În cauza C-207/16 Ministerio Fiscal, Curtea de Justiție a UE a dat un răspuns nuanțat, în sensul că infracțiunile care nu prezintă o gravitate deosebită pot justifica un acces la datele cu caracter personal păstrate de furnizorii de servicii de comunicații electronice din moment ce acest acces nu aduce o atingere gravă vieții private
În cadrul unei anchete privind o tâlhărie având ca obiect un portofel și un telefon mobil, poliția judiciară spaniolă a solicitat judecătorului de instrucție care se ocupa de cauză acordarea accesului la datele de identificare ale utilizatorilor numerelor de telefon activate de pe telefonul mobil furat într-o perioadă de douăsprezece zile de la data tâlhăriei. Judecătorul de instrucție a respins această cerere pentru motivul că, printre altele, faptele aflate la originea anchetei penale nu ar constitui o infracțiune „gravă” – adică, potrivit dreptului spaniol, o infracțiune sancționată cu o pedeapsă cu închisoarea de cel puțin cinci ani –, accesul la datele de identificare nefiind posibil decât pentru acest tip de infracțiuni. Ministerul Public spaniol a declarat apel împotriva acestei decizii la Curtea Provincială din Tarragona, Spania, Directiva asupra confidențialității și comunicațiilor electronice prevede că statele membre pot restrânge drepturile cetățenilor în cazul în care o asemenea restrângere constituie o măsură necesară, corespunzătoare și proporțională, în cadrul unei societăți democratice, pentru a proteja securitatea națională, apărarea și siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice. Curtea Provincială din Tarragona arată că, ulterior adoptării deciziei judecătorului de instrucție, legiuitorul spaniol a introdus două criterii alternative pentru determinarea gradului de gravitate a unei infracțiuni în privința căreia sunt autorizate păstrarea și comunicarea datelor personale. Primul este un criteriu material legat de infracțiuni specifice și grave care sunt deosebit de prejudiciabile pentru interesele juridice individuale și colective. Al doilea este un criteriu normativ formal, care stabilește un prag minim de trei ani de închisoare, prag care cuprinde marea majoritate a infracțiunilor. În plus, instanța spaniolă consideră că interesul statului de a sancționa comportamentele infracționale nu poate justifica ingerințe disproporționate în drepturile fundamentale consacrate de Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”). Prin urmare, Curtea Provincială din Tarragona a solicitat Curții de Justiție a UE să stabilească pragul de gravitate a infracțiunilor de la care poate fi justificată o ingerință în drepturile fundamentale precum accesul autorităților naționale competente la datele cu caracter personal păstrate de furnizorii de servicii de comunicații electronice.
Prin hotărârea din 2 octombrie, Curtea amintește că accesul unor autorități publice la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice, în cadrul unei proceduri de urmărire penală, intră în domeniul de aplicare al directivei.
În plus, accesul la datele care vizează identificarea titularilor cartelelor SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele şi, dacă este cazul, adresa acestor titulari, constituie o ingerința în drepturile fundamentale ale acestora din urmă, consacrate în Cartă.
Totuși, Curtea declară că ingerința respectivă nu prezintă o asemenea gravitate încât acest acces ar trebui să fie limitat, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, la combaterea infracționalității grave.
Curtea arată că accesul autorităților publice la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice constituie o ingerință în drepturile fundamentale la respectarea vieții private și la protecția datelor, consacrate de cartă, chiar în absența unor împrejurări care permit calificarea acestei ingerințe drept „gravă” și fără a fi relevant dacă informațiile vizate referitoare la viața privată prezintă sau nu prezintă un caracter sensibil sau dacă persoanele interesate au suferit sau nu au suferit eventuale inconveniente ca urmare a acestei ingerințe. Directiva enumeră însă obiective susceptibile să justifice o reglementare națională care guvernează accesul autorităților publice la aceste date și care derogă, astfel, de la principiul confidențialității comunicațiilor electronice. Enumerarea respectivă prezintă un caracter exhaustiv, așa încât acest acces trebuie să urmărească în mod efectiv și strict unul dintre aceste obiective. Curtea observă că, în ceea ce privește obiectivul prevenirii, cercetării, depistării și urmăririi penale a infracțiunilor, textul directivei nu limitează acest obiectiv numai la combaterea infracțiunilor grave, ci se referă la „infracțiuni” în general.
Într-o hotărâre anterioară, pronunțată în Cauza Tele2 Sverige (C-203/15 şi C-698/15), Curtea a statuat că numai combaterea infracționalității grave este susceptibilă să justifice un acces al autorităților publice la date cu caracter personal păstrate de furnizorii de servicii de comunicații care, considerate în ansamblu, permit deducerea unor concluzii precise privind viața privată a persoanelor ale căror date sunt vizate. Această interpretare a fost însă motivată prin faptul că obiectivul urmărit de o reglementare care guvernează acest acces trebuie să se raporteze la gravitatea ingerinței în drepturile fundamentale în cauză pe care o determină această operațiune. Astfel, în conformitate cu principiul proporționalității, o ingerință gravă nu poate fi justificată în acest domeniu decât prin obiectivul privind combaterea infracționalității care trebuie de asemenea să fie calificată drept „gravă”. În schimb, dacă ingerința nu este gravă, respectivul acces este susceptibil să fie justificat de un obiectiv privind prevenirea, investigarea, detectarea și urmărirea penală a unor „infracțiuni” în general.
Curtea consideră că accesul doar la datele care fac obiectul cererii în discuție nu poate fi calificat drept ingerință „gravă” în drepturile fundamentale ale persoanelor ale căror date sunt vizate, din moment ce aceste date nu permit să se tragă concluzii precise cu privire la viața lor privată. Prin urmare, Curtea concluzionează că ingerința pe care ar implica-o un acces la astfel de date este susceptibilă să fie justificată de obiectivul privind prevenirea, detectarea, investigarea și urmărirea penală a unor „infracțiuni” în general, fără a fi necesar ca aceste infracțiuni să fie calificate drept „grave”.
Documentar comunitar
În dreptul comunitar:
– Se aplică Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009.
– În 24 ianuarie 2018, Comisia Europeană a transmis o comunicare către Parlamentul European şi Consiliu – COM(2018) 43 final – cu Orientările Comisiei privind aplicarea directă, de la 25 mai 2018, a Regulamentului general privind protecția datelor. Regulamentul – cunoscut deja prin iniţialele GDPR –, face parte din pachetul de reforme privind protecția datelor, adoptat şi intrat în vigoare la 6 aprilie 2016, şi care înlocuieşte Directiva nr. 46/1995 („Directiva privind protecția datelor cu caracter personal”), precum și Directiva nr. 680/2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date.
În legislația naționala:
– Din 2001, în materie s-a aplicat Legea nr. 677/2001 pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date, publicată în Monitorul oficial nr. 790/2001.
– Prin Legea nr. 129/2018 pentru modificarea și completarea Legii nr. 102/2005 privind înființarea, organizarea și funcționarea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, în vigoare din 24 iunie a.c.:
● a fost abrogată Legea nr. 677/2001, toate trimiterile la Legea nr. 677/2001, din actele normative urmând să fie interpretate ca trimiteri la Regulamentul general privind protecția datelor și la legislația de punere în aplicare a acestuia;
● sunt transpuse dispozițiile art. 41 din Directiva nr. 680/2016 privind protecția persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor sau al executării pedepselor și privind libera circulație a acestor date;
● este creat cadrul instituțional necesar aplicării în România în principal a prevederilor art. 51-55, art. 57-59, art. 62, 68, 77, 79, 80 și ale art. 82-84 din Regulamentul UE nr. 679/2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei nr. 46/1995.
● a fost stabilită o nouă reglementare privind controlul din partea Autorității naționale de supraveghere, autoritate publică centrală, autonomă, cu competență generală în domeniul protecției datelor personale.
Ai nevoie de Legea nr. 129/2018? Poți cumpăra actul la zi, în format PDF şi MOBI, de AICI!
