Deși legea olandeză prevede posibilitatea instituirii supravegherii fără autorizarea unui organism independent, instanța de prim grad și cea de apel au constatat faptul că acest regim intră în conflict cu dreptul la viața privată (articolul 8 CEDO) și cu dreptul la un proces echitabil (articolul 6 CEDO). Drept urmare, instanțele au decis că informațiile obținute prin înregistrarea comunicațiilor avocaților nu pot fi înaintate procurorilor până la evaluarea independentă a acestora în privința legalității informațiilor și a modului în care au fost obținute. Mai mult, a fost luat în calcul și faptul că posibilitatea ca aceste informații să ajungă la procurori poate determina publicul să evite contactarea unui avocat, ceea ce încalcă dreptul la un proces echitabil și subminează conceptul de secret profesional.

Decizia nu este însă definitivă, ea putând fi atacată cu recurs la Curtea Supremă olandeză în termen de trei luni.

Raportul, de dimensiuni considerabile, se concentrează pe „supravegherea în masă”, detaliind mecanismele de supraveghere introduse la nivelul Uniunii, precum și remediile de care dispun persoanele interesate să conteste măsurile de supraveghere. Raportul ia în considerare și necesitatea găsirii unui echilibru între, pe de o parte, nevoia de securitate în contextul atacurilor teroriste și al avansului tehnologic care face posibilă monitorizarea la scară largă a comunicațiilor, și, pe de altă parte, dreptul la viață privată și protecția datelor personale.

Raportul FRA vine după ce, în aprilie 2015, Consiliul Europei a adoptat Rezoluția 2045/2015 și Recomandarea 2067/2015, prin care Consiliul Europei a decis că supravegherea în masă dezvăluită de Edward Snowden (care a fost audiat de Consiliu prin video-link) pune în pericol drepturi fundamentale, inclusiv dreptul la viață privată (art. 8 CEDO), dreptul la liberă exprimare (art. 10 CEDO), dreptul la un proces echitabil (art. 6 CEDO) și dreptul la libertatea religioasă (art. 9 CEDO), în special când sunt interceptate comunicări confidențiale cu avocații sau preoții. Consiliul a fost de părere că, în loc să prevină atacuri teroriste, supravegherea în masă contribuie la direcționarea greșită a unor resurse, ceea ce conferă libertate de acțiune unor persoane potențial periculoase. Recomandările Consiliului includ introducerea controlului judiciar pentru colectarea și analizarea datelor (inclusiv meta-date) atunci când are loc fără consimțământul persoanei vizate, și acordarea unei protecții credibile și eficiente pentru avertizorii de integritate care divulgă practici de supraveghere nelegală, precum Edward Snowden.

Aceasta vine după ce, prin hotărârea în cauzele conexate C‑293/12 și C‑594/12 Digital Rights Ireland, Curtea de Justiție a Uniunii Europene a invalidat Directiva 2006/24/CE referitoare la păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice. De asemenea, legile naționale care au implementat această directivă – Legea nr. 298/2008 și Legea nr. 82/2012 privind reținerea datelor generate sau prelucrate de furnizorii de rețele publice de comunicații electronice și de furnizorii de servicii de comunicații electronice destinate publicului (…) au fost declarate neconstituționale prin deciziile Curții Constituționale nr. 1258/2009 și respectiv 440/2014.

Noua reglementare nu mai este un act normativ dedicat, așa cum au fost legile declarate neconstituționale, ci este integrată în corpul Legii nr. 506/2004. Aceasta nu mai impune termenul minim de 6 luni pentru reținerea datelor (a se vedea articolul 3 alin. 2 din Legea nr. 82/2012), ci prevede că datele trebuie șterse sau anonimizate când nu mai sunt necesare la transmiterea unei comunicări. Acest proces trebuie să aibă loc nu mai târziu de 3 ani de la data efectuării comunicării un termen maxim de 3 ani (noul articol 5 alin. 1 din Legea nr. 506/2004) sau, în cazul în care o autoritate solicită aceste date și notifică necesitatea menținerii datelor, de 5 ani de la data comunicării electronice (noul articol 12 ind. 1 alin. 5).

Legea nr. 506/2004 a primit un nou articol 12 ind. 1 care reglementează modul în care autoritățile pot avea acces la date. Mai exact, solicitanții pot fi instanțele de judecată, organele de urmărire penală ori organele de stat cu atribuții în domeniul apărării și securității naționale; solicitarea de acces poate privi datele de trafic, datele de identificare a echipamentului și datele de localizare, însă spre deosebire de reglementarea anterioară, acum este obligatorie autorizarea prealabilă a judecătorului. Mai mult, solicitanții trebuie să notifice furnizorilor încetarea motivelor care au stat la baza solicitării ori, după caz, pronunțarea unei hotărâri judecătorești definitive.

Expunerea de motive a Legii nr. 235/2015 precizează faptul că au fost avute în vedere criticile anterioare ale Curții Constituționale, subliniind că legea nu impune obligații suplimentare de reținere de date față de cele deja existente și aplicabile „în scopul derulării activităților comerciale proprii, precum și în cadrul activităților de asigurare a serviciilor de comunicații electronice”. Mai mult, explică și faptul că au fost introduse garanții noi pentru a proteja dreptul la viața intimă, familială și privată, enumerând aici faptul că „accesarea datelor poate fi realizată într-un cadru precis delimitat, de către instanța de judecată sau cu autorizarea prealabilă a judecătorului”, precum și faptul că, „atunci când sunt transmise în format electronic, solicitările, respectiv răspunsurile, se semnează cu semnătură electronică extinsă, bazată pe un certificat calificat, eliberat de un furnizor de servicii de certificare acreditat, pentru asigurarea integrității datelor și pentru stabilirea trasabilității acestora”.

Cu toate acestea, expunerea de motive subliniază faptul că Legea nr. 235/2015 nu urmărește înlocuirea Legii nr. 82/2012 și deci nici implementarea Directivei invalidate 2002/58/CE, noua lege neinstituind „o veritabilă obligație de reținere a datelor în afara scopului facturării şi asigurării serviciului de comunicații”, motiv pentru care nu ar mai subzista „necesitatea asigurării unor garanții suplimentare privind prelucrarea şi stocarea acestor date şi nici a instituirii unui alt mecanism de control, garanții solicitate prin Decizia Curții Constituționale nr. 440/2014”.

Merită menționat și faptul că pe data de 24 noiembrie 2015 Consiliul Uniunii Europene a publicat o notă care constată existența unui tratament neunitar în statele membre, ca urmare a hotărârii Digital Rights Ireland, în ceea ce privește reglementarea unei obligații generale de reținere a datelor de comunicații electronice. Nota arată că invalidarea Directivei 2006/24/CE a rezultat în faptul că o serie de state au adoptat sau sunt pe cale să adopte noi reguli cu privire la reținerea datelor, iar în alte state reglementările naționale au fost invalidate de curțile constituționale (cum este și cazul României). Consiliul precizează că această fragmentare a cadrului juridic are un impact asupra eficacității procedurilor penale la nivel național, mai ales în ce privește calitatea și admisibilitatea probelor în instanță, precum și la nivel interstatal în ce privește cooperarea judiciară între statele membre. În acest context, Consiliul invită miniștrii să comenteze cu privire la trei chestiuni:

• Hotărârea Digital Rights Ireland trebuie interpretată în sensul în care este în continuare permisă reținerea în masă a datelor referitoare la comunicații electronice, fără un motiv precis?
• Având în vedere fragmentarea regimului juridic în cadrul Uniunii, ar trebui luat în considerare un răspuns la nivel de Uniune sau situația ar trebui lăsată la aprecierea fiecărui stat membru?
• Ar trebui invitată Comisia să prezinte o nouă inițiativă legislativă, și dacă da, în ce termen?

Este deci posibil ca subiectul unei reglementări europene dedicate în mod expres reținerii datelor asociate comunicațiilor electronice să reapară în discuția publică.