Statele membre nu pot impune furnizorilor de servicii de comunicaţii electronice o obligaţie generală de păstrare a datelor. Astfel s-a pronunţat Curtea de Justiţie a UE, ca răspuns la întrebările primite din partea unor instanţe naţionale, decizia fiind obligatorie, în egală măsură, pentru celelalte instanţe naţionale care sunt sesizate cu o problemă similară.
Mai întâi, o precizare legală
Prin Hotărârea Digital Rights Ireland din 2014, Curtea de Justiţie a declarat nevalidă directiva privind păstrarea datelor, pentru motivul că ingerinţa în drepturile fundamentale la respectarea vieţii private şi la protecţia datelor cu caracter personal pe care o presupune obligaţia generală de păstrare a datelor privind traficul şi a datelor de localizare impuse de aceasta nu era limitată la strictul necesar.
Referirea priveşte Directiva nr. 24/2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicaţii electronice accesibile publicului sau de reţele de comunicaţi publice şi de modificare a Directivei nr. 58/2002.
Două cauze aduse la CJUE
În urma acestei hotărâri, Curtea a fost sesizată cu două cauze privind obligaţia generală impusă furnizorilor de servicii de comunicaţii electronice, în Suedia şi în Marea Britanie, de a păstra datele referitoare la aceste comunicaţii, a căror păstrare era prevăzută de directiva declarată nevalidă.
În ziua următoare pronunţării Hotărârii Digital Rights Ireland, societatea de telecomunicaţii Tele2 Sverige a notificat autorităţii suedeze pentru monitorizarea serviciilor poştale şi a telecomunicaţiilor decizia sa de a înceta păstrarea datelor, precum şi intenţia sa de a şterge datele deja înregistrate (cauza C-203/15). Astfel, dreptul suedez îi obligă pe furnizorii de servicii de comunicaţii electronice să păstreze în mod sistematic şi continuu, fără nicio excepţie, ansamblul datelor privind traficul şi al datelor de localizare ale tuturor abonaţilor şi utilizatorilor înregistraţi ai acestora, în ceea ce priveşte toate mijloacele de comunicare electronică.
Într-un alt dosar, cel din Marea Britanie (cauza C-698/15), domnii Tom Watson, Peter Brice şi Geoffrey Lewis au formulat acţiuni împotriva sistemului britanic de păstrare a datelor care permite ministrului de interne să oblige operatorii de telecomunicaţii publice să păstreze toate datele referitoare la comunicaţii pentru o durată maximă de 12 luni, subînţelegându-se că este exclusă păstrarea conţinutului acestor comunicaţii.
Sesizată de Curtea Administrativă de Apel din Stockholm, precum şi de Secţia civilă a Curţii de Apel din Anglia şi Ţara Galilor, CJUE a răspuns că dreptul Uniunii se opune unei reglementări naţionale care prevede o păstrare generalizată şi nediferenţiată a datelor.
Curtea confirmă mai întâi că măsurile naţionale în cauză intră în domeniul de aplicare al directivei. Astfel, protecţia confidenţialităţii comunicaţiilor electronice şi a datelor de transfer, garantată de directivă, se aplică măsurilor adoptate de orice alte persoane decât utilizatorii, indiferent că este vorba despre persoane sau entităţi private ori despre entităţi statale.
Curtea constată în continuare că, deşi această directivă permite statelor membre să restrângă sfera de aplicare a obligaţiei de principiu de a asigura confidenţialitatea comunicaţiilor şi a datelor de transfer aferente acestora, ea nu poate să justifice ca derogarea de la această obligaţie de principiu şi, în special, de la interdicţia de a stoca aceste date, prevăzută de directiva menţionată, să devină regula.
În plus, Curtea aminteşte jurisprudenţa sa constantă potrivit căreia protecţia dreptului fundamental la respectarea vieţii private impune ca derogările de la protecţia datelor cu caracter personal să fie efectuate în limitele strictului necesar. Curtea aplică această jurisprudenţă la normele care reglementează păstrarea datelor şi la cele care reglementează accesul la datele păstrate.
Curtea constată, în ceea ce priveşte păstrarea, că datele păstrate considerate în ansamblul lor pot permite deducerea unor concluzii foarte precise privind viaţa privată a persoanelor ale căror date au fost păstrate.
Ingerinţa care rezultă dintr-o reglementare naţională care prevede păstrarea datelor privind traficul şi a datelor de localizare trebuie considerată deosebit de gravă. Faptul că păstrarea datelor este efectuată fără ca utilizatorii serviciilor de comunicaţii electronice să fie informaţi cu privire la aceasta este susceptibil să genereze, în mintea persoanelor vizate, sentimentul că viaţa lor privată face obiectul unei supravegheri constante. Prin urmare, numai combaterea infracţionalităţii grave poate justifica o asemenea ingerinţă.
Curtea explică în schimb că directiva nu se opune unei reglementări naţionale care impune o păstrare direcţionată a datelor, în scopul combaterii infracţionalităţii grave, cu condiţia ca o asemenea păstrare să fie, în ceea ce priveşte categoriile de date care trebuie păstrate, mijloacele de comunicare vizate, persoanele în cauză, precum şi durata de păstrare reţinută, limitată la strictul necesar.
Potrivit Curţii, orice reglementare naţională care conţine dispoziţii în acest sens trebuie să fie clară şi precisă şi să prevadă garanţii suficiente pentru a proteja datele împotriva riscurilor de abuz. Aceasta trebuie să indice împrejurările şi condiţiile în care o măsură de păstrare a datelor poate fi luată, cu titlu preventiv, astfel încât să garanteze ca amploarea acestei măsuri să fie limitată efectiv, în practică, la strictul necesar. Printre altele, o asemenea reglementare trebuie să se întemeieze pe elemente obiective care să permită să fie vizate persoanele ale căror date pot prezenta o legătură cu acte de infracţionalitate gravă, care să contribuie la combaterea infracţionalităţii grave sau care să prevină un risc grav pentru securitatea publică.
În ceea ce priveşte accesul autorităţilor naţionale competente la datele păstrate, Curtea confirmă că reglementarea naţională în cauză nu se poate limita la a impune ca accesul să răspundă unuia dintre obiectivele vizate de directivă, chiar dacă acesta constă în combaterea infracţionalităţii grave, ci trebuie să prevadă şi condiţiile materiale şi procedurale care guvernează accesul autorităţilor naționale competente la datele păstrate. Respectiva reglementare trebuie să se întemeieze pe criterii obiective pentru a defini împrejurările şi condiţiile în care trebuie să se permită autorităţilor naţionale competente accesul la date.
De asemenea, autorităţile naţionale competente cărora le-a fost acordat accesul la datele păstrate trebuie să informeze persoanele în cauză în privinţa acestui aspect.
Ţinând seama de cantitatea datelor păstrate, de caracterul sensibil al respectivelor date, precum şi de riscul de acces ilicit la acestea, reglementarea naţională trebuie să prevadă ca datele să fie păstrate pe teritoriul Uniunii şi ca ele să fie distruse iremediabil la finalul duratei de păstrare a acestora.
Decizia pronunţată în data de 21 decembrie 2016 poate fi consultată pe site-ul CURIA: Hotărârea în cauzele conexate C-203/15 Tele2 Sverige AB/Post-och telestyrelsen şi C-698/15 Secretary of State for the Home Department/Tom Watson şi alţii.
Reglementările din dreptul român
Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice a fost modificată şi completată prin Legea nr.235/2015, publicată în Monitorul Oficial nr. 767 din 14.10.2015.
Contestată la Curtea Constituţională, legea de modificare a fost declarată constituţională.
Una dintre modificările aduse la legea iniţială prevede că datele de trafic referitoare la abonaţi şi la utilizatori, prelucrate şi stocate de către furnizorul unei reţele publice de comunicaţii electronice sau de către furnizorul unui serviciu de comunicaţii electronice destinat publicului, trebuie să fie şterse ori transformate în date anonime, atunci când nu mai sunt necesare la transmiterea unei comunicări, dar nu mai târziu de 3 ani de la data efectuării comunicării, cu excepţia situaţiilor prevăzute la alin. (2), (3) şi (5) ale articolului 5 din actul normativ.
Să mai amintim aici şi Legea nr. 82/2012 privind reţinerea datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice şi de furnizorii de servicii de comunicaţii electronice destinate publicului, precum şi pentru modificarea şi completarea Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice. Actul normativ a fost în vigoare de la 21.06.2012 până la 20.10.2014, fiind abrogat prin Decizia nr. 440/2014 a Curţii Constituţionale.