Despăgubiri pasagerilor aerieni în UEDrept societarLitigii cu profesioniștiCambia, Biletul la ordin și CeculDrept fiscalInsolvențăProtecția consumatorilorDreptul muncii și securității socialeDate, confidențialitate și Cyber SecurityDreptul FamilieiStarea civilăLitigiiExecutare silităDrept ContravenționalDrept PenalDrept execuţional penalDrepturile omuluiDrept European

C‑293/12 și C‑594/12 Digital Rights Ireland

„Comunicații electronice – Directiva 2006/24/CE – Servicii de comunicații electronice accesibile publicului sau de rețele de comunicații publice – Păstrarea datelor generate sau prelucrate în legătură cu furnizarea unor astfel de servicii – Validitate – Articolele 7, 8 și 11 din Carta drepturilor fundamentale a Uniunii Europene”

Tipul şi obiectul: cereri de pronunţare a unor hotărâri preliminare privind validitatea Directivei 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE, formulate în temeiul articolului 267 TFUE de High Court (Irlanda) și de Verfassungsgerichtshof (Austria).

Situaţia de fapt:

Digital Rights a introdus la 11 august 2006 o acțiune la High Court în cadrul căreia susține că este proprietara unui telefon mobil care a fost înregistrat la 3 iunie 2006 și pe care l‑a folosit de la această dată. Aceasta pune în discuție legalitatea măsurilor legislative și administrative naționale referitoare la păstrarea unor date privind comunicațiile electronice și solicită, printre altele, instanței de trimitere să constate nulitatea Directivei 2006/24 și a părții 7 din Legea din 2005 privind justiția penală (infracțiuni de terorism) [Criminal Justice (Terrorist Offences) Act 2005], care prevede că furnizorii de servicii de comunicații telefonice trebuie să păstreze datele aferente acestora din urmă privind traficul și locația pentru o perioadă prevăzută de lege în scopul prevenirii, depistării, cercetării și urmăririi infracțiunilor, precum și al garantării siguranței statului.

Întrucât a considerat că, în lipsa examinării validității Directivei 2006/24, nu este în măsură să se pronunțe asupra întrebărilor referitoare la dreptul național cu care a fost sesizată, High Court a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Restricția privind drepturile reclamantei cu privire la utilizarea telefoniei mobile rezultată din cerințele prevăzute la articolele 3, 4 și 6 din Directiva 2006/24 este incompatibilă cu articolul 5 alineatul (4) TUE prin faptul că este disproporționată, nu este necesară sau este inadecvată pentru îndeplinirea obiectivelor legitime:

a) de a asigura că datele sunt disponibile în vederea cercetării, depistării și urmăririi penale a infracțiunilor grave?

și/sau

b) de a asigura buna funcționare a pieței interne a Uniunii Europene?

2) În special,

a) Directiva 2006/24 este compatibilă cu dreptul cetățenilor de liberă circulație și ședere pe teritoriul statelor membre, prevăzut la articolul 21 TFUE?

b) Directiva 2006/24 este compatibilă cu dreptul la respectarea vieții private prevăzut la articolul 7 din [Carta drepturilor fundamentale a Uniunii Europene, denumită în continuare «carta»)] și la articolul 8 din [CEDO]?

c) Directiva 2006/24/CE este compatibilă cu dreptul la protecția datelor cu caracter personal prevăzut la articolul 8 din cartă?

d) Directiva 2006/24/CE este compatibilă cu dreptul la libertatea de exprimare prevăzut la articolul 11 din cartă și la articolul 10 din [CEDO]?

e) Directiva 2006/24/CE este compatibilă cu dreptul la bună administrare prevăzut la articolul 41 din cartă?

3)În ce măsură tratatele – și în special principiul cooperării loiale prevăzut la articolul 4 alineatul (3) TUE – impun unei instanțe naționale să cerceteze și să analizeze compatibilitatea măsurilor naționale de transpunere a Directivei 2006/24/CE cu drepturile prevăzute de [cartă], inclusiv articolul 7 din aceasta (astfel cum este inspirat din articolul 8 din [CEDO])?”

La originea cererii de decizie preliminară formulate în cauza C‑594/12 se află mai multe acțiuni introduse în fața Verfassungsgerichtshof de Kärntner Landesregierung, precum și, respectiv, de domnii Seitlinger, Tschohl și de alți 11 128 de reclamanți care solicită anularea articolului 102 bis din Legea din 2003 privind telecomunicațiile (Telekommunikationsgesetz 2003), care a fost introdus în legea menționată prin Legea federală de modificare a acesteia (Bundesgesetz, mit dem das Telekommunikationsgesetz 2003 – TKG 2003 geändert wird, BGBl. I, 27/2011) în vederea transpunerii Directivei 2006/24 în dreptul intern austriac. Părțile respective consideră printre altele că acest articol 102 bis încalcă dreptul fundamental al particularilor la protecția datelor lor.

Verfassungsgerichtshof solicită în special să se stabilească dacă Directiva 2006/24 este compatibilă cu carta în măsura în care permite stocarea a numeroase tipuri de date referitoare la un număr nelimitat de persoane pentru o perioadă îndelungată. Păstrarea datelor ar afecta aproape exclusiv persoane al căror comportament nu justifică în niciun fel stocarea datelor care le privesc. Aceste persoane ar fi expuse unui risc ridicat ca autoritățile să investigheze datele lor, să ia cunoștință despre conținutul datelor, să se informeze cu privire la viața lor privată și să utilizeze datele respective în scopuri multiple, ținând seama în special de numărul necuantificabil de persoane care au acces la date într‑o perioadă de cel puțin șase luni. Potrivit instanței de trimitere, există îndoieli, pe de o parte, cu privire la aspectul dacă această directivă este în măsură să atingă obiectivele pe care le urmărește și, pe de altă parte, cu privire la caracterul proporțional al ingerinței în drepturile fundamentale vizate.

În aceste condiții, Verfassungsgerichtshof a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1) Cu privire la validitatea actelor instituțiilor Uniunii:

Articolele 3-9 din Directiva 2006/24 sunt compatibile cu articolele 7, 8 și 11 din [cartă]?

2) Cu privire la interpretarea tratatelor:

a) În lumina explicațiilor cu privire la articolul 8 din cartă care, conform articolului 52 alineatul (7) din cartă, au fost redactate în vederea orientării interpretării [acesteia] și de care Verfassungsgerichtshof trebuie să țină seama în mod corespunzător, Directiva 95/46 și Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date [(JO L 8, p. 1, Ediție specială, 13/vol. 30, p. 142)] trebuie luate în considerare la aprecierea legitimității ingerințelor în același mod precum condițiile prevăzute la articolul 8 alineatul (2) și la articolul 52 alineatul (1) din cartă?

b) Care este raportul dintre «dreptul Uniunii» menționat la articolul 52 alineatul (3) ultima teză din cartă și directivele în materia protecției datelor?

c) Având în vedere condițiile și restricțiile pe care le conțin Directiva 95/46 și Regulamentul […] nr. 45/2001 în ceea ce privește exercitarea dreptului fundamental la protecția datelor prevăzut de cartă, la interpretarea articolului 8 din [aceasta] trebuie să se țină seama de modificările care decurg din dreptul derivat adoptat ulterior?

d) Ținând seama de articolul 52 alineatul (4) din cartă, principiul respectării nivelului mai ridicat de protecție prevăzut la articolul 53 din cartă are drept consecință faptul că trebuie avute în vedere criterii mai restrictive decât cele prevăzute [de aceasta din urmă] la aprecierea legitimității limitărilor stabilite prin dreptul derivat?

e) Având în vedere articolul 52 alineatul (3) din cartă, al cincilea paragraf din preambul și explicațiile cu privire la articolul 7 din [aceasta], conform cărora drepturile garantate de articolul 7 menționat corespund drepturilor consacrate la articolul 8 din CEDO, se pot reține din jurisprudența Curții Europene a Drepturilor Omului referitoare la articolul 8 din CEDO criterii pentru interpretarea articolului 8 din cartă care influențează interpretarea acestui din urmă articol?”

Prin Ordonanța președintelui Curții din 11 iunie 2013, cauzele C‑293/12 și C‑594/12 au fost conexate pentru buna desfășurare a procedurii orale și în vederea pronunțării hotărârii.

Motivarea instanţei comunitare:

Mai întâi, Curtea constată că datele care trebuie păstrate permit, printre altele, (1) să se cunoască cu ce persoană şi prin ce modalitate a comunicat un abonat sau un utilizator înregistrat, (2) să se determine durata comunicării, precum şi locul de unde aceasta a avut loc şi (3) să cunoască frecvenţa comunicaţiilor abonatului sau a utilizatorului înregistrat cu anumite persoane într-o perioadă determinată. Aceste date, considerate în ansamblul lor, pot furniza indicaţii precise cu privire la viaţa privată a persoanelor ale căror date sunt păstrate, cum sunt obiceiurile din viaţa cotidiană, locurile de şedere permanente sau temporare, deplasările zilnice sau alte tipuri de deplasări, activităţile desfăşurate, relaţiile sociale şi mediile sociale frecventate.

Curtea consideră că prin impunerea păstrării acestor date şi permiţând accesul autorităţilor naţionale competente, directiva reprezintă o imixtiune deosebit de gravă în drepturile fundamentale la respectarea vieţii private şi la protecţia datelor cu caracter personal. În plus, faptul că păstrarea şi utilizarea ulterioară a datelor sunt efectuate fără ca abonatul sau utilizatorul înregistrat să fie informat poate da persoanelor vizate sentimentul că viaţa lor privată este obiectul unei supravegheri constante.

În continuare, Curtea analizează dacă o astfel de ingerinţă în drepturile fundamentale în discuţie este justificată.

Aceasta constată că păstrarea datelor impusă de directivă nu este de natură să aducă atingere conţinutului esenţial al drepturilor fundamentale la respectarea vieţii private şi la protecţia datelor cu caracter personal. Astfel, directiva nu permite să se ia la cunoştinţă conţinutul comunicaţiilor electronice ca atare şi prevede că prestatorii de servicii sau furnizorii reţelelor trebuie să respecte anumite principii privind protecţia şi securitatea datelor.

În plus, păstrarea datelor în vederea transmiterii lor eventuale la autorităţile naţionale competente răspunde efectiv unui obiectiv de interes general, şi anume combaterea criminalităţii grave, precum şi, de altfel, siguranţa publică.

Cu toate acestea, Curtea consideră că prin adoptarea directivei privind păstrarea datelor, legiuitorul Uniunii a depăşit limitele impuse de respectarea principiului proporţionalităţii.

În această privinţă, Curtea observă că, ţinând cont, pe de o parte, de rolul important pe care îl are protecţia datelor cu caracter personal în raport cu dreptul fundamental la respectarea vieţii private şi, pe de altă parte, de amploarea şi de gravitatea ingerinţei în acest drept pe care o conţine directiva, puterea de apreciere a legiuitorului Uniunii se diminuează, astfel încât se impune efectuarea unui control strict.

Deşi se poate considera că păstrarea datelor impusă de directivă este aptă să realizeze obiectivul urmărit de aceasta, ingerinţa amplă şi deosebit de gravă în drepturile fundamentale în cauză nu este suficient delimitată pentru a garanta că ingerinţa respectivă se limitează efectiv la strictul necesar.

Astfel, în primul rând, directiva vizează în mod generalizat toate persoanele, mijloacele de comunicare electronică şi datele privind traficul fără ca nicio diferenţiere, limitare sau excepţie să fie operată în funcţie de obiectivul combaterii infracţiunilor grave.

În al doilea rând, directiva nu prevede niciun criteriu obiectiv care să permită garantarea faptului că autorităţile naţionale competente nu au acces la date şi că nu pot să le utilizeze decât în scopul prevenirii, depistării şi urmăririi penale a infracţiunilor care pot fi considerate, în raport cu amploarea şi cu gravitatea ingerinţei în drepturile fundamentale în cauză, ca fiind suficient de grave pentru a justifica o astfel de ingerinţă. Dimpotrivă, directiva se limitează să facă trimitere, în termeni generali, la „infracţiuni grave" definite de fiecare stat membru în dreptul intern. În plus, directiva nu prevede condiţii materiale şi procedurale în care autorităţile naţionale competente pot avea acces la date şi le pot utiliza ulterior. Accesul la date nu este condiţionat de controlul prealabil al unei instanţe sau al unei entităţi administrative independente.

În al treilea rând, în ceea ce priveşte durata păstrării datelor, directiva impune o durată de cel puţin 6 luni fără a distinge între categoriile de date în funcţie de persoanele vizate sau de utilizarea eventuală a datelor în raport cu obiectivul urmărit. În plus, această durată poate fi de la 6 luni până la maximum 24 de luni, fără ca directiva să precizeze criteriile obiective pe baza cărora durata păstrării trebuie să fie stabilită pentru a garanta limitarea sa la strictul necesar.

Pe de altă parte, Curtea constată că directiva nu prevede garanţii suficiente care să permită asigurarea unei protecţii eficiente a datelor faţă de riscurile de abuz, precum şi faţă de orice accesare şi utilizare ilicită a datelor. Aceasta arată, printre altele, că directiva autorizează prestatorii de servicii să ţină cont de consideraţiile economice atunci când stabilesc nivelul de siguranţă pe care îl aplică (în special în ceea ce priveşte costurile aplicării măsurilor de siguranţă) şi că directiva nu garantează distrugerea definitivă a datelor la sfârşitul perioadei de păstrare.

În sfârşit, Curtea critică faptul că directiva nu impune ca datele să fie păstrate pe teritoriul Uniunii. Astfel, directiva nu garantează pe deplin controlul respectării cerinţelor privind protecţia şi securitatea de către o autoritate independentă, astfel cum impune totuşi în mod explicit Carta. Or, un astfel de control, efectuat în temeiul dreptului Uniunii, constituie un element esenţial al respectării protecţiei persoanelor în raport cu administrarea datelor cu caracter personal.

Soluţia instanţei comunitare:

Directiva 2006/24/CE a Parlamentului European și a Consiliului din 15 martie 2006 privind păstrarea datelor generate sau prelucrate în legătură cu furnizarea serviciilor de comunicații electronice accesibile publicului sau de rețele de comunicații publice și de modificare a Directivei 2002/58/CE este nevalidă.