Hotărârea Curții de Justiție a Uniunii Europene (Marea Cameră) în cauza C 207/16 (2 octombrie 2018). Trimitere preliminară. Comunicații electronice. Prelucrarea datelor cu caracter personal. Directiva 2002/58/CE. Articolele 1 și 3. Domeniu de aplicare. Confidențialitatea comunicațiilor electronice. Protecție. Articolul 5 și articolul 15 alineatul (1). Carta drepturilor fundamentale a Uniunii Europene. Articolele 7 și 8. Date prelucrate în legătură cu furnizarea serviciilor de comunicații electronice. Accesul autorităților naționale la date în scopuri de anchetă. Pragul de gravitate a infracțiunii susceptibil să justifice accesul la date

ABSTRACT

The access of public authorities to electronic communications is an interference with the fundamental right to respect for private life, enshrined in art. 7 of the Charter, even in the absence of circumstances which make it possible to classify such an interference as “serious” and irrelevant if the information relating to privacy is of a sensitive nature or if the persons concerned have suffered any inconvenience as a result of that interference .

However, access by public authorities to data aimed at identifying owners of SIM cards activated with a stolen mobile phone such as their surnames, first names and, where appropriate, address to these owners implies an interference with the fundamental rights of the latter, the articles referred to in the Charter of Fundamental Rights are not so serious that they need to be limited, in terms of prevention, investigation, detection and prosecution of criminal offenses, to the fight against serious crime.

Keywords: fundamental rights, electronic communications, theft, criminal prosecution.

În cauza C‑207/16, obiectul cererii de decizie preliminară privește în esență interpretarea art. 15 alin. (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009 (denumită în continuare „Directiva 2002/58”), citit în lumina art. 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”).

Cererea a fost formulată în cadrul unei acțiuni introduse de Ministerio Fiscal (Ministerul Public, Spania) împotriva deciziei Juzgado de Instrucción nr. 3 de Tarragona (judecătorul de instrucție nr. 3 din Tarragona, denumit în continuare „judecătorul de instrucție”) privind refuzul de a autoriza accesul poliției judiciare la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice.

Cadrul juridic

Potrivit art. 2 lit. (b) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, în sensul acestei directive, prin „prelucrarea datelor cu caracter personal” trebuie să se înțeleagă „orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea”.

Articolul 3 din această directivă, intitulat „Domeniul de aplicare”, prevede:

(1) Prezenta directivă se aplică prelucrării automate, în totalitate sau parțial, precum și prelucrării neautomate a datelor cu caracter personal, conținute sau care urmează să fie conținute într‑un sistem de evidență a datelor cu caracter personal.

(2) Prezenta directivă nu se aplică prelucrării datelor cu caracter personal:

– puse în practică pentru exercitarea activităților din afara domeniului de aplicare a dreptului comunitar, cum ar fi cele prevăzute în titlurile V și VI din Tratatul privind Uniunea Europeană și, în orice caz, prelucrărilor care au ca obiect siguranța publică, apărarea, securitatea statului (inclusiv bunăstarea economică a statului atunci când aceste prelucrări sunt legate de probleme de securitate a statului) și activitățile statului în domeniul dreptului penal;

– efectuate de către o persoană fizică în cursul unei activități exclusiv personale sau domestice.

La fel ca Directiva [95/46], Directiva 2002/58 nu se referă la chestiuni de protecție a drepturilor și libertăților fundamentale legate de activități care nu sunt reglementate de legile comunitare. Prin urmare, aceasta nu aduce atingere echilibrului existent între dreptul indivizilor la confidențialitate și posibilitatea ca statele membre să ia măsurile stipulate la art. 15 alin. (1) al prezentei directive, posibilitate necesară în vederea protejării siguranței publice, apărării și siguranței statului (inclusiv bunăstării economice a acestuia, în cazul în care activitățile respective sunt legate de chestiuni de siguranța statului) și întăririi legii penale. În consecință, prezenta directivă nu interzice statelor membre să efectueze interceptări legale ale comunicațiilor electronice sau să ia alte măsuri pentru atingerea scopurilor menționate anterior, dacă acest lucru este necesar și în conformitate cu Convenția europeană pentru protecția drepturilor omului și a libertăților fundamentale, așa cum este aceasta interpretată de Curtea Europeană a Drepturilor Omului. Aceste măsuri trebuie să fie corespunzătoare, strict proporționale cu scopul urmărit și necesare în cadrul unei societăți democratice și trebuie însoțite de precauțiile corespunzătoare în conformitate cu Convenția europeană pentru protecția drepturilor omului și a libertăților fundamentale.

O comunicație poate include orice informație referitoare la nume, numere sau adrese furnizate de expeditorul unei comunicații sau de utilizatorul unei conexiuni pentru a efectua comunicația. Datele de transfer pot include orice translatare a acestei informații de către rețeaua prin care are loc transmisia în vederea efectuării transmisiei. […]

Directiva 2002/58 nu se aplică activităților care nu sunt cuprinse în domeniul de aplicare al Tratatului de instituire a Comunității Europene, cum sunt cele menționate la titlurile V și VI ale Tratatului privind Uniunea Europeană, și în orice caz activităților legate de siguranța publică, de apărare, de siguranța statului (inclusiv de bunăstarea economică a acestuia, dacă activitățile respective sunt legate de chestiuni de siguranța statului) și activităților statului în domeniul legii penale.

Potrivit art. 2 din Directiva 2002/58, intitulat „Definiții”:

Cu excepția cazurile în care se precizează altfel, se aplică definițiile din Directiva [95/46] și din Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind cadrul comun de reglementare a rețelelor și serviciilor de comunicații electronice (Directiva‑cadru); se aplică de asemenea următoarele definiții:

(b) «date de transfer» înseamnă orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării;

(c) «date de localizare» înseamnă orice date prelucrate într‑o rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al unui utilizator al unui serviciu de comunicații electronice destinat publicului;

(d) «comunicație» înseamnă orice informație trimisă sau transmisă între un număr finit de părți prin intermediul unui serviciu public de comunicații electronice. Această categorie nu include informațiile transmise în cadrul unui serviciu de radiodifuziune pentru public prin intermediul unei rețele de comunicații electronice, în măsura în care aceste informații nu pot fi relaționate cu un abonat sau cu un utilizator identificabil care primește informația;

Articolul 15 din din Directiva 2002/58, intitulat „Aplicarea anumitor dispoziții ale Directivei [95/46]”, prevede la alin. (1):

Statele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) al Directivei [95/46]. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate în acest alineat trebuie să fie conforme cu principiile generale ale legislației comunitare, inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) al Tratatului privind Uniunea Europeană.

Dreptul spaniol

Articolul 1 din Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (Legea 25/2007 privind păstrarea datelor referitoare la comunicațiile electronice și la rețelele publice de comunicații) din 18 octombrie 2007 prevede:

1. Prezenta lege are ca scop reglementarea obligației operatorilor de a păstra datele generate sau prelucrate în contextul prestării de servicii de comunicații electronice sau de rețele de comunicații publice, precum și obligația de a comunica datele respective agenților abilitați ori de câte ori acestea sunt solicitate prin intermediul autorizației judiciare corespunzătoare, în vederea descoperirii, a anchetării și a judecării infracțiunilor grave prevăzute în Codul penal sau în legile penale speciale.

2. Prezenta lege se aplică datelor de transfer și datelor de localizare care privesc atât persoanele fizice, cât și persoanele juridice, precum și datelor conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat.

Articolul 13 alin. (1) din Ley Orgánica 10/1995 del Código Penal (Codul penal) din 23 noiembrie 1995 (BOE nr. 281 din 24 noiembrie 1995, p. 33987) are următorul cuprins:

Sunt infracțiuni grave cele sancționate de lege cu o pedeapsă gravă.”

Articolul 33 din codul menționat prevede:

1. În funcție de natura și de durata acestora, pedepsele sunt calificate ca fiind grave, mai puțin grave și ușoare.

2. Sunt pedepse grave:

a) Detențiunea pe viață comutabilă.

b) Închisoarea mai mare de cinci ani.

[…]

După data faptelor din litigiul principal, Ley de Enjuiciamiento Criminal (Codul de procedură penală) a fost modificat prin Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (Legea organică 13/2015 de modificare a Codului de procedură penală în scopul consolidării garanțiilor procedurale și al reglementării măsurilor de anchetare tehnologică) din 5 octombrie 2015. Această lege a intrat în vigoare la 6 decembrie 2015. Ea introduce, în Codul de procedură penală, domeniul accesului la datele privind comunicațiile telefonice și telematice care au fost păstrate de prestatorii de servicii de comunicații electronice.

Articolul 579 alin. (1) din Codul de procedură penală, în versiunea rezultată din Legea organică 13/2015, prevede:

Instanța poate autoriza interceptarea corespondenței private, poștale și telegrafice, inclusiv faxuri, Burofax‑uri și mandate poștale internaționale, pe care suspectul le trimite sau le primește, precum și deschiderea și analizarea acesteia, în cazul în care există indicii care sugerează că acest lucru va permite descoperirea sau verificarea unui fapt sau a unui element relevant în speță, în măsura în care ancheta are ca obiect una dintre următoarele infracțiuni:

1. Infracțiuni comise cu intenție, sancționate cu o pedeapsă al cărei maxim special este închisoarea de cel puțin trei ani.

2. Infracțiuni comise în cadrul unui grup infracțional organizat.

3. Infracțiuni de terorism.

[…]

Articolul 588 ter j din codul menționat prevede:

1. Datele electronice păstrate de prestatorii de servicii sau de persoanele care facilitează comunicația, în conformitate cu legislația privind păstrarea datelor referitoare la comunicațiile electronice sau din proprie inițiativă, din motive comerciale sau de altă natură, și care au legătură cu procesele de comunicație, pot fi comunicate în vederea folosirii în proces numai pe bază de autorizație judiciară.

2. Atunci când cunoașterea acestor date este indispensabilă pentru anchetă, trebuie să se solicite instanței competente o autorizație de acces la informațiile păstrate în arhivele automatizate ale prestatorilor de servicii, inclusiv pentru o căutare încrucișată sau inteligentă a datelor, cu condiția să se precizeze natura datelor căutate și motivele care justifică comunicarea acestora.

Procedura principală și întrebările preliminare

Domnul H. S. a depus o plângere la poliție pentru o tâlhărie, care a avut loc la 16 februarie 2015, în cursul căreia a fost rănit și i s‑au furat portofelul și telefonul mobil.

La 27 februarie 2015, poliția judiciară a sesizat judecătorul de instrucție cu o cerere prin care a solicitat obligarea diferiților furnizori de servicii de comunicații electronice de a transmite numerele de telefon activate, între 16 februarie și 27 februarie 2015, cu codul referitor la identificatorul internațional al echipamentului mobil (denumit în continuare „codul IMEI”) al telefonului mobil furat, precum și datele cu caracter personal referitoare la identitatea civilă a titularilor sau a utilizatorilor numerelor de telefon aferente cartelelor SIM activate cu acest cod, cum ar fi numele, prenumele și, dacă este cazul, adresa acestora.

Prin ordonanța din 5 mai 2015, judecătorul de instrucție a respins această cerere. Pe de o parte, el a considerat că măsura solicitată nu era utilă pentru identificarea autorilor infracțiunii. Pe de altă parte, a refuzat să admită cererea pentru motivul că Legea 25/2007 limita transmiterea datelor păstrate de furnizorii de servicii de comunicații electronice la infracțiunile grave. Conform Codului penal, infracțiunile grave ar fi sancționate cu pedepse privative de libertate mai mari de cinci ani, în timp ce faptele în discuție în litigiul principal nu păreau să constituie o astfel de infracțiune.

Ministerul Public a declarat apel împotriva acestei ordonanțe la instanța de trimitere, considerând că comunicarea datelor în cauză ar fi trebuit să fie admisă ca urmare a naturii faptelor și în temeiul unei hotărâri a Tribunal Supremo (Curtea Supremă, Spania) din 26 iulie 2010 cu privire la un caz similar.

Instanța de trimitere arată că, ulterior ordonanței menționate, legiuitorul spaniol a modificat Codul de procedură penală prin adoptarea Legii organice 13/2015. Această lege, care ar fi relevantă pentru soluționarea acțiunii principale, ar fi introdus două criterii alternative noi pentru determinarea gradului de gravitate a unei infracțiuni. Ar fi vorba, pe de o parte, despre un criteriu material identificat prin comportamente care corespund unor calificări penale a căror natură infracțională este specifică și gravă și care sunt deosebit de prejudiciabile pentru interesele juridice individuale și colective. Pe de altă parte, legiuitorul național ar fi recurs la un criteriu normativ formal, întemeiat pe pedeapsa prevăzută pentru infracțiunea în cauză. Pragul de trei ani de închisoare pe care îl prevede în prezent ar cuprinde însă marea majoritate a infracțiunilor. În plus, instanța de trimitere consideră că interesul statului de a sancționa comportamentele infracționale nu poate justifica ingerințe disproporționate în drepturile fundamentale consacrate de cartă.

În această privință, instanța menționată apreciază că, în procedura principală, Directivele 95/46 și 2002/58 stabilesc o legătură cu carta. Prin urmare, reglementarea națională în discuție în litigiul principal ar intra, conform art. 51 alin. (1) din cartă, în domeniul de aplicare al acesteia, în pofida invalidării Directivei 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE (JO 2006, L 105, p. 54, Ediție specială, 13/vol. 53, p. 51) prin Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238).

În această hotărâre, Curtea ar fi recunoscut că păstrarea și comunicarea datelor de transfer constituie ingerințe deosebit de grave în drepturile garantate de articolele 7 și 8 din cartă și ar fi identificat criteriile de apreciere a respectării principiului proporționalității, printre care figurează gravitatea infracțiunilor care justifică păstrarea acestor date și accesul la ele în scopuri de anchetă.

În aceste condiții, Audiencia Provincial de Tarragona (Curtea Provincială din Tarragona) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

1) Caracterul suficient de grav al infracțiunilor, în calitate de criteriu care justifică ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din [cartă], poate fi determinat luând în considerare exclusiv pedeapsa care poate fi aplicată pentru infracțiunea care face obiectul urmăririi penale sau este necesar, în plus, să se identifice, în cadrul comportamentului infracțional, un caracter prejudiciabil special în privința intereselor juridice individuale sau colective?

2) După caz, în situația în care determinarea gravității infracțiunii exclusiv în funcție de pedeapsa aplicabilă ar fi conformă cu principiile fundamentale ale Uniunii aplicate de Curte în Hotărârea [din 8 aprilie 2014, Digital Rights Ireland și alții, C‑293/12 și C‑594/12, EU:C:2014:238] ca standarde de control strict al Directivei [2002/58], care ar trebui să fie acest prag minim al gravității? Acesta ar fi compatibil cu o prevedere generală care stabilește un minim de trei ani de închisoare?

Procedura în fața Curții

Prin decizia președintelui Curții din 23 mai 2016, procedura în fața Curții a fost suspendată până la pronunțarea hotărârii în cauzele conexate Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15 (Hotărârea din 21 decembrie 2016, EU:C:2016:970, denumită în continuare „Hotărârea Tele2 Sverige și Watson și alții”). Ca urmare a pronunțării acestei hotărâri, instanța de trimitere a fost interogată referitor la aspectul dacă dorește să își mențină sau să își retragă cererea de decizie preliminară. Instanța de trimitere a răspuns, prin scrisoarea din 30 ianuarie 2017, primită de Curte la 14 februarie 2017, că consideră că această hotărâre nu îi permite să aprecieze, cu suficientă certitudine, reglementarea națională în discuție în litigiul principal în raport cu dreptul Uniunii. Prin urmare, procedura în fața Curții a fost reluată la 16 februarie 2017.

Cu privire la întrebările preliminare

Guvernul spaniol invocă, pe de o parte, necompetența Curții pentru a răspunde la cererea de decizie preliminară și, pe de altă parte, inadmisibilitatea acestei cereri.

Cu privire la competența Curții

În observațiile sale scrise prezentate Curții, guvernul spaniol și‑a exprimat părerea, căreia i s‑a alăturat guvernul Regatului Unit în ședință, potrivit căreia Curtea nu este competentă să răspundă la cererea de decizie preliminară pentru motivul că litigiul principal este exclus, în conformitate cu art. 3 alin. (2) prima liniuță din Directiva 95/46 și cu art. 1 alin. (3) din Directiva 2002/58, din domeniul de aplicare al acestor două directive. Această cauză nu ar intra, așadar, în domeniul de aplicare al dreptului Uniunii, astfel încât, în conformitate cu art.51 alin. (1) din cartă, aceasta nu ar fi aplicabilă.

Potrivit guvernului spaniol, Curtea a statuat, desigur, în Hotărârea Tele2 Sverige și Watson și alții, că o măsură legislativă care reglementează accesul autorităților naționale la datele păstrate de furnizorii de servicii de comunicații electronice intră în domeniul de aplicare al Directivei 2002/58. Cu toate acestea, în speță, ar fi vorba despre o cerere de acces a unei autorități publice, în temeiul unei decizii judiciare din cadrul unei proceduri de urmărire penală, la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice. Guvernul spaniol concluzionează de aici că această cerere de acces se înscrie în exercitarea de către autoritățile naționale a ius puniendi, astfel încât constituie o activitate a statului referitoare la domenii ale dreptului penal care intră sub incidența excepției prevăzute la art. 3 alin. (2) prima liniuță din Directiva 95/46 și la art. 1 alin. (3) din Directiva 2002/58.

Pentru a aprecia această excepție de necompetență, trebuie arătat că art. 1 din Directiva 2002/58 dispune, la alin. (1), că directiva respectivă prevede armonizarea dispozițiilor naționale necesare, printre altele, în vederea asigurării unui nivel echivalent de protecție a drepturilor și a libertăților fundamentale, în special a dreptului la confidențialitate și la respectarea vieții private, în domeniul prelucrării de date cu caracter personal în sectorul comunicațiilor electronice. Conform art. 1 alin. (2) din directiva amintită, aceasta precizează și completează Directiva 95/46 în scopurile menționate la alin. (1).

Articolul 1 alin. (3) din Directiva 2002/58 exclude din domeniul de aplicare al acesteia „activitățile statului” în domeniile care sunt acolo vizate, printre care se numără activitățile statului în domeniul penal și cele privind siguranța publică, apărarea, siguranța statului, inclusiv bunăstarea economică a statului atunci când este vorba despre activități legate de siguranța statului (Hotărârea Tele2 Sverige și Watson și alții, pct. 69 și jurisprudența citată). Activitățile menționate cu titlu de exemplu de dispoziția respectivă sunt, în toate cazurile, activități proprii statelor sau autorităților statale, străine de domeniile de activitate ale particularilor (a se vedea prin analogie, în ceea ce privește art. 3 alin. (2) prima liniuță din Directiva 95/46, Hotărârea din 10 iulie 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, pct. 38 și jurisprudența citată).

În ceea ce privește art. 3 din Directiva 2002/58, acesta prevede că directiva menționată se aplică prelucrării de date cu caracter personal legate de furnizarea de servicii de comunicații electronice destinate publicului prin intermediul rețelelor publice de comunicații din cadrul Uniunii, inclusiv al rețelelor publice de comunicații care presupun colectarea de date și dispozitive de identificare (denumite în continuare „servicii de comunicații electronice”). Prin urmare, trebuie considerat că directiva menționată reglementează activitățile furnizorilor de astfel de servicii (Hotărârea Tele2 Sverige și Watson și alții, pct. 70).

În ceea ce privește art. 15 alin. (1) din Directiva 2002/58, Curtea a statuat deja că măsurile legislative prevăzute la această dispoziție intră în domeniul de aplicare al acestei directive, chiar dacă ele se raportează la activități proprii statelor sau autorităților statale, străine de domeniile de activitate ale particularilor și chiar dacă finalitățile la care trebuie să răspundă asemenea măsuri se pliază în esență pe finalitățile urmărite de activitățile menționate la art. 1 alin. (3) din Directiva 2002/58. Astfel, art. 15 alin. (1) din directiva respectivă presupune în mod necesar că măsurile naționale prevăzute la acest articol intră în domeniul de aplicare al directivei menționate, din moment ce aceasta din urmă permite în mod expres statelor membre să le adopte numai cu respectarea condițiilor pe care le prevede. În plus, măsurile legislative vizate la art. 15 alin. (1) din Directiva 2002/58 guvernează, în scopurile menționate la această dispoziție, activitatea furnizorilor de servicii de comunicații electronice (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, pct. 72-74).

Curtea a concluzionat că respectivul art. 15 alin. (1) coroborat cu art. 3 din Directiva 2002/58 trebuie interpretat în sensul că intră în domeniul de aplicare al acestei directive nu numai o măsură legislativă care impune furnizorilor de servicii de comunicații electronice să păstreze datele de transfer și datele de localizare, ci și o măsură legislativă privind accesul autorităților naționale la datele păstrate de acești furnizori (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, pct. 75 și 76).

Astfel, protecția confidențialității comunicațiilor electronice și a datelor de transfer aferente acestora, garantată de art. 5 alin. (1) din Directiva 2002/58, se aplică măsurilor adoptate de orice alte persoane decât utilizatorii, indiferent dacă este vorba despre persoane sau entități private ori despre entități statale. După cum se confirmă în considerentul (21) al directivei menționate, aceasta urmărește să evite „accesul” neautorizat la comunicații, inclusiv la „datel[e] referitoare la comunicații”, pentru a proteja confidențialitatea comunicațiilor electronice (Hotărârea Tele2 Sverige și Watson și alții, pct. 77).

Trebuie să se adauge că măsurile legislative care impun furnizorilor de servicii de comunicații electronice să păstreze date cu caracter personal sau să acorde autorităților naționale competente accesul la aceste date implică în mod necesar o prelucrare, de către acești furnizori, a datelor respective (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, pct. 75 și 78). Astfel de măsuri, întrucât guvernează activitățile furnizorilor menționați, nu pot fi asimilate, așadar, unor activități proprii statelor, vizate la art. 1 alin. (3) din Directiva 2002/58.

În speță, după cum reiese din decizia de trimitere, cererea în discuție în litigiul principal, prin care poliția judiciară solicită o autorizație judiciară pentru a avea acces la date cu caracter personal păstrate de furnizori de servicii de comunicații electronice, se bazează pe Legea 25/2007 coroborată cu Codul de procedură penală, în versiunea aplicabilă faptelor din litigiul principal, care guvernează accesul autorităților publice la asemenea date. Această reglementare este de natură să permită poliției judiciare, în cazul acordării autorizației judiciare solicitate în temeiul acesteia, să solicite furnizorilor de servicii de comunicații electronice să îi pună la dispoziție date cu caracter personal și, procedând astfel, aceștia efectuează, având în vedere definiția care figurează la art. 2 lit. (b) din Directiva 95/46, aplicabilă în contextul Directivei 2002/58 în temeiul art. 2 primul paragraf din aceasta din urmă, o „prelucrare” a unor asemenea date, în sensul acestor două directive. Așadar, reglementarea menționată guvernează activități ale furnizorilor de servicii de comunicații electronice și, în consecință, intră în domeniul de aplicare al Directivei 2002/58.

În aceste condiții, împrejurarea invocată de guvernul spaniol, potrivit căreia această cerere de acces intervine în cadrul unei proceduri de urmărire penală, nu poate atrage inaplicabilitatea Directivei 2002/58 în cauza principală în temeiul art. 1 alin. (3) din aceasta.

Este de asemenea lipsit de relevanță în această privință că cererea de acces în discuție în litigiul principal urmărește, astfel cum reiese din răspunsul scris al guvernului spaniol la o întrebare adresată de Curte și după cum au confirmat atât guvernul respectiv, cât și Ministerul Public în ședință, să permită accesul numai la numerele de telefon aferente cartelelor SIM activate cu codul IMEI al telefonului mobil furat, precum și la datele referitoare la identitatea civilă a titularilor acestor cartele, cum ar fi numele, prenumele și, dacă este cazul, adresa acestora, cu excluderea datelor referitoare la comunicațiile efectuate cu cartelele SIM menționate și a datelor de localizare privind telefonul mobil furat.

Astfel, după cum a arătat avocatul general la pct. 54 din concluzii, Directiva 2002/58 guvernează, în temeiul art. 1 alin. (1) și al art. 3 din aceasta, orice prelucrare a datelor cu caracter personal legate de furnizarea de servicii de comunicații electronice. În plus, conform art 2 al doilea paragraf lit. (b) din această directivă, noțiunea „date de transfer” acoperă „orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării”.

În această ultimă privință, în ceea ce privește mai precis datele referitoare la identitatea civilă a titularilor de cartele SIM, reiese din considerentul (15) al Directivei 2002/58 că datele de transfer pot include, printre altele, numele și adresa persoanei care emite o comunicație sau care utilizează o conexiune pentru a efectua o comunicație. În plus, datele referitoare la identitatea civilă a titularilor de cartele SIM civile se pot dovedi necesare pentru facturarea serviciilor de comunicații electronice furnizate și, prin urmare, fac parte din datele de transfer, astfel cum acestea sunt definite la art. 2 al doilea paragraf lit. (b) din directiva respectivă. În consecință, aceste date intră în domeniul de aplicare al Directivei 2002/58.

Prin urmare, Curtea este competentă să răspundă la întrebarea adresată de instanța de trimitere.

Cu privire la admisibilitate

Guvernul spaniol susține că cererea de decizie preliminară este inadmisibilă, pentru motivul că nu identifică în mod clar dispozițiile dreptului Uniunii cu privire la care Curtea este invitată să se pronunțe. Mai mult, cererea poliției judiciare în discuție în litigiul principal nu ar privi interceptarea comunicațiilor efectuate prin intermediul cartelelor SIM activate cu codul IMEI al telefonului mobil furat, ci stabilirea unei legături între aceste cartele și titularii lor, astfel încât confidențialitatea comunicațiilor nu ar fi afectată. Articolul 7 din cartă, vizat de întrebările preliminare, ar fi, așadar, lipsit de relevanță în contextul prezentei cauze.

Potrivit jurisprudenței constante a Curții, numai instanța națională care este sesizată cu soluționarea litigiului și care trebuie să își asume răspunderea pentru hotărârea judecătorească ce urmează a fi pronunțată are competența să aprecieze, luând în considerare particularitățile cauzei, atât necesitatea unei decizii preliminare, pentru a fi în măsură să pronunțe propria hotărâre, cât și pertinența întrebărilor pe care le adresează Curții. În consecință, în cazul în care întrebările adresate privesc interpretarea dreptului Uniunii, Curtea este, în principiu, obligată să se pronunțe. Curtea poate refuza să se pronunțe asupra unei întrebări preliminare adresate de o instanță națională numai atunci când este evident că interpretarea solicitată a dreptului Uniunii nu are nicio legătură cu realitatea sau cu obiectul litigiului principal, atunci când problema este de natură ipotetică sau atunci când Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate (Hotărârea din 10 iulie 2018, Jehovan Todistajat, C‑25/17, EU:C:2018:551, pct. 31 și jurisprudența citată).

În speță, decizia de trimitere conține elemente de fapt și de drept suficiente atât pentru identificarea dispozițiilor de drept al Uniunii vizate de întrebările preliminare, cât și pentru înțelegerea conținutului acestor întrebări. În special, reiese din decizia de trimitere că întrebările preliminare vizează să permită instanței de trimitere să aprecieze dacă și în ce măsură reglementarea națională, pe care se întemeiază cererea poliției judiciare în discuție în litigiul principal, urmărește un obiectiv care este susceptibil să justifice o atingere adusă drepturilor fundamentale consacrate la art. 7 și 8 din cartă. Or, potrivit indicațiilor aceleiași instanțe, această reglementare națională intră în domeniul de aplicare al Directivei 2002/58, astfel încât carta este aplicabilă în cauza principală. Întrebările preliminare prezintă, așadar, un raport direct cu obiectul procedurii principale și, prin urmare, nu pot fi considerate ipotetice.

În aceste condiții, întrebările preliminare sunt admisibile.

Cu privire la fond

Prin intermediul celor două întrebări adresate, care trebuie analizate împreună, instanța de trimitere solicită în esență să se stabilească dacă art. 15 alin. (1) din Directiva 2002/58, citit în lumina art. 7 și 8 din cartă, trebuie interpretat în sensul că accesul unor autorități publice la datele care vizează identificarea titularilor cartelelor SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele și, dacă este cazul, adresa acestor titulari, presupune o ingerință în drepturile fundamentale ale acestora din urmă, consacrate la articolele respective din cartă, care prezintă o asemenea gravitate încât acest acces ar trebui să fie limitat, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, la combaterea infracționalității grave și, în cazul unui răspuns afirmativ, în funcție de ce criterii trebuie să fie apreciată gravitatea infracțiunii în cauză.

În această privință, din decizia de trimitere reiese că, după cum a arătat în esență avocatul general la pct. 38 din concluzii, cererea de decizie preliminară nu vizează să stabilească dacă datele cu caracter personal în discuție în litigiul principal au fost păstrate de furnizorii de servicii de comunicații electronice cu respectarea condițiilor prevăzute la art. 15 alin. (1) din Directiva 2002/58, interpretat în lumina art. 7 și 8 din cartă. Această cerere privește, după cum reiese din cuprinsul pct. 46 din prezenta hotărâre, numai aspectul dacă și în ce măsură obiectivul urmărit de reglementarea în discuție în litigiul principal este susceptibil să justifice accesul unor autorități publice, cum ar fi poliția judiciară, la astfel de date, fără ca celelalte condiții de acces care rezultă din acest art. 15 alin. (1) să facă obiectul respectivei cereri.

În special, această instanță ridică problema elementelor care trebuie luate în considerare pentru a aprecia dacă infracțiunile în raport cu care autoritățile polițienești pot fi autorizate, în scopuri de anchetă, să aibă acces la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice sunt de o gravitate suficientă pentru a justifica ingerința pe care o implică un asemenea acces în drepturile fundamentale garantate la art. 7 și 8 din cartă, astfel cum au fost interpretate de Curte în Hotărârea din 8 aprilie 2014, Digital Rights Ireland și alții (C‑293/12 și C‑594/12, EU:C:2014:238), și în Hotărârea Tele2 Sverige și Watson și alții.

În ceea ce privește existența unei ingerințe în drepturile fundamentale, trebuie amintit că, după cum a arătat avocatul general la pct. 76 și 77 din concluzii, accesul autorităților publice la asemenea date constituie o ingerință în dreptul fundamental la respectarea vieții private, consacrat la art. 7 din cartă, chiar în absența unor împrejurări care permit calificarea acestei ingerințe drept „gravă” și fără a fi relevant dacă informațiile vizate referitoare la viața privată prezintă sau nu prezintă un caracter sensibil sau dacă persoanele interesate au suferit eventuale inconveniente ca urmare a acestei ingerințe. Un astfel de acces constituie, de asemenea, o ingerință în dreptul fundamental la protecția datelor cu caracter personal garantat de art. 8 din cartă, întrucât reprezintă o prelucrare a datelor cu caracter personal [a se vedea în acest sens Avizul 1/15 (Acordul PNR UE-Canada) din 26 iulie 2017, EU:C:2017:592, pct. 124 și 126, precum și jurisprudența citată].

În ceea ce privește obiectivele susceptibile să justifice o reglementare națională precum cea în discuție în litigiul principal, care guvernează accesul autorităților publice la datele păstrate de furnizorii de servicii de comunicații electronice și care derogă, astfel, de la principiul confidențialității comunicațiilor electronice, trebuie amintit că enumerarea obiectivelor care figurează la art. 15 alin. (1) prima teză din Directiva 2002/58 prezintă un caracter exhaustiv, așa încât acest acces trebuie să urmărească în mod efectiv și strict unul dintre aceste obiective (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, pct. 90 și 115).

Or, în ceea ce privește obiectivul prevenirii, cercetării, depistării și urmăririi penale a infracțiunilor, trebuie să se observe că textul art. 15 alin. (1) prima teză din Directiva 2002/58 nu limitează acest obiectiv numai la combaterea infracțiunilor grave, ci se referă la „infracțiuni” în general.

În această privință, Curtea a statuat desigur că, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, numai combaterea infracționalității grave este susceptibilă să justifice un acces al autorităților publice la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice care, considerate în ansamblu, permit deducerea unor concluzii precise privind viața privată a persoanelor ale căror date sunt vizate (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, pct. 99).

Curtea a motivat însă această interpretare prin faptul că obiectivul urmărit de o reglementare care guvernează acest acces trebuie să se raporteze la gravitatea ingerinței în drepturile fundamentale în cauză pe care o determină această operațiune (a se vedea în acest sens Hotărârea Tele2 Sverige și Watson și alții, pct. 115).

Astfel, în conformitate cu principiul proporționalității, o ingerință gravă nu poate fi justificată, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, decât prin obiectivul privind combaterea infracționalității care trebuie calificată drept „gravă” (paragr. 56).

În schimb, dacă ingerința pe care o implică un asemenea acces nu este gravă, respectivul acces este susceptibil să fie justificat de un obiectiv privind prevenirea, investigarea, detectarea și urmărirea penală a unor „infracțiuni” în general (paragr. 57).

Prin urmare, este necesar în primul rând să se stabilească dacă în speță, în funcție de circumstanțele cauzei, ingerința în drepturile fundamentale consacrate la art. 7 și 8 din cartă, pe care ar implica-o un acces al poliției judiciare la datele în discuție în litigiul principal, trebuie considerată ca fiind „gravă”.

În această privință, cererea în discuție în litigiul principal, prin care poliția judiciară solicită, pentru nevoile unei anchete penale, autorizarea judiciară de a avea acces la date cu caracter personal păstrate de furnizorii de servicii de comunicații electronice, are drept unic obiect să identifice titularii cartelelor SIM activate, într‑o perioadă de douăsprezece zile, cu codul IMEI al telefonului mobil furat. Astfel cum s‑a arătat la pct. 40 din prezenta hotărâre, această cerere vizează numai accesul la numerele de telefon corespunzătoare acestor cartele SIM, precum și la datele referitoare la identitatea civilă a titularilor cartelelor menționate, cum ar fi numele, prenumele și, dacă este cazul, adresa lor. În schimb, aceste date nu privesc, după cum au confirmat în ședință atât guvernul spaniol, cât și Ministerul Public, comunicațiile efectuate cu telefonul mobil furat și nici localizarea acestuia.

Rezultă, așadar, că datele vizate de cererea de acces în discuție în litigiul principal permit doar să se pună în legătură, pe o perioadă determinată, cartela sau cartelele SIM activate cu telefonul mobil furat cu identitatea civilă a titularilor acestor cartele SIM. Fără o verificare încrucișată a datelor aferente comunicațiilor efectuate cu respectivele cartele SIM și a datelor de localizare, aceste date nu permit să se cunoască nici data, ora, durata și destinatarii comunicațiilor efectuate cu cartela sau cu cartelele SIM în cauză, nici locurile în care aceste comunicații au avut loc sau frecvența acestora cu anumite persoane într‑o perioadă determinată. Prin urmare, aceste date nu permit să se tragă concluzii precise cu privire la viața privată a persoanelor ale căror date sunt vizate (paragr. 60).

În aceste condiții, accesul doar la datele care fac obiectul cererii în discuție în litigiul principal nu poate fi calificat drept ingerință „gravă” în drepturile fundamentale ale persoanelor ale căror date sunt vizate (paragr. 61).

După cum reiese din cuprinsul pct. 53-57 din prezenta hotărâre, ingerința pe care ar implica‑o un acces la astfel de date este susceptibilă, așadar, să fie justificată de obiectivul privind prevenirea, detectarea, investigarea și urmărirea penală a unor „infracțiuni” în general, la care face trimitere art. 15 alin. (1) prima teză din Directiva 2002/58, fără a fi necesar ca aceste infracțiuni să fie calificate drept „grave”.

Având în vedere considerațiile care precedă, trebuie să se răspundă la întrebările adresate că art. 15 alin. (1) din Directiva 2002/58, citit în lumina art. 7 și 8 din cartă, trebuie interpretat în sensul că accesul unor autorități publice la datele care vizează identificarea titularilor cartelelor SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele și, dacă este cazul, adresa acestor titulari, implică o ingerință în drepturile fundamentale ale acestora din urmă, consacrate la articolele menționate din cartă, care nu prezintă o asemenea gravitate încât acest acces ar trebui să fie limitat, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, la combaterea infracționalității grave.

Pentru aceste motive, Curtea (Marea Cameră) declară:

Articolul 15 alin. (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, citit în lumina art. 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene, trebuie interpretat în sensul că accesul unor autorități publice la datele care vizează identificarea titularilor cartelelor SIM activate cu un telefon mobil furat, cum ar fi numele, prenumele și, dacă este cazul, adresa acestor titulari, implică o ingerință în drepturile fundamentale ale acestora din urmă, consacrate la articolele menționate din Carta drepturilor fundamentale, care nu prezintă o asemenea gravitate încât acest acces ar trebui să fie limitat, în materie de prevenire, de investigare, de detectare și de urmărire penală a infracțiunilor, la combaterea infracționalității grave.

Hotărârea Curții de Justiție a Uniunii Europene (Marea Cameră) în cauza C 207/16 (2 octombrie 2018). Trimitere preliminară. Comunicații electronice. Prelucrarea datelor cu caracter personal. Directiva 2002/58/CE. Articolele 1 și 3. Domeniu de aplicare. Confidențialitatea comunicațiilor electronice. Protecție. Articolul 5 și articolul 15 alineatul (1). Carta drepturilor fundamentale a Uniunii Europene. Articolele 7 și 8. Date prelucrate în legătură cu furnizarea serviciilor de comunicații electronice. Accesul autorităților naționale la date în scopuri de anchetă. Pragul de gravitate a infracțiunii susceptibil să justifice accesul la date was last modified: ianuarie 7th, 2019 by Costache Adrian

Căutare