Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice a fost modificată în octombrie, prin Legea nr. 235/2015. Deși puține la număr, amendamentele aduse privesc un aspect important și sensibil: reglementarea accesului autorităților la datele de trafic, de localizare și de identificare a echipamentului.
Aceasta vine după ce, prin hotărârea în cauzele conexate C‑293/12 și C‑594/12 Digital Rights Ireland, Curtea de Justiție a Uniunii Europene a invalidat Directiva 2006/24/CE referitoare la păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice. De asemenea, legile naționale care au implementat această directivă – Legea nr. 298/2008 și Legea nr. 82/2012 privind reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului (…) au fost declarate neconstituționale prin deciziile Curții Constituționale nr. 1258/2009 și respectiv 440/2014.
Noua reglementare nu mai este un act normativ dedicat, așa cum au fost legile declarate neconstituționale, ci este integrată în corpul Legii nr. 506/2004. Aceasta nu mai impune termenul minim de 6 luni pentru reținerea datelor (a se vedea articolul 3 alin. 2 din Legea nr. 82/2012), ci prevede că datele trebuie șterse sau anonimizate când nu mai sunt necesare la transmiterea unei comunicări. Acest proces trebuie să aibă loc nu mai târziu de 3 ani de la data efectuării comunicării un termen maxim de 3 ani (noul articol 5 alin. 1 din Legea nr. 506/2004) sau, în cazul în care o autoritate solicită aceste date și notifică necesitatea menținerii datelor, de 5 ani de la data comunicării electronice (noul articol 12 ind. 1 alin. 5).
Legea nr. 506/2004 a primit un nou articol 12 ind. 1 care reglementează modul în care autoritățile pot avea acces la date. Mai exact, solicitanții pot fi instanțele de judecată, organele de urmărire penală ori organele de stat cu atribuții în domeniul apărării și securității naționale; solicitarea de acces poate privi datele de trafic, datele de identificare a echipamentului și datele de localizare, însă spre deosebire de reglementarea anterioară, acum este obligatorie autorizarea prealabilă a judecătorului. Mai mult, solicitanții trebuie să notifice furnizorilor încetarea motivelor care au stat la baza solicitării ori, după caz, pronunțarea unei hotărâri judecătorești definitive.
Expunerea de motive a Legii nr. 235/2015 precizează faptul că au fost avute în vedere criticile anterioare ale Curții Constituționale, subliniind că legea nu impune obligații suplimentare de reținere de date față de cele deja existente și aplicabile „în scopul derulării activităților comerciale proprii, precum și în cadrul activităților de asigurare a serviciilor de comunicații electronice”. Mai mult, explică și faptul că au fost introduse garanții noi pentru a proteja dreptul la viața intimă, familială și privată, enumerând aici faptul că „accesarea datelor poate fi realizată într-un cadru precis delimitat, de către instanța de judecată sau cu autorizarea prealabilă a judecătorului”, precum și faptul că, „atunci când sunt transmise în format electronic, solicitările, respectiv răspunsurile, se semnează cu semnătură electronică extinsă, bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat, pentru asigurarea integrității datelor și pentru stabilirea trasabilității acestora”.
Cu toate acestea, expunerea de motive subliniază faptul că Legea nr. 235/2015 nu urmărește înlocuirea Legii nr. 82/2012 și deci nici implementarea Directivei invalidate 2002/58/CE, noua lege neinstituind „o veritabilă obligație de reținere a datelor în afara scopului facturării şi asigurării serviciului de comunicații”, motiv pentru care nu ar mai subzista „necesitatea asigurării unor garanții suplimentare privind prelucrarea şi stocarea acestor date şi nici a instituirii unui alt mecanism de control, garanții solicitate prin Decizia Curții Constituționale nr. 440/2014”.
Merită menționat și faptul că pe data de 24 noiembrie 2015 Consiliul Uniunii Europene a publicat o notă care constată existența unui tratament neunitar în statele membre, ca urmare a hotărârii Digital Rights Ireland, în ceea ce privește reglementarea unei obligații generale de reținere a datelor de comunicații electronice. Nota arată că invalidarea Directivei 2006/24/CE a rezultat în faptul că o serie de state au adoptat sau sunt pe cale să adopte noi reguli cu privire la reținerea datelor, iar în alte state reglementările naționale au fost invalidate de curțile constituționale (cum este și cazul României). Consiliul precizează că această fragmentare a cadrului juridic are un impact asupra eficacității procedurilor penale la nivel național, mai ales în ce privește calitatea și admisibilitatea probelor în instanță, precum și la nivel interstatal în ce privește cooperarea judiciară între statele membre. În acest context, Consiliul invită miniștrii să comenteze cu privire la trei chestiuni:
- Hotărârea Digital Rights Ireland trebuie interpretată în sensul în care este în continuare permisă reținerea în masă a datelor referitoare la comunicații electronice, fără un motiv precis?
- Având în vedere fragmentarea regimului juridic în cadrul Uniunii, ar trebui luat în considerare un răspuns la nivel de Uniune sau situația ar trebui lăsată la aprecierea fiecărui stat membru?
- Ar trebui invitată Comisia să prezinte o nouă inițiativă legislativă, și dacă da, în ce termen?
Este deci posibil ca subiectul unei reglementări europene dedicate în mod expres reținerii datelor asociate comunicațiilor electronice să reapară în discuția publică.