitatea, solidaritatea, drepturile şi justiţia.
Jurisprudenţa anterioară:
În anul 2014, CJUE a decis prin Hotărârea din 21 decembrie 2016, Tele2 Sverige și Watson și alții, C-203/15 și C-698/15 că, în scopul combaterii infracționalității:
– nu pot fi păstrate toate datele de transfer și de localizare, ale tuturor abonaților și utilizatorilor înregistrați, pentru toate mijloacele lor de comunicare electronică;
– accesul autorităţilor competente la aceste date trebuie limitat doar la combaterea infracționalității grave şi numai cu autorizarea prealabilă din partea unei instanțe sau a unei autorități administrative independente;
– datele respective trebuie păstrate doar pe teritoriul Uniunii.
În anul 2020, CJUE a decis prin Hotărârea din 6 octombrie 2020, La Quadrature du Net și alții, C-511/18, C-512/18 și C-520/18 că:
– nu este permisă o stocare generalizată și nediferențiată a datelor de transfer și a datelor de localizare;
– în scopul protejării securității naționale, furnizorul de servicii de comunicații electronice poate fi obligat de stat să efectueze o stocare generalizată și nediferențiată a acestor date, dacă: (1) statul respectiv se confruntă cu o amenințare gravă la adresa securității naționale, care se dovedește reală și actuală sau previzibilă; (2) dacă decizia care prevede această obligație şi condiţiile în care ea se aplică poate face obiectul unui control efectiv de către o instanță; (3) obligația nu poate fi impusă decât pentru o perioadă limitată în timp la strictul necesar, dar care poate fi reînnoită în cazul menținerii acestei amenințări;
– în scopul protejării securității naționale, al combaterii infracționalității grave și al prevenirii amenințărilor grave la adresa siguranței publice, este permisă o stocare direcționată a datelor de transfer și a datelor de localizare care să fie delimitată, pe baza unor elemente obiective și nediscriminatorii, în funcție de categoriile de persoane vizate sau prin intermediul unui criteriu geografic, pentru o perioadă limitată în timp la strictul necesar, dar care poate fi reînnoită;
– în scopul protejării securității naționale, al combaterii infracționalității grave și al prevenirii amenințărilor grave la adresa siguranței publice, este permisă o stocare generalizată și nediferențiată a adreselor IP atribuite sursei unei conexiuni, pentru o perioadă limitată în timp la strictul necesar;
– în scopul protejării securității naționale, al combaterii infracționalității și al protejării siguranței publice, este permisă o stocare generalizată și nediferențiată a datelor referitoare la identitatea civilă a utilizatorilor de mijloace de comunicații electronice;
– în scopul combaterii infracționalității grave și al protejării securității naționale, furnizorii de servicii de comunicații electronice pot fi obligaţi, prin intermediul unei decizii a autorității competente, supuse unui control jurisdicțional efectiv, de a realiza, pentru o perioadă determinată, conservarea rapidă a datelor de transfer și a datelor de localizare de care dispun acești furnizori de servicii, din moment ce aceste măsuri garantează, prin norme clare și precise, că stocarea datelor în discuție este condiționată de respectarea condițiilor materiale și procedurale aferente acestora și că persoanele în cauză dispun de garanții efective împotriva riscurilor de abuz;
– se poate impune furnizorilor de servicii de comunicații electronice să recurgă, pe de o parte, la analiza automatizată, precum și la colectarea în timp real, printre altele, a datelor de transfer și a datelor de localizare și, pe de altă parte, la colectarea în timp real a datelor tehnice referitoare la localizarea echipamentelor terminale utilizate, atunci când: (1) statul se confruntă cu o amenințare gravă la adresa securității naționale, care se dovedește reală și actuală sau previzibilă, şi decizia de a se recurge la această analiză poate face obiectul unui control efectiv de către o instanță; (2) sunt vizate doar persoanele în privința cărora există un motiv valabil pentru a suspecta că sunt implicate într‑un mod sau altul în activități de terorism și decizia de a se recurge la această analiză poate face obiectul unui control efectiv de către o instanță. În caz de urgență justificată corespunzător, controlul trebuie să aibă loc în termen scurt;
– Directiva 2000/31/CE a Parlamentului European și a Consiliului din 8 iunie 2000 privind comerțul electronic nu se aplică în materie de protecție a confidențialității comunicațiilor și a persoanelor fizice în raport cu prelucrarea datelor cu caracter personal în cadrul serviciilor societății informaționale, această protecție fiind, după caz, reglementată de Directiva 2002/58 şi de GDPR;
– nu se poate impune furnizorilor de acces la servicii de comunicații publice online și furnizorilor de servicii de stocare‑hosting stocarea generalizată și nediferențiată, printre altele, a datelor cu caracter personal aferente acestor servicii;
– instanța penală națională trebuie să înlăture informațiile și elementele de probă care au fost obținute printr‑o stocare generalizată și nediferențiată a datelor de transfer și a datelor de localizare, incompatibilă cu dreptul Uniunii, în cadrul unei proceduri penale inițiate împotriva unor persoane suspectate de săvârșirea unor infracțiuni, în cazul în care persoanele respective nu sunt în măsură să prezinte în mod eficient observații cu privire la aceste informații și elemente de probă, care provin dintr‑un domeniu care nu este cunoscut de judecători și care pot influența în mod preponderent aprecierea faptelor.
Legislaţia românească: art. 138 alin. (1) lit. j) din C.proc.pen se referă la obținerea datelor de trafic și de localizare prelucrate de către furnizorii de rețele publice de comunicații electronice ori furnizorii de servicii de comunicații electronice destinate publicului, ca metodă specială de supraveghere. Modul lor de obţinere se arată la art. 152 C.proc.pen: se solicită de către procuror, cu autorizarea judecătorului, numai pentru anumite infracţiuni grave, dacă nu se pot obţine probe altfel,
Gianina Clop (jurist) şi Cristi Danileţ (judecător)