Observatii la Proiectul de lege privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicatii electronice destinate publicului sau de retele publice de comunicatii
Ca un principiu general, organizatiile semnatare ale prezentului document au aratat in repetate randuri, inclusiv prin luari de pozitie publice la nivelul Uniunii Europene, ca Directiva Europeana 2006/24/EC privind pastrarea datelor de trafic informational constituie o incalcare a dreptului la viata privata al cetatenilor .
In Romania, decizia Curtii Constitutionale din 8 octombrie 2009 a declarat o lege similara prezentului proiect ca fiind neconstitutionala. Argumentele Curtii s-au bazat in principal pe incalcarea dreptului la viata privata prin obligatia general aplicabila de a pastra date care sunt legate in mod direct de comunicatiile private ale tuturor cetatenilor. Curtea Constituţionala subliniaza ca nu utilizarea justificata, in condiţiile reglementate de Legea nr.298/2008, este cea care, in sine, prejudiciaza intr-un mod neacceptabil exercitarea dreptului la viaţa intima sau libertatea de exprimare, ci obligaţia legala cu caracter continuu, general aplicabila, de stocare a datelor. Aceasta operaţiune priveşte in egala masura pe toţi destinatarii legii, indiferent daca au savarşit sau nu fapte penale sau daca sunt sau nu subiectul unor anchete penale, ceea ce este de natura sa rastoarne prezumţia de nevinovaţie şi sa transforme a priori toţi utilizatorii serviciilor de comunicaţii electronice sau de reţele publice de comunicaţii in persoane susceptibile de savarşirea unor infracţiuni de terorism sau a unor infracţiuni grave. Or, Legea nr.298/2008, deşi utilizeaza noţiuni şi proceduri specifice dreptului penal, are o larga aplicabilitate – practic, asupra tuturor persoanelor fizice şi juridice utilizatoare ale serviciilor de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, astfel ca nu poate fi considerata ca fiind conforma prevederilor din Constituţie şi din Convenţia pentru apararea drepturilor omului şi a libertaţilor fundamentale referitoare la garantarea drepturilor la viaţa intima, la secretul corespondenţei şi la libera exprimare.
Aceasta problema fundamentala, inerenta directivei actuale, nu este rezolvata de catre prezentul proiect, astfel incat opinia noastra este ca prezentul proiect ar trebui declarat neconstituţional de catre Curtea Constitutionala a Romaniei.
De asemenea, Comisia Europeana a anuntat deja ca va propune revizuirea directivei, procesul de dezbatere urmand a fi declansat in septembrie 2011. Consideram ca autoritatile romane ar fi trebuit si inca trebuie sa ia o pozitie publica cu privire la Directiva, afirmand in mod ferm necesitatea revizuirii acesteia in sensul respectarii dreptului la viata privata al cetatenilor europeni. In contextul in care alte autoritati din alte state (ultima ar fi Senatul olandez ) au fost extrem de ferme in acest sens, Romania trebuie sa ia o atitudine consecventa cu decizia Curtii Constitutionale si sa militeze la nivel European pentru anularea Directivei.
Mai mult, consideram ca autoritatile romane ar trebui sa refuze implementarea acestei directive, chiar cu riscul declansarii de catre Comisia Europeana a unei proceduri de infringement impotriva Romaniei. In Germania, un calcul a aratat ca statul ar plati o amenda de 86 de eurocenti/an pe cetatean in cazul neaplicarii acestei Directive . Statul roman s-ar asigura astfel ca nu implementeaza o masura nepopulara si nedemocratica si ar deveni un actor cu o voce puternica la nivelul politicilor europene, mai ales in conditiile in care soarta acestei Directive pe termen lung este inca neclara, cu un proces pe rol din Irlanda la Curtea Europeana de Justitie, cu o procedura de revizuire la nivelul Comisiei si cu presiunile in directia revizuirii sau anularii venite din partea statelor membre si a Parlamentului European. Mai mult decat atat, dincolo de problemele legate de drepturile omului, costul direct al implementarii acestei directive platit de cetatenii romani, prin operatorii de comunicatii care vor fi obligati sa implementeze aceasta lege ar fi mai mult mai mare fata de costul unei evenutale amenzi.
Comentariile concrete pe proiect
Cu toate aceastea, avand in vedere cele reiterate in cadrul dezbaterii publice din 26 iulie 2011 prezentam si cateva observatii si comentarii concrete pe marginea proiectul de lege supus spre dezbatere publica de catre Ministerul Comunicatiilor si Tehnologiei Informatiilor.
0. Legea speciala pentru toate cazurile de acces la datele de trafic
Prezentul proiect trebuie sa devina singura procedura speciala prin care se poate obtine acces la datele de trafic retinute de catre operatori de comunicatii. In caz contrar, va continua sa planeze o incertitudine atat pentru operatorii de comunicatii electronice, cat si pentru actorii din sistemul juridic cu privire la legea si practica aplicabila intr-un caz sau altul, in functie de infractiunea cercetata. Concret, aceasta va putea determina imposibilitatea de a folosi anumite probe in cadrul procesului penal. Mai mult, ne vom putea afla in situatia unei reglementari mai dure (adica cu garantii sporite pentru respectarea drepturilor omului) pentru accesul la datele de trafic pentru infractiunile grave decat pentru cele care nu sunt grave, ceea ce ar fi contrar logicii.
Astfel propunem introducerea unui alineat inainte de art. 1 alin. (3) cu urmatoarea formulare:
”Prezenta lege reprezinta singura procedura legala de acces la datele de trafic informational ale operatorilor de comunicatii electronice de catre autoritatile judiciare competente pentru prevenirea, cercetarea, descoperirea şi urmarirea infractiunilor. Datele de trafic informational stocate de catre operatorii de comunicatii electronice nu vor putea fi folosite in alt scop decat cel prevazut in mod expres in art. 1 alin. (1)”.
1. Exceptii de la implementare
Dupa cum s-a discutat in consultarea publica din 26.07.2011, estimam ca toate costurile legate de implementarea acestei legi au sanse mari de distorsionare a pietei comunicatiilor, in special pentru operatorii mici si mijlocii de servicii de acces la Internet. Avand in vedere si experienta altor state in acest sens (vezi Marea Britanie), recomandam excluderea operatorilor de comunicatii electronice care au sub 100 000 de abonati de la implementarea acestei legi.
In plus, pentru ca legea 298/2008 a creat o serie de neclaritati in ceea ce priveste cine are obligatiile de stocare, sugeram includerea unui articol de clarificare, de genul:
” Prezentul act normativ nu se aplica operatorilor de comunicatii electronice private si nici furnizorilor de servicii ale societaţii informationale”
2. Securitatea datelor reţinute
In vederea asigurarii proporţionalitaţii masurilor de reţinere a datelor şi garantarii protecţiei drepturilor şi libertaţilor fundamentale ale indivizilor faţa de accesarea, fara drept şi in afara cadrului legal stabilit prin prezentul proiect de lege, a datelor reţinute de catre furnizori, sunt necesare garanţii legale referitoare la securitatea acestor date.
a) Deşi art.13 al proiectului de lege işi propune sa abordeze problema securitaţii datelor reţinute, consideram ca actualele prevederi nu sunt suficiente pentru scopul urmarit, intrucat nu exista nicio garanţie ca protecţia şi securitatea utilizata la nivelul furnizorilor de reţele de comunicaţii electronice este suficienta pentru asigurarea securitaţii datelor reţinute, iar termenul „corespunzatoare” din formularea „masuri tehnice şi organizatorice corespunzatoare” este destul de vag. Consideram ca stabilirea naturii şi gradului masurilor de protecţie in vederea garantarii securitaţii datelor reţinute nu trebuie lasata exclusiv in sarcina furnizorilor, fara o forma de supraveghere din partea unei autoritaţi competente (a se vedea, in acest sens, Decizia Curţii Constituţionale a Germaniei in legatura cu neconstituţionalitatea prevederilor legale referitoare la reţinerea datelor ).
Astfel propunem introducerea in textul legii a unor prevederi clare care pot asigura securitatea colectarii si pastrarii datelor, cum ar fi:
• pastrarea datelor de trafic retinute in conformitate cu prezenta lege intr-un sistem informatic independent fata de sistemele actuale de operare ale operatorilor de comunicatii electronice si neinterconectat pentru fiecare operator de comunicatii electronice in parte;
• obligativitatea unui audit anual independent de securitate al acestui sistem informatic, care sa fie trimis Autoritaţii Naţionale de Supraveghere a Prelucrarii Datelor cu Caracter Personal si publicat de aceasta pe site-ul propriu;
• obligativitatea unui audit anual de respectare a vietii private cu privire la ansamblul procedurilor adoptate de catre fiecare operator in conformitate cu aplicarea legii 677/2001 si respectarea art XX din Constitutie, care sa fie trimis Autoritaţii Naţionale de Supraveghere a Prelucrarii Datelor cu Caracter Personal si publicat de aceasta pe site-ul propriu;
• pastrarea datelor de trafic stocate intr-un format care sa nu permita citirea lor directa (criptare);
• accesul la sistemul informatic sa se poate face doar de catre personalul special autorizat al operatorului, care trebuie sa extraga doar datele cerute in baza cererii scrise a autoritatilor judiciare competente. Toate incercarile de acces (reusite sau nu) la acest sistem informatic trebuie inregistrate pe un suport informatic nealterabil, ca si tipul de date extrase;
• datele extrase sa poata fi trimise doar in formatul original, criptat si printr-un mediu de comunicare securizat.
Aceste obligatii (care sa fie mentionate intr-un nou alineat in completarea art.13), trebuie sa fie detaliate de catre Autoritatea Naţionala pentru Administrare şi Reglementare in Comunicaţii şi/sau Autoritatea Naţionala de Supraveghere a Prelucrarii Datelor cu Caracter Personal prin norme referitoare la masurile de securitate care ar urma sa fie aplicate de catre furnizori cu privire la datele reţinute in baza legii. In elaborarea acestor norme, autoritatea/autoritaţile ar urma sa consulte furnizorii, precum şi alţi actori interesaţi. Autoritatea trebuie sa poata verifica respectarea normelor stabilite iniţial şi sa poata aplica sancţiuni in cazul incalcarii respectivelor norme.
b) Avand in vedere faptul ca securitatea datelor reţinute poate fi periclitata şi in momentul transmiterii acestora de la furnizori catre autoritaţile competente, dar si cand acestea sunt in posesia autoritatilor competente, consideram necesara şi stabilirea unor norme referitoare la masurile de securitate aplicabile in acest caz, similare cu cele de mai sus. Astfel de norme ar putea fi detaliate tot de catre autoritatea/autoritaţile menţionate mai sus, iar implementarea lor ar urma sa fie obligatorie.
c) De asemenea, atragem atenţia asupra faptului ca proiectul de lege nu menţioneaza ce se intampla cu datele puse la dispoziţia autoritaţilor competente, in ce condiţii aceste date sunt stocate (in vederea asigurarii securitaţii) şi ce se intampla cu ele dupa ce au servit scopului pentru care au fost solicitate furnizorilor (daca sunt şterse sau daca sunt arhivate şi in ce condiţii). Astfel de prevederi existau in Legea nr.298/2008, dar au fost eliminate din noul proiect de lege şi consideram necesara reintroducerea lor.
3. Accesul la datele reţinute
In decizia Curţii Constituţionale se menţioneaza ca “garanţiile legale privind utilizarea in concret a datelor reţinute - referitoare la excluderea conţinutului ca obiect al stocarii datelor, la autorizarea motivata şi prealabila a preşedintelui instanţei competente sa judece fapta pentru care s-a inceput urmarirea penala – nu sunt suficiente şi adecvate, astfel incat sa indeparteze teama ca drepturile personale, de natura intima, nu sunt violate, astfel incat manifestarea acestora sa aiba loc intr-o maniera acceptabila”.
Observam ca proiectul de lege nu doar ca nu conţine soluţii pentru problemele semnalate, dar agraveaza situaţia prin eliminarea parţiala a garanţiilor (chiar daca insuficiente) oferite prin legea abrogata. Astfel, prevederile din art.16 din Legea nr.298/2008 referitoare la procedurile de solicitare, de catre autoritaţile competente, a transmiterii de date reţinute şi de emitere a autorizaţiei de solicitare a datelor reţinute nu mai apar in noul proiect de lege, fiind inlocuite cu o prevedere vaga (alin.1 al art.6), conform careia furnizorii sunt obligaţi sa transmita datele reţinute potrivit legii “la solicitarea organelor judiciare sau a organelor cu atribuţii de siguranţa şi securitate naţionala, in baza autorizaţiilor emise potrivit legii […] fiind aplicabile dispoziţiile din Codul de procedura penala şi cele din legile speciale in materie.” Nu se specifica, insa, care sunt aceste dispoziţii (daca ele exista) şi legi care ar urma sa se aplice.
Menţionam ca varianta in vigoare a Codului de Procedura Penala nu conţine prevederi clare referitoare la procedurile aferente accesarii datelor de trafic şi de localizare a persoanelor fizice şi juridice reţinute de catre furnizorii de reţele publice de comunicaţii şi furnizori de servicii de comunicaţii electronice destinate publicului.
In aceste condiţii, şi pentru a raspunde observaţiilor formulate de catre Curtea Constituţionala, care considera ca „reglementarea cat mai exacta a domeniului de aplicare a legii [...] este cu atat mai necesara, avand in vedere, in special, natura complexa a drepturilor supuse limitarii, precum şi consecinţele pe care un eventual abuz al autoritaţilor publice le-ar putea avea asupra vieţii intime a destinatarilor sai, astfel cum aceasta este perceputa la nivelul subiectiv al fiecarui individ”, propunem introducerea unor prevederi care sa reglementeze urmatoarele aspecte:
• acces la date - accesul la datele reţinute sa fie posibil doar in cazul in care exista o suspiciune rezonabila cu privire la pregatirea sau savarşirea unei infracţiuni grave, aşa cum acestea este definita la lit.f), alin.(1) al art.2, iar masura sa fie proporţionala cu restrangerea drepturilor şi libertaţilor fundamentale (a se vedea, in acest sens, alin.1 al art.139 din Codul de Procedura Penala);
• stabilirea cu exactitate a procedurii aferente emiterii autorizaţiei in baza careia se autoritaţile competente pot solicita accesul la datele reţinute. In acest scop pot fi avute in vedere prevederile fostului art.16 din Legea nr.298/2008.
• transparenţa - informarea persoanelor vizate in legatura cu accesarea şi utilizarea, de catre autoritaţile competente, a datelor reţinute. Accesarea şi utilizarea datelor reţinute fara informarea persoanei vizate ar urma sa fie posibila doar in cazul in care o astfel de notificare ar aduce atingere scopului investigaţiei (ar putea fi cazul investigaţiilor desfaşurate de catre organele de stat cu atribuţii in domeniul siguranţei şi securitaţii naţionale). In cazul investigaţiilor de natura penala, accesarea şi utilizarea datelor reţinute fara informarea persoanei vizate ar urma sa fie posibila doar in baza unei autorizaţii in acest sens din partea unui organ judiciar competent. In aceste cazuri, ar trebui introdusa obligaţia notificarii ulterioare (la finalizarea investigaţiei) a persoanei vizate.
Totodata, avand in vedere necesitatea introducerii de garanţii referitoare la protecţia persoanelor in ceea ce priveşte accesarea datelor reţinute de catre furnizori, consideram necesara reintroducerea, in cuprinsul proiectului de lege, a prevederilor existente in cuprinsul alin.(1) al art.19 din Legea nr.298/2008: “orice accesare intenţionata sau transfer al datelor pastrate in conformitate cu prezenta lege, fara autorizare, constituie infracţiune şi se pedepseşte cu inchisoare de la un an la 5 ani”.
4. Distrugerea datelor reţinute, la sfarşitul perioadei de reţinere
Alin.(3) al art.12 din proiectul de lege prevede ca, „la sfarşitul perioadei de reţinere, toate datele reţinute exlusiv in temeiul prezente legi, cu excepţia datelor conservate conform legii, puse la dispoziţia autoritaţilor competente, potrivit legii, trebuie sa fie distruse prin proceduri automatizate, ireversibil.”
Consideram ca, din moment ce anumite date au fost puse la dispoziţia autoritaţilor competente, aflandu-se, deci, in posesia acestora, ele pot fi şterse, la finalul perioadei de reţinere, de catre furnizorii de servicii reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului.
5. Terminologia utilizata
Referitor la terminologia utilizata in cuprinsul proiectului de lege, atragem atenţia asupra urmatoarelor aspecte:
• La art.1 alin.(1) se foloseşte sintagma „organe de stat cu atribuţii in domeniul siguranţei naţionale”, in timp ce la art.16 alin.(1) apare sintagma „organe cu atribuţii de siguranţa şi securitate naţionala”.
Aceasta formulare a fost criticata de ApTI inca de la prima varianta de proiect din 2007 si ne pastram opinia cu privire la ”textul lacunar in ceea ce priveste situatia similara in care accesul este facut de “organele abilitate prin legile care reglementeaza activitatea de realizare a securitaţii naţionale” fara nici o precizare suplimentara in acest sens. Credem ca se impune o explicitare a acestora si a situatiilor precise in care exista acces la aceste date, ca si un control judiciar al acestui tip de acces la datele referitoare la traficul informational”.
De altfel si Curtea Connstitutionala a constatat acelasi aspect cu privire la art. 20 (”aceeaşi maniera ambigua de redactare, neconforma cu normele de tehnica legislativa, in ceea ce priveşte dispoziţiile art.20 din Legea nr.298/2008”).
Pentru evitarea confuziilor in interpretarea prevederilor prezentului proiect de lege, este necesara convenirea folosirii unei singure sintagme care sa desemneze autoritaţile din domeniul siguranţei şi securitaţii naţionale si explicitarea clara a acestora, ca si a ”legilor speciale in materie” la care se face referire.
• Deşi in titlul proiectului se foloseşte sintagma „furnizori de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii”, in textul proiectului apar sintagmele „furnizori de servicii şi reţele publice de comunicaţii electronice” şi „furnizori de reţele publice de comunicaţii şi furnizori de servicii de comunicaţii electronice destinate publicului”. Avand in vedere faptul ca legea ar urma sa se aplice atat furnizorilor de servicii cat şi furnizorilor de reţele, precum şi faptul ca in legislaţia in vigoare in domeniul comunicaţiilor electronice se foloseşte sintagma „furnizori de reţele publice de comunicaţii şi furnizori de servicii de comunicaţii electronice destinate publicului” (a se vedea, spre exemplu, Legea nr.304/2003 pentru serviciul universal şi drepturile utilizatorilor cu privire la reţelele şi serviciile de comunicaţii electronice, republicata), propunem utilizarea pe intreg parcursul legii a acestei sintagme.
Semnatari:
ActiveWatch – Agentia de Monitorizare a Presei
Asociatia pentru Apararea Drepturilor Omului in Romania – Comitetul Helsinki (APADOR-CH)
Asociatia pentru Tehnologie şi Internet (APTI)
Centrul pentru Jurnalism Independent (CJI)
Bucuresti
3 august 2011
“Pastrarea datelor de trafic trebuie sa fie oprita in Europa - Scrisoare deschisa catre institutiile europene - 26 ianuarie 2011” – www.activewatch.ro, www.apti.ro.
DECIZIA Nr.1.258 din 8 octombrie 2009 referitoare la excepţia de neconstituţionalitate a prevederilor Legii nr.298/2008 privind reţinerea datelor generate sau prelucrate de furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii, precum şi pentru modificarea Legii nr.506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private in sectorul comunicaţiilor electronice; Publicata in Monitorul Oficial nr.798 din 23.11.2009.
Vezi detalii in limba engleza la http://www.edri.org/edrigram/number9.14/dutch-senate-data-retention-evaluation
Detalii in limba engleza la http://www.vorratsdatenspeicherung.de/content/view/471/79/lang,en/
http://www.bundesverfassungsgericht.de/pressemitteilungen/bvg10-011en.html
Text integral disponibil la http://apti.ro/sites/default/files/20070509_opinie_APTI_legedatetrafic.pdf
http://economie.hotnews.ro/stiri-telecom-9663440-ong-uri-romania-trebui-nu-adopte-asa-numita-lege-big-brother-chiar-pretul-unei-sanctiuni-bruxelles-legea-transforma-priori-toti-utilizatorii-comunicatii-posibili-infractori.htm