Pastrarea datelor informatice: nevaliditatea directivei din 15 martie 2006
Articol publicat in Pandectele Romane nr. 6 pe 2014, rubrica Meridiane juridice, ingrijita de prof. univ. dr. Mircea Dutu.
CJUE a declarat directiva privind conservarea datelor informatice ca fiind nevalida, datorita ingerintei grave asupra drepturilor fundamentale privind viata privata si protectia datelor cu caracter personal, fara ca aceasta ingerinta sa se limiteze la strictul necesar.
Directiva privind pastrarea datelor nr. 2006/24/CE din 15 martie 2006 avea ca obiectiv principale armonizarea dispozitiilor statelor membre relative la conservarea unor anumite date generate sau controlate de furnizorii de servicii de comunicare electronica accesibile publicului sau retelelor publice de comunicatie. Documentul garata disponibilitatea acestor date in vederea prevenirii, cercetarii, identificarii si sanctionarii infractiunilor grave, in special cele aferente criminalitatii organizate si terorismului. Astfel, directiva prevedea ca furnizorii sus-mentionati sa conserve datele referitoare la trafic, datele de localizare, cat si toate informatiile conexe necesare pentru identificarea abonatului sau a utilizatorului. In schimb, aceasta nu autoriza pastrarea continutului comunicarilor si informatiile consultate.
Curtea suprema a Irlandei, cat si Curtea Constitutionala a Austriei, a solicitat Curtii de Justitie a Uniunii Europene sa examineze validitatea directivei, din perspectiva a doua drepturi fundamentale garantate de Carta drepturilor fundamentale a UE, respectiv dreptul la respectarea vietii private si dreptul la protectia datelor cu caracter personal.
Hotararea din 8 aprilie 2014, prin care Curtea a constatat nevaliditatea directivei, va produce efecte ex tunc, respectiv de la intrarea in vigoare a documentului. Pentru inceput, Curtea constata ca datele ce urmeaza a fi conservate permit sa se afle identitatea abonatului care efectueaza comunicarea, durata acesteia cat si locul la care a fost initiata si frecventa comunicarilor dintre abonatul respectiv si anumite persoane, aferenta unei perioade de timp determinate.
Curtea apreciaza ca, prin impunerea pastrarii acestor date si prin permiterea accesului autoritatilor nationale competente, directiva intervine grav asupra drepturilor fundamentale privitoare la viata privata si la protectia datelor cu caracter personal. Se arata, in acelasi timp, ca pastrarea acestora date, astfel cum este dispusa prin directiva, nu este de natura a aduce atingere continutului esential al drepturilor fundamentale aferente, in masura in care nu permite accesul la continutul comunicarilor.
Mai mult decat atat, pastrarea datelor in vederea unei potentiale comunicari catre autoritatile nationale competente raspunde unui obiectiv de interes general, anume luptei impotriva criminalitatii grave, si, deci, obiectivului sigurantei publice.
Totusi, Curtea apreciaza ca directiva depaseste limitele impuse de respectarea principiului proportionalitatii. In aceasta privinta, Curtea constata ca, avand in vedere, pe de o parte, rolul important jucat de protectia datelor personale in baza dreptului fundamental al protectia vietii private si, pe de alta parte, amploarea si gravitatea ingerintei asupra acestui drept adusa de directiva, puterea de apreciere a legiuitorului european se dovedeste a fi restransa, astfel incat se impune un control strict. Directiva acopera in mod general totalitatea indivizilor si a mijloacelor de comunicare electronica fara a diferentia, a limita sau a face unele exceptii in functie de obiectivul luptei impotriva infractiunilor grave.
Nu se prevede, astfel, un criteriu obiectiv care sa garanteze ca autoritatile nationale competente nu au acces la date si nu pot sa le utilizeze decat in scopul exclusiv al prevenirii, detectarii sau reprimarii penale a infractiunilor susceptibile de a fi considerate, avand in vedere amploarea si gravitatea incalcarii drepturilor fundamentale, ca suficient de grave pentru a justifica o atare ingerinta. Din contra, directiva se refera in maniera generala la „infractiunile grave”, definite de catre fiecare stat membru in parte in sistemul sau de drept. Mai mult decat atat, nu se au in vedere conditiile materiale si procedurale de acces si utilizare a datelor. Astfel, accesul la acestea nu este neaparat subordonat unui control prealabil al unei jurisdictii sau al altei structuri administrative independente.
In ceea ce priveste durata de conservare a datelor, directiva impune o durata de minim sase luni, fara a distinge intre diferitele categorii de date, intre persoanele vizate sau intre utilitatea eventuala a datelor raportata la obiectivul urmarit. Aceasta durata nu poate sa depaseasca 24 de luni, fara a se preciza insa criteriile obiective pe baza carora aceasta va fi determinata in vederea garantarii faptului ca va fi limitata in functie de strictul necesar.
Mai mult decat atat, Curtea a constatat si ca directiva nu prevede garantii suficiente care sa permita asigurarea unei protectii eficiente a datelor impotriva riscurilor de acces si utilizare ilicita. Printre altele, s-a aratat ca directiva le permite furnizorilor sa tina cont de consideratii economice in vederea determinarii nivelului de securitate pe care il aplica si nu garanteaza distrugerea iremediabila a datelor dupa expirarea termenului de pastrare.
O ultima critica a Curtii vizeaza faptul ca directiva nu impune conservarea datelor pe teritoriul Uniunii Europene; prin urmare, controlul respectarii exigentelor de protectie si securitate de catre o autoritate independenta nu este garantat in totalitate. Or, un asemenea control, efectuat pe baza dreptului UE, constituie un element esential al respectarii ocrotirii persoanelor sub aspectul tratamentului aplicat datelor cu caracter personal.
(CJUE, Marea Camera, hotararea din 8 aprilie 2014, cauza nr. C-293/12)
Pingback: Pastrarea datelor informatice invalidata de Curtea de Justitie a Uniunii Europene | Programul National DMS