MONITORUL OFICIAL AL ROMÂNIEI

 

P A R T E A  I

Anul 187 (XXXI) - Nr. 1         LEGI, DECRETE, HOTĂRÂRI ŞI ALTE ACTE         Joi, 3 ianuarie 2019

 

SUMAR

 

DECIZII ALE CURŢII CONSTITUŢIONALE

 

Decizia nr. 737 din 20 noiembrie 2018 referitoare la obiecţia de neconstituţionalitate a Legii privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, în ansamblul său, precum şi, în special, a dispoziţiilor art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din aceasta

DECIZII ALE CURŢII CONSTITUŢIONALE

 

CURTEA CONSTITUŢIONALA

 

DECIZIA Nr. 737

din 20 noiembrie 2018

referitoare la obiecţia de neconstituţionalitate a Legii privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, în ansamblul său, precum şi, în special, a dispoziţiilor art. 12 alin. (1)-(5), art. 13, art. 14,

art. 15 alin. (1)-(5) şi art. 16 din aceasta

 

Valer Dorneanu - preşedinte

Marian Enache - judecător

Petre Lăzăroiu - judecător

Mircea Ştefan Minea - judecător

Daniel-Marius Morar - judecător

Mona-Maria Pivniceru - judecător

Livia Doina Stanciu - judecător

Simona-Maya Teodoroiu - judecător

Varga Attila - judecător

Mihaela Ionescu - magistrat-asistent

 

1. Pe rol se află soluţionarea obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, sesizare formulată de un număr de 63 de deputaţi aparţinând Grupului parlamentar al Partidului Naţional Liberal.

2. Obiecţia de neconstituţionalitate a fost formulată în temeiul art. 146 lit. a) din Constituţie şi al art. 15 din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, a fost înregistrată la Curtea Constituţională cu nr, 8.716 din 16 octombrie 2018 şi constituie obiectul Dosarului nr. 1.569A/2018, La sesizare au fost anexate Legea privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, precum şi Raportul asupra proiectului de Lege privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, din data de 18 septembrie 2018, al Comisiei juridice, de disciplină şi imunităţi.

3. În motivarea obiecţiei de neconstituţionalitate autorii acesteia formulează precizări prealabile prin care prezintă situaţia de fapt premergătoare adoptării Legii privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date. Astfel, arată că legea care face obiectul sesizării a fost înregistrată la Senatul României cu indicativul BP171 din 11.04.2018, sub denumirea „Proiect de Lege privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date", de către doi senatori aparţinând Grupului parlamentar al Partidului Social Democrat. Potrivit fişei de prezentare aflate pe site-ul Camerei Deputaţilor, prin conţinutul său normativ, iniţiativa legislativă face parte din categoria legilor ordinare, aflată în procedură de urgenţă. De asemenea, conform Expunerii de motive, proiectul de lege are ca obiect de reglementare stabilirea protecţiei persoanelor fizice referitoare la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date.

4. Totodată, se reţine că prin intervenţiile legislative propuse se urmăreşte transpunerea prevederilor Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, urmând a fi abrogată Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, prin care este reglementat acest domeniu în prezent.

5. Cât priveşte derularea procedurii legislative, se arată că iniţiativa legislativă a primit, în data de 10 mai 2018, aviz favorabil din partea Consiliului Economic şi Social. Consiliul Legislativ a avizat favorabil propunerea legislativă, cu unele observaţii şi sugestii, în data de 18 mai 2018. Guvernul României a transmis, în 6 iunie 2018, un punct de vedere prin care susţine adoptarea acestei iniţiative, sub rezerva preluării amendamentelor propuse. în aceste condiţii, Senatul a adoptat iniţiativa legislativă în data de 5 iulie 2018, cu respectarea prevederilor art. 76 alin. (2) din Constituţia României, iar, în data de 3 septembrie 2018, propunerea legislativă a fost înregistrată la Camera Deputaţilor. în continuare, după ce a primit avize favorabile de la Comisia pentru drepturile omului, culte şi problemele minorităţilor naţionale, de la Comisia pentru apărare, ordine publică şi siguranţă naţională şi de la Comisia pentru tehnologia informaţiei şi comunicaţiilor, în data de 18 septembrie 2018, Comisia juridică, de disciplină şi imunităţi a transmis raportul de adoptare a respectivei iniţiative, menţionându-se că, „în raport cu obiectul şi conţinutul său, iniţiativa legislativă face parte din categoria «legilor organice»”. însă, în data de 24 septembrie, Comisia juridică, de disciplină şi imunităţi a revenit cu o adresă către Biroul permanent al Camerei Deputaţilor, precizând că „iniţiativa legislativă se încadrează în prevederile art. 92 alin. (9) pct. 1 din Regulamentul Camerei Deputaţilor, republicat, cu modificări şi completări, respectiv este o lege ordinară, astfel cum este precizat în Avizul Consiliului Legislativ nr. 475 din 16 mai 2018”. în data de 2 octombrie 2018, proiectul de lege a fost înscris pe ordinea de zi a plenului Camerei Deputaţilor, iar în data de 10 octombrie 2018 a fost adoptat de Camera Deputaţilor.

6. În continuare, autorii sesizării formulează critici de neconstituţionalitate extrinsecă şi critici de neconstituţionalitate intrinsecă.

7. Criticile de neconstituţionalitate extrinsecă vizează încălcarea dispoziţiilor constituţionale ale art. 1 alin. (3) cu referire la principiul securităţii raporturilor juridice, prin aceea că legea criticată, cu caracter ordinar, modifică, implicit, dispoziţiile art. 145 din Legea nr. 135/2010 privind Codul de procedură penală, lege cu caracter organic.

8. Conform art. 58 alin. (3) din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, „evenimentele legislative pot fi dispuse prin acte normative ulterioare de acelaşi nivel sau de nivel superior, având ca obiect exclusiv evenimentul respectiv, dar şi prin alte acte normative care, în principal, reglementează o anumită problematică, iar ca măsură conexă dispun asemenea evenimente pentru a asigura corelarea celor două acte normative interferenţe”. Prin urmare, legea criticată trebuie să fie încadrată în procedura legislativă ca lege organică, şi nu ca lege ordinară, deoarece obiectul de reglementare vizează modificarea implicită a Codului de procedură penală. Or, Codul de procedură penală este o lege organică. Comisia juridică, de disciplină şi imunităţi a constatat, în raportul transmis în data de 18 septembrie 2018 către Biroul permanent al Camerei Deputaţilor, că legea are caracter organic. Ulterior, prin Adresa din data de 24 septembrie 2018, comunicată aceluiaşi birou permanent, Comisia juridică, de disciplină şi imunităţi a revenit asupra caracterului organic, precizând că această lege are caracter ordinar. Autorii sesizării menţionează că această din urmă adresă nu a fost supusă dezbaterii şi aprobării Comisiei juridice, de disciplină şi imunităţi.

9. Se susţine aşadar că legea supusă controlului de constituţionalitate interferează cu art. 145 din Codul de procedură penală, articol faţă de care creează un conflict de legi, aşa încât, pe cale de consecinţă, încălcarea art. 58 alin. (3) din Legea nr. 24/2000 atrage neconstituţionalitatea legii în ansamblul său. în concluzie, autorii sesizării solicită să se constate că legea criticată este neconformă cu dispoziţiile art. 1 alin. (3) din Legea fundamentală.

10. Criticile de neconstituţionalitate intrinsecă sunt formulate în legătură cu prevederile art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din legea supusă controlului şi vizează nerespectarea dispoziţiilor constituţionale ale art. 1 alin. (3), cu referire la principiul securităţii raporturilor juridice, şi ale art. 1 alin. (5), care consacră principiul constituţional al legalităţii.

11. În acest sens se arată că legea supusă controlului de constituţionalitate transpune în dreptul intern Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului. în conformitate cu punctul 33 din preambulul Directivei (UE) 2016/680, „Atunci când prezenta directivă face trimitere la dreptul intern, la un temei juridic sau la o măsură legislativă, aceasta nu necesită neapărat un act legislativ adoptat de către un parlament, fără a aduce atingere cerinţelor care decurg din ordinea constituţională a statului membru în cauză. Cu toate acestea, dreptul intern, temeiul juridic sau măsura legislativă în cauză ar trebui să fie dare şi precise, iar aplicarea să fie previzibilă destinatarilor, în conformitate cu jurisprudenţa Curţii de Justiţie şi a Curţii Europene a Drepturilor Omului.”  Conform art. 15 alin. (1) din Directiva (UE) 2016/680, „Statele membre pot adopta măsuri legislative care limitează, integral sau parţial, dreptul de acces al persoanei vizate în măsura şi atât timp cât o astfel de limitare, parţială sau totală, constituie o măsură necesară şi proporţională într-o societate democratică, ţinându-se seama de drepturile fundamentale şi de interesele legitime ale respectivei persoane fizice, pentru: (a) evitarea obstrucţionării cercetărilor; anchetelor sau procedurilor oficiale sau juridice; (b) a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau executarea pedepselor; (c) protejarea securităţii publice; (d) protejarea securităţii naţionale; (e) protejarea drepturilor şi libertăţilor celorlalţi."

12. Se susţine că, din perspectiva normelor de tehnică legislativă, dispoziţiile art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din legea supusă controlului de constituţionalitate au caracter contradictoriu raportat la art. 145 din Legea nr. 135/2010 privind Codul de procedură penală, normă legislativă imperativă, aflată în vigoare, având următorul cuprins: „(1) După încetarea măsurii de supraveghere tehnică, procurorul informează, în scris, în cel mult 10 zile. pe fiecare subiect al unui mandat despre măsura de supraveghere tehnică ce a fost luată în privinţa sa. (2) După momentul informării, persoana supravegheată are dreptul de a lua cunoştinţă, la cerere, de conţinutul proceselor-verbale în care sunt consemnate activităţile de supraveghere tehnică efectuate. De asemenea, procurorul trebuie să asigure, la cerere, ascultarea convorbirilor, comunicărilor sau conversaţiilor ori vizionarea imaginilor rezultate din activitatea de supraveghere tehnică.

(3) Termenul de formulare a cererii este de 20 de zile de la data comunicării informării scrise prevăzute la alin. (1). (4) Procurorul poate să amâne motivat efectuarea informării sau a prezentării suporturilor pe care sunt stocate activităţile de supraveghere tehnică ori a proceselor-verbale de redare, dacă aceasta ar putea conduce la: a) perturbarea sau periclitarea bunei desfăşurări a urmăririi penale în cauză; b) punerea în pericol a siguranţei victimei, a martorilor sau a membrilor familiilor acestora; c) dificultăţi în supravegherea tehnică asupra altor persoane implicate în cauză. (5) Amânarea prevăzută la alin. (4) se poate dispune cel mai târziu până la terminarea urmăririi penale sau până la clasarea cauzei.” Analiza comparativă a soluţiei legislative propuse prin legea supusă controlului de constituţionalitate - astfel cum este reglementată în art. 12 alin. (1H5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 - cu dispoziţiile art. 145 din Codul de procedură penală susţine neconstituţionalitatea acesteia, în condiţiile în care se instituie proceduri şi termene care sunt vădit în contradicţie cu norma în vigoare.

13. Astfel, se susţine că dispoziţiile art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din legea supusă controlului de constituţionalitate generează o modificare implicită a art. 145 din Codul de procedură penală, ceea ce creează impredictibilitate în aplicarea legii, fiind neclar dacă dreptul la informare al persoanei vizate de o prelucrare a datelor cu caracter personal (prin supraveghere tehnică) ia naştere ulterior încheierii activităţii de prelucrare, astfel cum dispune Codul de procedura penală, sau în timpul activităţii de prelucrare a datelor cu caracter personal. Se reţine că norma în vigoare - art. 145 din Codul de procedură penală - stabileşte declanşarea procedurii de informare a persoanei vizate în cel mult 10 zile de la data încetării măsurii de supraveghere tehnică. în contradicţie cu această normă, prin dispoziţiile art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din legea criticată, legiuitorul instituie proceduri care obligă autoritatea care instituie măsura de supraveghere tehnică (denumită în lege „operatorul”) să procedeze la comunicarea unui răspuns către persoana vizată cu privire la existenţa sau inexistenţa unei proceduri de prelucrare a datelor persoanei vizate. în context, se apreciază că excepţia de la obligaţia informării, instituită prin dispoziţiile art. 17 din legea criticată, nu este suficient de clară pentru a asigura Concordanţa reglementărilor precitate cu dispoziţiile art. 145 din Codul de procedură penală.

14. În aceste condiţii se susţine că soluţia legislativă adoptată de Camera Deputaţilor, în calitate de Cameră decizională, privind transpunerea directivei, încalcă principiul securităţii raporturilor juridice, consacrat pe calea jurisprudenţei constituţionale, deoarece norma de referinţă în materia prelucrării datelor cu caracter personal în cadrul procesului penal este Codul de procedură penală. Or, în concordanţă cu preambulul Directivei (UE) 2016/680, punctul 33, transpunerea unor norme ale acesteia nu este necesară în măsura în care legislaţia internă a statului membru conţine deja norme care reglementează relaţiile sociale avute în vedere de directiva în cauză.

15. Pe cale de consecinţă, se susţine că, prin raportare la conţinutul art. 145 din Legea nr. 135/2010 privind Codul de procedură penală, dispoziţiile legii criticate, cuprinse în art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16, sunt neconstituţionale, deoarece sunt echivoce, generând un conflict de legi cu privire la dreptul la informare al persoanei vizate de o măsură de prelucrare a datelor personale constând în supravegherea tehnică a acesteia, ceea ce afectează conţinutul dreptului fundamental care face obiectul criticii de neconstituţionalitate.

16. În conformitate cu dispoziţiile art. 16 alin. (2) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, sesizarea a fost comunicată preşedinţilor celor două Camere ale Parlamentului şi Guvernului, pentru a comunica punctele lor de vedere.

17. Preşedintele Camerei Deputaţilor a transmis, cu Adresa nr. 2/9.754 din 30 octombrie 2018, înregistrată la Curtea Constituţională cu nr. 9.124 din 30 octombrie 2018, punctul său de vedere cu privire la sesizarea de neconstituţionalitate care face obiectul Dosarului Curţii Constituţionale nr. 1.569A/2018, prin care se arată că aceasta este neîntemeiată.

18. În acest sens, în ceea ce priveşte susţinerile cu privire la pretinsa încălcare a principiilor securităţii juridice şi legalităţii, prin aceea că legea criticată, cu caracter ordinar, ar modifica implicit dispoziţiile art. 145 din Legea nr. 135/2010 privind Codul de procedură penală, lege cu caracter organic, contrar susţinerii autorilor sesizării, observă că, din analiza de ansamblu a dispoziţiilor art. 145, aceasta nu subzistă. Astfel, articolele criticate din legea supusă controlului de constituţionalitate se referă strict la asigurarea transmiterii unui răspuns persoanei vizate în legătură cu prelucrările datelor personale desfăşurate în cazul apariţiei unui incident de securitate, adică în situaţia în care, potrivit art. 39 din legea criticată, încălcarea securităţii datelor cu caracter personal este susceptibilă să genereze un risc ridicat la adresa drepturilor şi libertăţilor sale, în timp ce prevederile art. 145 din Legea nr. 135/2010 privind Codul de procedură penală se aplică numai în cazul informării de către procuror, în scris, în cel mult 10 zile sau, în cazuri de excepţie, la finalizarea anchetei penale, despre măsura de supraveghere tehnică ce a fost luată în privinţa sa şi despre dreptul de a lua cunoştinţă, la cerere, de conţinutul proceselor-verbale în care sunt consemnate activităţile de supraveghere tehnică efectuate şi de a solicita ascultarea convorbirilor, comunicărilor sau conversaţiilor ori vizionarea imaginilor rezultate din activitatea de supraveghere tehnică.

19. Având în vedere aceste aspecte, constată că, din analiza dispoziţiilor relative la măsurile de supraveghere tehnică, respectiv art. 138-146 din Codul de procedură penală, reiese că dispunerea acestor măsuri cunoaşte mai multe etape procedurale succesive, distincte, după cum urmează: emiterea de către judecătorul de drepturi şi libertăţi a mandatului de supraveghere tehnică (art. 140) sau confirmarea de către judecătorul de drepturi şi libertăţi a autorizării măsurii de supraveghere tehnică dispuse de către procuror (art. 141); punerea în executare a mandatului de supraveghere tehnică (art. 142); prelungirea de către judecătorul de drepturi şi libertăţi a măsurii supravegherii tehnice (art. 144); consemnarea activităţilor de supraveghere tehnică (art. 143); informarea persoanei supravegheate (art. 145).

20. Pentru toate motivele arătate, preşedintele Camerei Deputaţilor consideră că, în prezenta cauză, operează o modificare implicită a dispoziţiilor art. 145 din Codul de procedură penală şi, pe cale de consecinţă, nu se pot susţine criticile aduse cu privire la pretinsa încălcare a principiului securităţii juridice şi a principiului legalităţii. A fortiori, legea criticată nu instituie aşa-zise proceduri şi termene contradictorii celor reglementate de art. 145 din Codul de procedură penală.

21. Totodată, ad similis, prin Decizia nr. 244 din 6 aprilie 2017 referitoare la excepţia de neconstituţionalitate a dispoziţiilor art. 145 din Codul de procedură penală, publicată în Monitorul Oficial al României, Partea I, nr. 529 din 6 iulie 2017, Curtea Constituţională a constatat că, în analiza respectării garanţiilor dreptului la viaţă privată, prevăzute de art. 8 din Convenţia europeană a drepturilor omului, Curtea Europeană a Drepturilor Omului are în vedere, pe lângă aspecte referitoare la definirea categoriilor de persoane care pot fi supuse măsurilor de supraveghere tehnică, natura infracţiunilor, durata de executare a măsurii, procedura de autorizare a măsurii, condiţiile de întocmire a procesului-verbal de sinteză a conversaţiilor interceptate, măsurile de precauţie pentru a comunica înregistrările intacte şi complete pentru a putea fi supuse controlului judecătoresc şi aspectele ce ţin de circumstanţele în care aceste interceptări pot sau trebuie să fie distruse (a se vedea în acest sens Hotărârea din 24 aprilie 1990, pronunţată în Cauza Huvig împotriva Franţei, paragraful 34; Hotărârea din 18 februarie 2003, pronunţată în Cauza Prado Bugallo împotriva Spaniei, paragraful 30; Hotărârea din 4 decembrie 2015, pronunţată în Cauza Roman Zakharov împotriva Rusiei, paragraful 231), Astfel, instanţa europeană a reţinut încălcarea prevederilor art. 8 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale în măsura în care dispoziţiile incidente nu conţineau reglementări relative la distrugerea datelor interceptate (a se vedea în acest sens Hotărârea din 1 iulie 2008, pronunţată în Cauza Liberty şi alţii împotriva Marii Britanii, paragraful 69; Hotărârea din 4 decembrie 2015, pronunţată în Cauza Roman Zakharov împotriva Rusiei, paragraful 302). Având în vedere aceste elemente esenţiale, sub aspectul protecţiei dreptului constituţional la viaţă privată, Curtea Constituţională a constatat că, pe lângă obligaţia pozitivă de a reglementa o formă de control a posteriori, pe care persoana în cauză să îl poată accesa în scopul verificării îndeplinirii condiţiilor şi, implicit, a legalităţii măsurii supravegherii tehnice, legiuitorul are obligaţia de a reglementa şi procedura aplicabilă conservării şi/sau distrugerii datelor interceptate prin punerea în executare a măsurii contestate, precum şi de a reglementa o cale de atac efectivă, care să îi permită persoanei supuse măsurii de supraveghere tehnică să obţină repararea urmărilor încălcării contestate. Astfel, Curtea Constituţională a constatat că soluţia legislativă cuprinsă în dispoziţiile art. 145 din Codul de procedură penală, care nu permite contestarea legalităţii măsurii supravegherii tehnice de către persoana vizată de aceasta, care nu are calitatea de inculpat, este neconstituţională.

22. Conform art. 147 alin. (1) din Constituţie, dispoziţiile din legile şi ordonanţele în vigoare, precum şi cele din regulamente, constatate ca fiind neconstituţionale, îşi încetează efectele juridice la 45 de zile de la publicarea deciziei Curţii Constituţionale dacă, în acest interval, Parlamentul sau Guvernul, după caz, nu pune de acord prevederile neconstituţionale cu dispoziţiile Constituţiei. Pe durata acestui termen, dispoziţiile constatate ca fiind neconstituţionale sunt suspendate de drept. în concluzie, preşedintele Camerei Deputaţilor apreciază că soluţia legislativă cuprinsă în dispoziţiile art. 145 din Codul de procedură penală, care nu permite contestarea legalităţii măsurii supravegherii tehnice de către persoana vizată de aceasta, care nu are calitatea de inculpat, a fost suspendată de drept, încetându-şi efectele juridice, întrucât legiuitorul nu a intervenit pentru modificarea prevederilor atacate. în acest sens, reiterează considerente ale Deciziei Curţii Constituţionale nr. 766 din 15 iunie 2011, potrivit cărora: „Textul supus controlului trebuie să fie în vigoare (cu referire la art. 145 din Codul de procedură penală), deoarece aprecierea constituţionalităţii priveşte o lege sau o ordonanţă (în cazul nostru texte din acte normative în vigoare) care există şi care produce efecte juridice. Intervenţia Curţii în aprecierea constituţionalităţii unor norme juridice care şi-au încetat existenţa ar fi contrară rolului şi funcţiilor sale stabilite prin Constituţie, precum şi principiului neretroactivităţii legii.”

23. În aceste condiţii, consideră că legea supusă controlului constituţionalităţii nu contravine în niciun fel Legii fundamentale, sesizarea de neconstituţionalitate formulată fiind neîntemeiată, astfel încât propune respingerea acesteia.

24. Preşedintele Senatului şi Guvernul nu au transmis Curţii Constituţionale punctele lor de vedere.

CURTEA,

examinând obiecţia de neconstituţionalitate, punctul de vedere al preşedintelui Camerei Deputaţilor, raportul întocmit de judecătorul-raportor, dispoziţiile legii criticate, raportate la prevederile Constituţiei, precum şi Legea nr. 47/1992, reţine următoarele:

25. În vederea soluţionării prezentei sesizări, Curtea procedează, mai întâi, la verificarea admisibilităţii acesteia. Potrivit art. 15 alin, (1) din Legea nr, 47/1992, „Curtea Constituţională se pronunţă asupra constituţionalităţii legilor înainte de promulgarea acestora, la sesizarea Preşedintelui României, a unuia dintre preşedinţii celor două Camere, a Guvernului, a Înaltei Curţi de Casaţie şi Justiţie, a Avocatului Poporului, a unui număr de cel puţin 50 de deputaţi sau de cel puţin 25 de senatori." Verificarea îndeplinirii condiţiilor de admisibilitate a obiecţiei de neconstituţionalitate, prevăzute de art. 146 lit. a) teza întâi din Constituţie şi de art. 15 alin. (2) din Legea nr. 47/1992, trebuie realizată sub aspectul titularului dreptului de sesizare, al termenului în care acesta este îndrituit să sesizeze instanţa constituţională, precum şi al obiectului controlului de constituţionalitate (a se vedea în acest sens Decizia nr. 334 din 10 mai 2018, publicată în Monitorul Oficial al României, Partea I, nr. 455 din 31 mai 2018, paragraful 27).

26. Astfel, în privinţa dreptului de a sesiza Curtea Constituţională pentru exercitarea controlului a priori, Curtea observă că sesizarea a fost formulată de către un titular al dreptului de sezină prevăzut expres de art. 146 lit. a) din Constituţie şi de art. 15 din Legea nr. 47/1992, şi anume un număr de 63 de deputaţi aparţinând Grupului parlamentar al Partidului Naţional Liberal.

27. Sub aspectul termenului în care titularul este îndrituit să sesizeze instanţa constituţională, Curtea observă că Legea privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date a fost adoptată, în procedură de urgenţă, de Camera Deputaţilor, în calitate de Cameră decizionali, la data de 10 octombrie 2018, a fost depusă la secretarul general, pentru exercitarea dreptului de sesizare asupra constituţionalităţii sale, la data de 15 octombrie 2018, şi a fost trimisă Preşedintelui României, pentru promulgare, la data de 17 octombrie 2018. Curtea constată că obiecţia a fost formulată la data de 16 octombrie 2018, aşadar, în interiorul termenului de 2 zile prevăzut de art. 15 alin. (2) din Legea nr. 47/1992, aspect ce se încadrează în prima ipoteză din paragraful 70 al Deciziei nr. 67 din 21 februarie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 223 din 13 martie 2018.

28. În ceea ce priveşte obiectul sesizării de neconstituţionalitate, Curtea constată că obiecţia de neconstituţionalitate vizează o lege adoptată de Parlament şi trimisă spre promulgare, care nu a fost publicată în Monitorul Oficial al României, Partea I, şi deci nu este în vigoare.

29. Prin urmare, Curtea constată că a fost legal sesizată şi este competentă, potrivit dispoziţiilor art. 146 lit. a) din Constituţie, precum şi ale art. 1, 10, 15 şi 18 din Legea nr. 47/1992, republicată, cu modificările şi completările ulterioare, să soluţioneze obiecţia de neconstituţionalitate.

30. Obiectul controlului de constituţionalitate îl constituie dispoziţiile Legii privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, în ansamblul său, precum şi, în special, dispoziţiile art. 12 alin. (1)-(5), art. 13, art. 14, art.15 alin. (1)-(5) şi art. 16 din aceasta, care au următorul cuprins:

Art. 12. - (1) Operatorii sunt obligaţi să instituie măsurile organizatorice, tehnice şi de procedură pentru a furniza persoanei vizate informaţiile necesare potrivit prevederilor art. 13 şi art. 16-21 şi pentru a asigura transmiterea unui răspuns în legătură cu prelucrările desfăşurate în condiţiile prevăzute la art. 11 sau în legătură cu notificarea persoanelor vizate în cazul apariţiei unui incident de securitate, în condiţiile prevederilor art. 39.

(2) Răspunsul trebuie formulat într-o formă concisă, inteligibilă si uşor accesibilă, utilizând un limbaj clar si simplu.

(3) Comunicarea informaţiilor în condiţiile prevăzute la alin. (2) se realizează în acelaşi format în care cererea a fost formulată, cu următoarele excepţii:

a) identitatea solicitantului nu poate fi stabilită cu exactitate, în condiţiile prevăzute la alin. (10):

b) formatul ales pentru transmiterea cererii presupune riscuri de prelucrare neautorizată sau ilegală ori de pierdere, distrugere sau deteriorare accidentală, prin raportare la cantitatea de date cu caracter personal, gradul de sensibilitate al informaţiei, în special în situaţia categoriilor de date prevăzute la art. 10 ori a datelor referitoare la minori.

(4) Operatorul este obligat să instituie măsuri organizatorice şl de procedură în scopul facilitării exercitării drepturilor persoanei vizate în temeiul prevederilor art. 11 şi art. 16-21.

(5) Operatorul are obligaţia de a informa persoana vizată, în scris, cu privire la modul de soluţionare a cererilor formulate în temeiul prezentei legi. Răspunsul se transmite în mod gratuit, în cel mult 60 de zile calendaristice. [...]

Art. 13. - Operatorii sunt obligaţi să instituie măsuri organizatorice, tehnice şi de procedură în scopul punerii la dispoziţia persoanelor interesate, a următoarelor categorii de informaţii:

a) identitatea şi datele de contact ale operatorului;

b) datele de contact ale responsabilului cu protecţia datelor, după caz;

c) scopurile în care sunt prelucrate datele cu caracter personal;

d) dreptul de a depune o plângere la autoritatea de supraveghere şi datele de contact ale acesteia;

e) dreptul de a solicita operatorului acces la datele cu caracter personal referitoare la persoana vizată ori rectificarea sau ştergerea acestor date sau restricţionarea prelucrării lor.

Art. 14. - La cerere, atunci când legea nu prevede altfel, operatorul comunică persoanei vizate informaţiile prevăzute la art. 13, precum şi următoarele Informaţii suplimentare:

a) temeiul juridic al prelucrării;

b) perioada pentru care sunt stocate datele cu caracter personal sau, în cazul în care nu este posibil, criteriile utilizate pentru a stabili perioada respectivă;

c) dacă este cazul, categoriile de destinatari al datelor cu caracter personal, inclusiv din state terţe sau organizaţii internaţionale:

d) orice alte informaţii suplimentare, în funcţie de specificul activităţilor de prelucrare, în special atunci când datele cu caracter personal sunt colectate fără ştirea persoanei vizate.

Art. 15. - (1) Operatorul poate dispune, după caz, măsura amânării, restricţionării sau omiterii furnizării de informaţii persoanei vizate în condiţiile prevăzute la art. 14 numai dacă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei vizate, o astfel de măsură este necesară şi proporţională într-o societate democratică pentru:

a) evitarea obstrucţionării bunei desfăşurări a procesului penal;

b) evitarea prejudicierii, prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau a executării pedepselor;

c) protejarea ordinii şi siguranţei publice;

d) protejarea securităţii naţionale;

e) protejarea drepturilor şi libertăţilor celorlalţi.

(2) Măsura amânării furnizării de informaţii se dispune pe o perioadă ce nu poate depăşi un an, în situaţia în care incidenţa condiţiilor care fac imposibilă comunicarea este limitată în timp. Măsura amânării poate fi prelungită în interiorul termenului de un an. La împlinirea termenului pentru care măsura amânării furnizării de informaţii a fost dispusă, operatorul transmite informaţiile prevăzute de lege.

(3) Persoana vizată este informată în scris, în cel mult 60 de zile calendaristice de la înregistrarea solicitării, cu privire la măsura amânării furnizării de informaţii şi motivul dispunerii acesteia, cu privire la termenul pentru care a fost dispusă această măsură, precum şi cu privire la faptul că se poate adresa autorităţii de supraveghere, cu plângere împotriva deciziei operatorului, sau poate ataca în instanţă decizia operatorului.

(4) Măsura restricţionării furnizării de informaţii se dispune în situaţia în care incidenţa condiţiilor care fac imposibilă comunicarea nu este limitată în timp. în situaţia restricţionării furnizării de informaţii, operatorul transmite persoanei vizate un răspuns. Forma şi conţinutul răspunsului sunt stabilite de fiecare operator în parte.

(5) Măsura omisiunii furnizării de informaţii se dispune în situaţia în care chiar şi simpla informare a persoanei vizate cu privire la una sau mai multe operaţiuni de prelucrare este de natură să afecteze una dintre activităţile prevăzute la alin. (1) lit. a)-d) [...].

Art. 16. - (1) Persoana vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit, confirmarea faptului că datele cu caracter personal care o privesc sunt sau nu sunt prelucrate de acesta.

(2) Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc persoana vizată, să comunice acesteia, în termen de cel mult 60 de zile calendaristice de la înregistrarea solicitării, în condiţiile prevăzute la art. 12 alin. (2) şi (3), pe lângă confirmare, inclusiv datele cu caracter personal care fac obiectul prelucrării, precum şi următoarele informaţii:

a) scopurile şi temeiul juridic al prelucrării;

b) categoriile de date cu caracter personal vizate;

c) destinatarii sau categoriile de destinatari cărora le-au fost divulgate datele cu caracter personal, în special destinatarii din state terţe sau organizaţii internaţionale;

d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

e) dreptul de a solicita de la operator rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

f) dreptul de a depune o plângere la autoritatea de supraveghere şi datele de contact ale acesteia;

g) comunicarea datelor cu caracter personal care sunt în curs de prelucrare şi a oricărei informaţii disponibile cu privire la originea datelor cu caracter personal.”

31. Textele constituţionale invocate în susţinerea obiecţiei de neconstituţionalitate sunt cele ale art. 1 alin. (3) cu referire la principiul securităţii raporturilor juridice şi ale art. 1 alin. (5) în ceea ce priveşte principiul legalităţii.

32. Parcursul legislativ al legii examinate. Propunerea legislativă având titlul „Lege privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date" a fost iniţiată de doi senatori aparţinând Grupului parlamentar al Partidului Social Democrat şi a fost înregistrată la Senat, în calitate de primă Cameră sesizată, la data de 11 aprilie 2018.

33. La data de 10 mai 2018, Consiliul Economic şi Social a avizat favorabil propunerea legislativă. La data de 18 mai 2018, Consiliul Legislativ a avizat favorabil propunerea legislativă, cu observaţii şi propuneri, reţinând că, „prin conţinutul său normativ, proiectul de lege face parte din categoria legilor ordinare, iar, în aplicarea dispoziţiilor art. 75 alin. (1) din Constituţia României, republicată, prima Cameră sesizată este Senatul". Guvernul, prin punctul de vedere transmis cu Adresa nr. 1.081 din 6 iunie 2018, a precizat că susţine adoptarea iniţiativei legislative sub rezerva adoptării amendamentelor anexate punctului de vedere.

34. În data de 5 iulie 2018, propunerea legislativă a fost adoptată de Senat, cu respectarea prevederilor art. 76 alin. (2) din Constituţie, şi a fost înaintată Camerei Deputaţilor, în calitate de Cameră decizională. Biroul permanent al Camerei Deputaţilor a trimis propunerea legislativă, pentru raport, Comisiei juridice, de disciplină şi imunităţi şi, pentru aviz, Comisiei pentru drepturile omului, culte şi problemele minorităţilor naţionale, Comisiei pentru apărare, ordine publică şi siguranţă naţională şi Comisiei pentru tehnologia informaţiei şi comunicaţiilor. La data de 5 septembrie 2018, proiectul de lege a primit aviz favorabil de la Comisia pentru drepturile omului, culte şi problemele minorităţilor naţionale, reţinându-se că, „în raport de obiectul şi conţinutul său, proiectul de lege face parte din categoria legilor organice”. în şedinţa din 12 septembrie 2018, Comisia pentru apărare, ordine publică şi siguranţă naţională a avizat favorabil proiectul de lege, reţinând că, „în raport de obiectul şi conţinutul acestuia, proiectul de lege face parte din categoria legilor ordinare”. Comisia pentru tehnologia informaţiei şi comunicaţiilor, în şedinţa din 19 septembrie 2018, a avizat favorabil proiectul de lege şi a reţinut că. „prin conţinutul său normativ, proiectul de lege se încadrează în categoria legilor ordinare, iar, în aplicarea dispoziţiilor art. 75 alin. (1) din Constituţia României, Camera Deputaţilor este Cameră decizională”.

35. La data de 18 septembrie 2018, Comisia juridică, de disciplină şi imunităţi, prin raportul asupra proiectului de lege, în urma examinării iniţiativei legislative şi a documentelor anexate, a hotărât adoptarea proiectului de Lege privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, în forma adoptată de Senat, cu amendamentele redate în anexa la raport. Totodată, a reţinut că, „în raport cu obiectul şi conţinutul său, iniţiativa legislativă face parte din categoria legilor organice”. Ulterior, Comisia juridică, de disciplină şi imunităţi a precizat, prin Adresa din data de 24 septembrie 2018, că „iniţiativa legislativă se încadrează în prevederile art. 92 alin. (9) pct. 1 din Regulamentul Camerei Deputaţilor, republicat, cu modificări şi completări, respectiv este lege ordinară, astfel cum este precizat în Avizul Consiliului Legislativ nr. 475 din 16 mai 2018”.

36. La data de 10 octombrie 2018, Camera Deputaţilor a adoptat, în procedură de urgenţă, propunerea legislativă şi a depus-o, în data de 15 octombrie 2018, la secretarul general, pentru exercitarea dreptului de sesizare asupra constituţionalităţii legii.

37. Modificări legislative preconizate. În prezent, cadrul normativ în vigoare care reglementează materia supusă revizuirii îl constituie Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, republicată în Monitorul Oficial al României, Partea I, nr. 474 din 12 iulie 2012, care reglementează cu privire la regulile de prelucrare automată sau neautomată a datelor cu caracter personal, pentru realizarea activităţilor de prevenire, cercetare şi reprimare a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice de către structurile/unităţile Ministerului Administraţiei şi Internelor. La elaborarea acestui act normativ a fost avută în vedere Decizia-cadru 2008/977/JAI a Consiliului din 27 noiembrie 2008 privind protecţia datelor cu caracter personal prelucrate în cadrul cooperării poliţieneşti şi judiciare în materie penală.

38. Proiectul de lege ce face obiectul sesizării în prezentul dosar transpune Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, publicată în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119/89 din 4 mai 2016.

39. Potrivit expunerii de motive, Legea privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, supusă controlului de constituţionalitate, are următoarele obiective: „crearea noului cadru legal în materia protecţiei persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date; transpunerea prevederilor Directivei 2016/680; abrogarea Legii nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare si combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice".

40. Schimbările legislative preconizate privesc: „definirea unor termeni care sunt utilizaţi în cuprinsul iniţiativei legislative; introducerea unui nou principiu, al asigurării adecvate a prelucrării datelor cu caracter personal; impunerea obligaţiei privind stabilirea unor termene exprese de stocare, ştergere şi revizuire a necesităţii stocării datelor cu caracter personal şi stabilirea unor proceduri specifice în acest sens; instituirea procedurilor necesare pentru stabilirea distincţiei între persoanele vizate, delimitând în acest sens categorii precum: suspecţi, persoane condamnate, persoane vătămate şi alte persoane; stabilirea unor condiţii specifice de prelucrare în măsura în care datele cu caracter personal urmează să fie prelucrate în alte scopuri decât cele care se încadrează în domeniul de reglementare al Directivei - prevenirea, descoperirea, cercetarea, urmărirea penală şi combaterea infracţiunilor, executarea pedepselor şi protejarea împotriva ameninţărilor la adresa siguranţei publice; stabilirea unor condiţii privind procesul decizional individual automatizat (adoptarea unor decizii care afectează persoana vizată doar pe baza rezultatelor unor prelucrări automatizate); astfel, o decizie întemeiată exclusiv pe prelucrarea automată, inclusiv crearea de profiluri, care produce un efect juridic negativ pentru persoana vizată sau care o afectează în mod semnificativ, este interzisă, cu excepţia cazului în care este autorizată de legea care prevede garanţii adecvate pentru drepturile şi libertăţile persoanei vizate, cel puţin dreptul de a obţine intervenţia umană din partea operatorului; asigurarea protecţiei datelor începând cu momentul conceperii şi în mod implicit (privacy by design şi privacy by default); reglementarea situaţiei operatorilor asociaţi - situaţia în care responsabilitatea prelucrărilor nu revine unui singur operator, ci mai multor operatori care stabilesc împreună scopul/scopurile şi mijloacele de prelucrare; ţinerea evidenţei activităţilor de prelucrare; evaluarea impactului asupra protecţiei datelor cu caracter personal; transferul datelor cu caracter personal către state terţe sau organizaţii internaţionale; abrogarea Legii nr. 238/2009 privind Ministerul Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice”.

41. Criticile de neconstituţionalitate extrinsecă vizează încălcarea dispoziţiilor constituţionale ale art. 1 alin. (3) cu referire la principiul securităţii raporturilor juridice. în motivarea acestora, autorii sesizării susţin, în esenţă, că legea criticată - lege cu caracter ordinar-încalcă prevederile art. 1 alin. (3) din Constituţie, întrucât, prin conţinutul său normativ, în concret prin dispoziţiile art. 12 alin, (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16, modifică implicit art. 145 din Legea nr. 135/2010 privind Codul de procedură penală, lege cu caracter organic.

42. Cu privire la această critică, Curtea observă că, în jurisprudenţa sa, a statuat că domeniul legilor organice este foarte clar delimitat prin textul art. 73 din Constituţie, fiind de strictă interpretare (a se vedea în acest sens Decizia nr. 53 din 18 mai 1994, publicată în Monitorul Oficial al României, Partea I, nr, 312 din 9 noiembrie 1994), astfel încât legiuitorul va adopta legi organice numai In acele domenii. Totodată, Curtea, prin Decizia nr. 88 clin 2 iunie 1998, publicată în Monitorul Oficial al României, Partea I, nr. 207 din 3 iunie 1998, Decizia nr. 548 din 15 mai 2008, publicată în Monitorul Oficial al României, Partea I, nr. 495 din 2 iulie 2008, sau Decizia nr. 786 din 13 mai 2009, publicată în Monitorul Oficial al României, Partea I, nr. 400 din 12 iunie 2009, a stabilit că „este posibil ca o lege organică să cuprindă, din motive de politica legislativă, şi norme de natura legii ordinare, dar fără ca aceste norme să capete natură de lege organică, întrucât altfel s-ar extinde domeniile rezervate de Constituţie legii organice. De aceea, printr-o lege ordinară se pot modifica dispoziţii dintr-o lege organică, dacă acestea nu conţin norme de natura legii organice, întrucât se referă la aspecte care nu sunt în directă legătură cu domeniul de reglementare al legii organice. în consecinţă, criteriul material este cel definitoriu pentru a analiza apartenenţa sau nu a unei reglementări la categoria legilor ordinare sau organice" (a se vedea în acest sens Decizia nr. 442 din 10 iunie 2015, publicată în Monitorul Oficial al României, Partea I, nr. 526 din 15 iulie 2015, paragraful 30, Decizia nr. 312 din 9 mai 2018, publicată în Monitorul Oficial al României, Partea I, nr. 581 din 9 iulie 2018, paragraful 24, şi Decizia nr, 537 din 18 iulie 2018, publicată în Monitorul Oficial al României, Partea I, nr. 679 din 6 august 2018, paragraful 39).

43. Referitor la obiectul de reglementare al legii supuse controlului de constituţionalitate, Curtea reţine că Legea fundamentală nu cuprinde dispoziţii exprese şi nu impune reglementarea regimului juridic privind prelucrarea datelor cu caracter personal prin norme de natura legii organice. Conţinutul normativ al legii criticate vizează prelucrarea datelor cu caracter personal în scopul realizării activităţilor de prevenire, descoperire, cercetare, urmărire penală şi combatere a infracţiunilor, de executare a pedepselor, măsurilor educative şi de siguranţă, precum şi de menţinere şi asigurare a ordinii şi siguranţei publice de către autorităţile competente şi stabileşte condiţiile în care se realizează libera circulaţie a datelor cu caracter personal în scopul realizării activităţilor menţionate anterior. Aşadar, Curtea constată că legea examinată este o lege cu caracter ordinar, sub aspectul criteriului material, întrucât conţine norme care nu se încadrează în ipotezele prevăzute expres de art. 73 alin. (3) din Constituţie, normă de strictă interpretare şi aplicare.

44. Totodată, Curtea reţine că regimul prelucrării datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi libera circulaţie a acestor date nu poate fi subsumat nici art. 73 alin. (3) lit. t) din Constituţie, printre „celelalte domenii pentru care în Constituţie se prevede adoptarea de legi organice,,, care sunt stabilite expres la art. 31 alin. (5), art. 40 alin. (3), art. 55 alin. (2), art. 58 alin. (3), art. 79 alin. (2), art. 102 alin. (3), art. 105 alin. (2), art. 117 alin. (3), art. 118 alin. (2) şi (3), art. 120 alin. (2), art. 126 alin. (4) şi (5) şi art. 142 alin. (5) din Constituţie (a se vedea în acest sens Decizia nr. 1.150 din 6 noiembrie 2008, publicată în Monitorul Oficial al României, Partea I, nr. 832 din 10 decembrie 2008).

45. Din examinarea parcursului legislativ de adoptare a legii criticate Curtea observă că propunerea legislativă a fost considerată ca aparţinând categoriei legilor ordinare, ceea ce a atras competenţa Senatului ca primă Cameră sesizată, potrivit art. 92 alin. (7) pct. 1 din Regulamentul Senatului, republicat în Monitorul Oficial al României, Partea I, nr. 72 din 25 ianuarie 2018, şi pe cea a Camerei Deputaţilor, în calitate de Cameră decizională, în conformitate cu prevederile art. 92 alin. (9) pct. 1 din Regulamentul Camerei Deputaţilor, republicat în Monitorul Oficial al României, Partea I, nr. 481 din 28 iunie 2016. Totodată, Curtea reţine că, potrivit art. 64 din legea criticată, „La data intrării în vigoare a prezentei legi, Legea nr. 238/2009 privind reglementarea prelucrării datelor cu caracter personal de către Structurile/unităţile Ministerului Administraţiei şi Internelor în activităţile de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, republicată în Monitorul Oficial al României, Partea I, nr. 474 din 12 iulie 2012 se abrogă”. Potrivit formulei de atestare a autenticităţii legii, Legea nr. 238/2009 „a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (2)din Constituţia României, republicată", ca lege ordinară. Aşadar, actul normativ în vigoare, având ca obiect de reglementare prelucrarea datelor cu caracter personal pentru realizarea activităţilor de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, a fost adoptat, în mod identic cu legea criticată, ca lege ordinară, aspect de natură a întări concluzia potrivit căreia domeniul de reglementare al legii criticate excedează ipotezelor reglementate expres în art. 73 alin. (3) din Legea fundamentală.

46. Curtea reaminteşte că, potrivit criticii formulate de autori, legea examinată, având caracter ordinar, încalcă prevederile art. 1 alin. (3) din Constituţie, întrucât, prin conţinutul său normativ, în concret prin dispoziţiile art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16, modifică implicit art. 145 din Legea nr. 135/2010 privind Codul de procedură penală, lege ce are caracter organic.

47. În acest sens, Curtea reţine că, potrivit formulei de atestare a legalităţii adoptării sale, Legea nr. 135/2010 privind Codul de procedură penală, publicată în Monitorul Oficial al României, Partea I, nr. 486 din 15 iulie 2010, „a fost adoptată de Parlamentul României, cu respectarea prevederilor art. 75 şi ale art. 76 alin. (1) din Constituţia României, republicată", aşadar ca lege organică.

48. Analizând conţinutul normativ al art. 145 din Codul de procedură penală, Curtea reţine că acesta reglementează cu privire la dreptul persoanei supuse măsurii supravegherii tehnice de a fi informată, în scris, de către procuror, cu privire la măsura de supraveghere tehnică ce a fost luată în privinţa sa. Totodată, normele procesual penale reglementează dreptul persoanei supuse măsurii de supraveghere tehnică de a lua cunoştinţă, la cerere, de conţinutul proceselor-verbale în care sunt consemnate activităţile de supraveghere tehnică efectuate, de a asculta convorbirile, comunicările sau conversaţiile ori de a viziona imaginile rezultate din activitatea de supraveghere tehnică. Dispoziţiile art. 145 din Codul de procedură penală stabilesc, de asemenea, şi situaţiile în care procurorul poate să amâne motivat efectuarea informării sau a prezentării suporturilor pe care sunt stocate activităţile de supraveghere tehnică ori a proceselor-verbale de redare, amânare, care se poate dispune cel mai târziu până la terminarea urmăririi penale sau până la clasarea cauzei.

49. Potrivit art. 73 alin. (3) lit. h) din Constituţie, „Prin lege organică se reglementează: [...] h) infracţiunile, pedepsele şi regimul executării acestora;”.

50. În aceste condiţii, Curtea reţine că, prin conţinutul lor normativ, dispoziţiile art. 145 din Codul de procedură penală nu reglementează cu privire la domeniile enumerate în norma constituţională precitată, astfel încât Curtea constată că, deşi acestea sunt cuprinse într-o lege organică, ele au natura unei legi ordinare, plasarea lor într-o lege adoptată şl votată ca lege organică neavând drept consecinţă aproprierea caracterului de normă organică. Aşa încât, Curtea reţine, în acord CU jurisprudenţa sa, însuşirea anterior citată, că este posibil ca O lege organică să cuprindă, din motive de politică legislativă, şi norme de natura legii ordinare, dar fără ca aceste norme să dobândească natură de lege organică, întrucât altfel s-ar extinde domeniile rezervate de Constituţie legii organice.

51. Curtea constată aşadar că, dacă legea supusă controlului de constituţionalitate în prezenta cauză - lege ordinară - este susceptibilă de a modifica norme de natura legii ordinare cuprinse într-o lege organică, aşa cum sunt dispoziţiile art. 145 din Legea nr. 135/2010 privind Codul de procedură penală, prin aceasta nu se aduce atingere vreunei prevederi din Legea fundamentală, în speţă prevederilor art. 1 alin. (3) invocate de autorii sesizării.

52. Criticile de neconstituţionalitate intrinsecă vizează art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din legea examinată, considerate că încalcă dispoziţiile constituţionale ale art. 1 alin. (3), cu referire la principiul securităţii raporturilor juridice, şi ale art. 1 alin. (5), care consacră principiul constituţional al legalităţii, din perspectiva clarităţii şi previzibilităţii soluţiei legislative adoptate. Se susţine că dispoziţiile menţionate din legea supusă controlului de constituţionalitate modifică implicit prevederile art. 145 din Legea nr. 135/2010 privind Codul de procedură penală, normă legislativă imperativă, aflată în vigoare, iar, atât timp cât soluţia legislativă propusă prin legea supusă controlului de constituţionalitate instituie proceduri şi termene care sunt vădit contradictorii cu norma în vigoare, se creează impredictibilitate în aplicarea legii, fiind neclar dacă dreptul la informare al persoanei vizate de o prelucrare a datelor cu caracter personal ia naştere ulterior încheierii activităţii de prelucrare a datelor cu caracter personal, astfel cum dispune Codul de procedură penală, sau în timpul activităţii de prelucrare a datelor cu caracter personal.

53. Cât priveşte legislaţia în materia protecţiei datelor cu caracter personal, Curtea reţine că aceasta reglementează reguli generale şi speciale privind prelucrarea datelor cu caracter personal, protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, instituind drepturi ale persoanei vizate în această materie, obligaţii de confidenţialitate pentru operatori, atribuţii ale Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi libera circulaţie a datelor cu caracter personal. Curtea observă că o atenţie deosebită se acordă protecţiei persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, drept fundamental, potrivit art. 8 alin. (1) din Carta drepturilor fundamentale a Uniunii Europene şi art. 16 alin. (1) din Tratatul privind funcţionarea Uniunii Europene. Având In vedere acestea, Curtea constată că dispoziţiile art. 121 alin. (1) din Legea nr. 506/2004, introduse prin Legea nr. 235/2015, referitoare la accesul la date al instanţelor de judecată sau al organelor de urmărire penală, chiar dacă se referă la date tehnice, iar nu la conţinutul corespondenţei, reprezintă o intervenţie legislativă în sfera drepturilor fundamentale privind viaţa intimă, familială şi privată, secretul corespondenţei şi libertatea de exprimare, consacrate de art. 26, art. 28 şi, respectiv, de art. 30 din Constituţie.

54. În aceeaşi măsură însă Curtea reţine, în acord cu jurisprudenţa sa, că dreptul la protecţia datelor cu caracter personal nu este un drept absolut (în acest sens, Decizia nr. 440 din 8 iulie 2014, publicată în Monitorul Oficial al României, Partea I, nr, 653 din 4 septembrie 2014, Decizia nr. 589 din 21 septembrie 2017, publicată în Monitorul Oficial al României, Partea I, nr. 89 din 30 ianuarie 2018). Acesta trebuie luat în considerare în raport cu funcţia pe care o îndeplineşte în societate şi echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporţionalităţii, potrivit punctului 4 din preambulul Regulamentului (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor). Cu alte cuvinte, în materia protecţiei datelor cu caracter personal se pot institui derogări de la exerciţiul drepturilor persoanei vizate, în măsura în care restrângerea exerciţiului acestor drepturi este, în mod justificat, necesară şi proporţională.

55. Curtea observă că legea naţională, în vigoare, referitoare la prelucrarea datelor cu caracter personal, Legea nr. 238/2009, în capitolul VI - „Drepturile persoanei vizate”, art. 24 alin. (1), prevede că „(1) Structurile/Unităţile M.A.I. asigură condiţiile de exercitare a drepturilor conferite de lege persoanei vizate, cu respectarea Legii nr. 677/2001, cu modificările şi completările ulterioare, şi a prezentei legi.” Prin derogare de la dispoziţiile precitate, alin. (2) al art. 24 din lege stabileşte că „Prevederile referitoare la exercitarea drepturilor persoanei vizate, prevăzute de Legea nr. 677/2001, cu modificările şi completările ulterioare, nu se aplică pe perioada în care o asemenea măsură este necesară pentru evitarea prejudicierii activităţilor specifice de prevenire, cercetare şi combatere a infracţiunilor, precum şi de menţinere şi asigurare a ordinii publice, ca urmare a cunoaşterii de persoana vizată a faptului că datele sale cu caracter personal sunt prelucrate, sau este necesară pentru protejarea persoanei vizate ori a drepturilor şi libertăţilor altor persoane, în cazul în care există date şi informaţii că aceste drepturi şi libertăţi sunt puse în pericol.[...]”. Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 790 din 12 decembrie 2001, la care fac trimitere dispoziţiile anterior citate, având ca domeniu de aplicare, potrivit art. 2 alin, (5), şi prelucrările, şi transferul de date cu caracter personal, efectuate în cadrul activităţilor de prevenire, cercetare şi reprimare a infracţiunilor şi de menţinere a ordinii publice, precum şi al altor activităţi desfăşurate în domeniul dreptului penal, a fost însă abrogată prin art. V din Legea nr. 129/2018 pentru modificarea şi completarea Legii nr. 102/2005 privind înfiinţarea, organizarea şi funcţionarea Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum şi pentru abrogarea Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr 503 din 19 iunie 2018, potrivit căruia: „(1) La data de 25mai 2018 se abrogă Legea nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, publicată în Monitorul Oficial al României, Partea I, nr. 790 din 12 decembrie 2001, cu modificările şi completările ulterioare. (2) Toate trimiterile la Legea nr. 677/2001, cu modificările şi completările ulterioare, din actele normative se interpretează ca trimiteri la Regulamentul general privind protecţia datelor şi la legislaţia de punere în aplicare a acestuia." Art. 12 şi art. 13 din Legea nr. 677/2001 reglementau atât dreptul la informare al persoanei vizate, cât şi dreptul de acces al acesteia la datele prelucrate. Potrivit art. 12 alin. (2) din legea precitată, în cazul în care datele nu erau obţinute direct de la persoana vizată, operatorul era obligat ca, în momentul colectării datelor sau, dacă se intenţiona dezvăluirea acestora către terţi, cel mai târziu până în momentul primei dezvăluiri, să furnizeze persoanei vizate cel puţin informaţiile enumerate la lit. a)-d), cu excepţia cazului în care persoana vizată poseda deja informaţiile respectiva. De asemenea, potrivit art. 13 alin. (1) din aceeaşi lege, orice persoană vizată avea dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc au fost sau nu prelucrate de acesta. Operatorul era obligat, în situaţia în care prelucra date cu caracter personal care priveau solicitantul, să comunice acestuia, împreună cu confirmarea, cel puţin informaţiile enumerate la lit. a)-e), în termen de 15 zile de la data primirii cererii. în acelaşi timp însă art. 16 alin. (1)-(3) din Legea nr. 677/2001 reglementa cazurile de excepţie de la art. 12 şi art. 13 din lege, stabilind că „Prevederile art. 12,13, ale art. 14 alin. (3) şi ale art. 15 nu se aplică în cazul activităţilor prevăzute la art. 2 alin. (5), dacă prin aplicarea acestora este prejudiciată eficienţa acţiunii sau obiectivul urmărit în îndeplinirea atribuţiilor legale ale autorităţii publice. (2) Prevederile alin. (1) sunt aplicabile strict pentru perioada necesară atingerii obiectivului urmărit prin desfăşurarea activităţilor menţionate la art. 2 alin. (5). (3) După încetarea situaţiei care justifică aplicarea alin. (1) şi (2) operatorii care desfăşoară activităţile prevăzute la art. 2 alin. (5) vor lua măsurile necesare pentru a asigura respectarea drepturilor persoanelor vizate.

56. Totodată, Curtea reţine că Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor), publicat în Jurnalul Oficial al Uniunii Europene, seria L, nr. 119/1 din 4.05.2016, prevede la punctul 60 din preambul că, potrivit principiilor prelucrării echitabile şi transparente, „persoana vizată este informată cu privire la existenţa unei operaţiuni de prelucrare şi la scopurile acesteia. Operatorul ar trebui să furnizeze persoanei vizate orice informaţii suplimentare necesare pentru a asigura o prelucrare echitabilă şi transparentă, ţinând seama de circumstanţele specifice şi de contextul în care sunt prelucrate datele cu caracter personal [...]." Punctul 61 din preambul stabileşte, de asemenea, că „Informaţiile în legătură cu prelucrarea datelor cu caracter personal referitoare la persoana vizată ar trebui furnizate acesteia la momentul colectării de la persoana vizată sau, în cazul în care datele cu caracter personal sunt obţinute din altă sursă, într-o perioadă rezonabilă, în funcţie de circumstanţele cazului. în cazul în care datele cu caracter personal pot fi divulgate în mod legitim unui alt destinatar, persoana vizată ar trebui informată atunci când datele cu caracter personal sunt divulgate pentru prima dată destinatarului. în cazul în care Operatorul intenţionează să prelucreze datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost colectate, operatorul ar trebui să furnizeze persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi alte informaţii necesare. În cazul în care originea datelor cu caracter personal nu a putut fi comunicată persoanei vizate din cauză că au fost utilizate surse diverse, informaţiile generale ar trebui furnizate." Totodată, potrivit punctului 63 din preambul, „O persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia

57. În cadrul capitolului III din Regulament, având denumirea „Drepturile persoanei vizate", art. 12 din secţiunea 1 - „Transparenţă şi modalităţi” reglementează cu privire la transparenţa informaţiilor, a comunicărilor şi a modalităţilor de exercitare a drepturilor persoanei vizate, stabilind în alin. (1) că „Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informaţii menţionate la articolele 13 şi 14 şi orice comunicări în temeiul articolelor 15-22 şi 34 referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă şi uşor accesibilă, utilizând un limbaj clar şi simplu, în special pentru orice informaţii adresate în mod speciile unui copil. Informaţiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic. La solicitarea persoanei vizate, informaţiile pot fi furnizate verbal, cu condiţia ca identitatea persoanei vizate să fie dovedită prin alte mijloace”, iar, în alin. (3), că „Operatorul furnizează persoanei vizate informaţii privind acţiunile întreprinse în urma unei cereri în temeiul articolelor 15-22, fără întârzieri nejustificate şi în orice caz în cel mult o lună de la primirea cererii. Această perioadă poate 5 prelungită cu două luni atunci când este necesar, ţinându-se seama de complexitatea şi numărul cererilor. Operatorul informează persoana vizată cu privire la orice astfel de prelungire, în termen de o lună de la primirea cererii, prezentând şi motivele întârzierii. în cazul în care persoana vizată introduce o cerere în format electronic, informaţiile sunt furnizate în format electronic acolo unde este posibil, cu excepţia cazului în care persoana vizată solicită un alt format."  În continuare, secţiunea a 2-a „Informare şi acces la date cu caracter personal"  reglementează, în art. 13, cu privire la informaţiile care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată, în ar.14, cu privire la informaţiile care se furnizează în cazul în care datele cu caracter personal nu au fost obţinute de la persoana vizată, iar, în art. 15, cu privire la dreptul de acces al persoanei vizate. Informaţiile furnizate în temeiul art. 14 alin, (1) şi alin. (2) din Regulament sunt comunicate de operator, potrivit alin. (3) al art. 14, (a) într-un termen rezonabil după obţinerea datelor cu caracter personal, dar nu mai mare de o lună, ţinându-se seama de circumstanţele specifice în care sunt prelucrate datele cu caracter personal; (b) dacă datele cu caracter personal urmează să fie utilizate pentru comunicarea cu persoana vizată, cel târziu în momentul primei comunicări către persoana vizată respectivă; sau (c) dacă se intenţionează divulgarea datelor cu caracter personal către un alt destinatar, cel mai târziu la data la care acestea sunt divulgate pentru prima oară. De asemenea, potrivit alin. (4) al art. 14, „în cazul în care operatorul intenţionează să prelucreze ulterior datele cu caracter personal într-un alt scop decât cel pentru care acestea au fost obţinute, operatorul furnizează persoanei vizate, înainte de această prelucrare ulterioară, informaţii privind scopul secundar respectiv şi orice informaţii suplimentare relevante, în conformitate cu alineatul (2).”

58. Totodată însă Curtea constată că art. 14 alin. (5) din Regulament instituie şi cazurile în care se poate deroga de la furnizarea de informaţii, astfel: „Alineatele (1)-(4) nu se aplică dacă şi în măsura în care; (a) persoana vizată deţine deja informaţiile; (b) furnizarea acestor informaţii se dovedeşte a fi imposibilă sau ar implica eforturi disproporţionate, în special în căzui prelucrării în scopuri de arhivare în interes public, în scopuri de cercetare ştiinţifică sau istorică ori în scopuri statistice, sub rezerva condiţiilor şi a garanţiilor prevăzute la articolul 89 alineatul (1). sau în măsura în care obligaţia menţionată la alineatul (1) din prezentul articol este susceptibilă să facă imposibilă sau să afecteze în mod grav realizarea obiectivelor prelucrării respective. În astfel de cazuri, operatorul ia măsuri adecvate pentru a proteja drepturile, libertăţile şi interesele legitime ale persoanei vizate, inclusiv punerea informaţiilor la dispoziţia publicului; (c) obţinerea sau divulgarea datelor este prevăzută în mod expres de dreptul Uniunii sau de dreptul intern sub incidenţa căruia intră operatorul şi care prevede măsuri adecvate pentru a proteja interesele legitime ale persoanei vizate; sau (d) în cazul în care datele cu caracter personal trebuie să rămână confidenţiale în temeiul unei obligaţii statutare de secret profesional reglementate de dreptul Uniunii sau de dreptul intern, inclusiv al unei obligaţii legale de a păstra secretul.” De asemenea, art. 15 din Regulament reglementează dreptul de acces al persoanei vizate, stabilind în alin. (1) că persoana vizată are dreptul de a obţine din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc şi, în caz afirmativ, acces la datele respective şi la informaţiile enumerate la lit. a)-h) ale alineatului menţionat.

59. În aceste condiţii, Curtea constată că legislaţia în vigoare cu privire la prelucrarea datelor cu caracter personal asigură protecţia persoanelor fizice în ceea ce priveşte prelucrarea acestor date, prin instituirea dreptului la informare şi a dreptului de acces ale persoanelor vizate, şi, în acelaşi timp, reglementează condiţiile în care exerciţiul acestor drepturi poate fi restrâns.

60. În continuare, cât priveşte dispoziţiile art. 145 din Codul de procedură penală, Curtea reţine că acestea reglementează atât cu privire la dreptul persoanei supuse măsurii supravegherii tehnice de a fi informată, în scris, de către procuror, cu privire la măsura de supraveghere tehnică ce a fost luată în privinţa sa, după încetarea măsurii de supraveghere tehnică, în cei mult 10 zile, cât şi cu privire la dreptul persoanei supuse măsurii de supraveghere tehnică de a lua cunoştinţă, la cerere, de conţinutul proceselor-verbale în care sunt consemnate activităţile de supraveghere tehnică efectuate, de a asculta convorbirile, comunicările sau conversaţiile ori de a viziona imaginile rezultate din activitatea de supraveghere tehnică, termenul de formulare a cererii fiind de 20 de zile de la data comunicării informării scrise. Art. 145 din Codul de procedură penală reglementează, în aceiaşi timp, situaţiile în care procurorul poate să amâne motivat efectuarea informării sau a prezentării suporturilor pe care sunt stocate activităţile de supraveghere tehnică ori a proceselor-verbale de redare, amânare care se poate dispune cel mai târziu până la terminarea urmăririi penale sau până la clasarea cauzei, dacă informarea ori accesul persoanei supuse măsurii de supraveghere tehnică ar conduce la: perturbarea sau periclitarea bunei desfăşurări a urmăririi penale în cauză; punerea în pericol a siguranţei victimei, a martorilor sau a membrilor familiilor acestora; dificultăţi în supravegherea tehnică asupra altor persoane implicate în cauză. Curtea constată că normele procesual penale precitate constituie ultima etapă procedurală în cadrul dispunerii măsurilor de supraveghere tehnică pe parcursul procesului penal în care, ca urmare a informării persoanei supravegheate, caracterul secret al hotărârii judecătoreşti şi al datelor obţinute prin această procedură este înlăturat în ceea ce priveşte subiecţii vizaţi. Acest caracter însă poate fi menţinut şi faţă de aceştia din urmă, potrivit art. 145 alin. (4) din Codul de procedură penală, cel mai târziu până la terminarea urmăririi penale sau până la clasarea cauzei.

61. În aceste condiţii, faţă de toate cele reţinute în precedent, Curtea constată că legislaţia în vigoare în materia prelucrării datelor cu caracter personal, respectiv Legea nr. 238/2009 şi Regulamentul general privind protecţia datelor, cuprinde norme generale privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal, dispoziţiile art. 145 din Codul de procedură penală constituind norme speciale, derogatorii, al căror temei însă se regăseşte în norma generală aplicabilă. Prin urmare, Curtea constată că între dispoziţiile de lege lata în materia prelucrării datelor cu caracter personal şi prevederile art. 145 din Codul de procedură penală nu există paralelism de reglementare, procedura reglementată prin normele procesual penale precitate derogând de la cadrul normativ general în materie, în acord cu dispoziţiile art. 24 alin. (2) din Legea nr. 238/2009 şi ale art. 14 alin. (5) lit. b) din Regulamentul general privind protecţia datelor, potrivit principiului specialia generalibus derogant.

62. În continuare, în ceea ce priveşte criticile de neconstituţionalitate intrinsecă referitoare la dispoziţiile art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din legea examinată, Curtea reaminteşte că Legea privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date transpune Directiva (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016 privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date şi de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului.

63. Potrivit expunerii de motive ce însoţeşte propunerea legislativă, se are în vedere crearea unui nou cadru legal în materia protecţiei persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date.

64. Totodată, potrivit celor înscrise în preambulul Directivei (UE) 2016/680, „Regulamentul (UE) 2016/679 al Parlamentului European şi al Consiliului stabileşte normele generale pentru protecţia persoanelor fizice in ceea ce priveşte prelucrarea datelor cu caracter personal şi garantarea liberei circulaţii a acestor date în cadrul Uniunii" (punctul 9), iar „Prezenta directivă nu aduce atingere principiului accesului publicului la documente oficiale. în temeiul Regulamentului (UE) 2016/679, datele cu caracter personal din documentele oficiale deţinute de o autoritate publică sau de un organism public sau privat pentru îndeplinirea unei atribuţii de interes public pot fi divulgate de autoritatea sau organismul respectiv în conformitate cu dreptul Uniunii sau cu dreptul intern sub incidenţa căruia intră autoritatea sau organismul, pentru a stabili un echilibru între accesul public la documente oficiale şi dreptul la protecţia datelor cu caracter personal” (punctul 16). De asemenea, „în Declaraţia nr. 21 cu privire la protecţia datelor cu caracter personal In domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti, anexată la actul final al Conferinţei interguvernamentale care a adoptat Tratatul de la Lisabona, conferinţa a recunoscut că s-ar putea dovedi necesare norme specifice privind protecţia datelor cu caracter personal şi libera circulaţie a datelor cu caracter personal în domeniul cooperării judiciare în materie penală şi al cooperării poliţieneşti în temeiul articolului 16 din Tratatul privind funcţionarea Uniunii Europene, având în vedere natura specifică a acestor domenii. ” (punctul 10), aşa încât „domeniile menţionate ar trebui să fie reglementate printr-o directivă care să stabilească norme specifice privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, inclusiv al protejării împotriva ameninţărilor la adresa securităţii publice şi al prevenirii acestora, cu respectarea naturii speciale a activităţilor în cauză [..(punctul 11). în acelaşi mod, s-a statuat că „Orice prelucrare a datelor cu caracter personal trebuie să fie legală, echitabilă şi transparentă faţă de persoanele fizice în cauză, iar prelucrarea trebuie să fie făcută numai pentru scopuri specifice prevăzute de lege. Acest lucru nu împiedică, în sine, autorităţile de aplicare a legii să desfăşoare activităţi precum investigaţiile sub acoperire sau supravegherea video. Aceste activităţi pot fi întreprinse în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării sancţiunilor penale, inclusiv al protecţiei împotriva fraudei şi al prevenirii ameninţărilor la adresa securităţii publice, în măsura în care sunt prevăzute de lege şi constituie o măsură necesară şi proporţională într-o societate democratică. ţinându-se seama în mod corespunzător de interesele legitime ale respectivei persoane fizice. Principiul prelucrării echitabile a datelor din domeniul protecţiei datelor cu caracter personal este o noţiune distinctă de dreptul la un proces echitabil, astfel cum este definit la articolul 47 din Cartă sila articolul 6 din Convenţia europeană pentru apărarea drepturilor omului şi a libertăţilor fundamentale (CEDO). Persoanele fizice ar trebui să fie informate cu privire la riscurile, normele, garanţiile şi drepturile în materie de prelucrare a datelor acestora cu caracter personal şi cu privire la modul în care să îşi exercite drepturile respective. în special, scopurile specifice în care datele cu caracter personal sunt prelucrate ar trebui să fie explicite şi legitime şi să fie determinate la momentul colectării datelor (punctul 26).

65. Curtea observă, în continuare, că, în capitolul III din Directiva (UE) 2016/680, având denumirea „Drepturile persoanei vizate”, art. 12 reglementează cu privire la comunicarea şi modalităţile de exercitare a drepturilor persoanei vizate, art. 13, cu privire la informaţiile ce se pun la dispoziţia persoanei vizate sau se comunică acesteia, inclusiv cu privire la posibilitatea statelor membre de a adopta măsuri legislative de amânare, restricţionare sau omitere a furnizării de informaţii persoanei vizate, art. 14 reglementează dreptul de acces al persoanei vizate la datele cu caracter personal prelucrate, iar art. 15 dispune cu privire la condiţiile în care statele membre pot adopta măsuri legislative care limitează, integral sau parţial, dreptul de acces al persoanei vizate la datele cu caracter personal prelucrate. Aşadar, Curtea reţine că dispoziţiile precitate din Directiva (UE) 2016/680 reglementează dreptul la informare şi dreptul de acces ale persoanei vizate în contextul prelucrării datelor cu caracter personal de către autorităţile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracţiunilor sau al executării pedepselor, stabilind, de asemenea, şi condiţiile în care exerciţiul acestor drepturi poate fi restrâns, respectiv „în măsura în care şi atât timp cât o astfel de măsură constituie o măsură necesară şl proporţională într-o societate democratică, ţinând seama de drepturile fundamentale şi de interesele legitime ale persoanei fizice, pentru: (a) evitarea obstrucţionării cercetărilor, anchetelor sau procedurilor oficiala sau juridice; (b) a nu prejudicia prevenirea, depistarea, investigarea sau urmărirea penală a infracţiunilor sau executarea pedepselor; (c) protejarea securităţii publice; (d) protejarea securităţii naţionale; (e) protejarea drepturilor şi libertăţilor celorlalţi. "Totodată, Curtea observă dispoziţiile art. 18 din Directiva (UE) 2016/680, având denumirea marginală „Drepturile persoanei vizate în cadrul investigaţiilor şi procedurilor penale”, potrivit cărora „Statele membre garantează că drepturile menţionate la articolele 13,14 şi 16 se exercită în conformitate cu dreptul intern în cazul în care datele cu caracter personal sunt conţinute într-o hotărâre judecătorească sau într-un cazier sau dosar prelucrat pe parcursul investigaţiilor şi procedurilor penale”.

66. În continuare, Curtea reţine că Legea privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date transpune, în art. 12, normele europene din acelaşi articol al Directivei (UE) 2016/680 referitoare la obligaţia operatorilor de a institui măsurile organizatorice, tehnice şi de procedură pentru a furniza persoanei vizate informaţiile necesare potrivit prevederilor art. 13 şi art. 16-21 din lege şi pentru a asigura transmiterea unui răspuns în legătură cu prelucrările desfăşurate în condiţiile prevăzute la art. 11 sau în legătură cu notificarea persoanelor vizate în cazul apariţiei unui incident de securitate, în condiţiile prevederilor art. 39 din lege, precum şi pentru a facilita exercitarea drepturilor persoanei vizate în temeiul prevederilor art. 11 şi art. 16-21 din lege. De asemenea, Curtea observă că dispoziţiile art. 13 din Directiva (UE) 2016/680 sunt transpuse în art. 13, 14 şi 15 din legea examinată. Art. 13 din lege reglementează, aşadar, obligaţia operatorilor de a institui măsuri organizatorice, tehnice şi de procedură în scopul punerii la dispoziţia persoanelor interesate a informaţiilor enumerate la lit. a)-e), respectiv identitatea şi datele de contact ale operatorului; datele de contact ale responsabilului cu protecţia datelor, după caz; scopurile în care sunt prelucrate datele cu caracter personal; dreptul de a depune o plângere la autoritatea de supraveghere şi datele de contact ale acesteia; dreptul de a solicita operatorului acces la datele cu caracter personal referitoare la persoana vizată ori rectificarea sau ştergerea acestor date sau restricţionarea prelucrării lor. în acelaşi timp, art. 14 din lege reglementează dreptul la informare al persoanei vizate, stabilind că, la cerere, atunci când legea nu prevede altfel, operatorul comunică persoanei vizate informaţiile menţionate la art. 13, precum şi informaţiile suplimentare enumerate la lit. a)-d), respectiv temeiul juridic al prelucrării; perioada pentru care sunt stocate datele cu caracter personal sau, în cazul în care nu este posibil, criteriile utilizate pentru a stabili perioada respectivă, dacă este cazul, categoriile de destinatari ai datelor cu caracter personal, inclusiv din state terţe sau organizaţii internaţionale; orice alte informaţii suplimentare, în funcţie de specificul activităţilor de prelucrare, în special atunci când datele cu caracter personal sunt colectate fără ştirea persoanei vizate.

67. Furnizarea de informaţii persoanei vizate în condiţiile art. 14 din lege poate fi amânată, restricţionată sau omisă, potrivit art. 15 din lege, numai dacă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei vizate, o astfel de măsură este necesară şi proporţională într-o societate democratică pentru: a) evitarea obstrucţionării bunei desfăşurări a procesului penal; b) evitarea prejudicierii, prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau a executării pedepselor; c) protejarea ordinii şi siguranţei publice; d) protejarea securităţii naţionale; e) protejarea drepturilor şi libertăţilor celorlalţi. Măsura amânării furnizării de informaţii se dispune pe o perioadă ce nu poate depăşi un an, în situaţia în care incidenţa condiţiilor care fac imposibilă comunicarea este limitată în timp şi poate fi prelungită în interiorul termenului de un an, iar, la împlinirea termenului pentru care măsura amânării furnizării de informaţii a fost dispusă, operatorul transmite informaţiile prevăzute de lege. Persoana vizată este informată în scris, în cel mult 60 de zile calendaristice de la înregistrarea solicitării, cu privire la măsura amânării furnizării de informaţii şi motivul dispunerii acesteia, cu privire la termenul pentru care a fost dispusă această măsură, precum şi cu privire la faptul că se poate adresa autorităţii de supraveghere cu plângere împotriva deciziei operatorului sau poate ataca în instanţă decizia operatorului. Măsura restricţionăm furnizării de informaţii se dispune în situaţia în care incidenţa condiţiilor care fac imposibilă comunicarea nu este limitată în timp. în situaţia restricţionării furnizării de informaţii, operatorul transmite persoanei vizate un răspuns. Măsura omisiunii furnizării de informaţii se dispune în situaţia în care chiar şi simpla informare a persoanei vizate cu privire la una sau mai multe operaţiuni de prelucrare este de natură să afecteze una dintre activităţile prevăzute la alin. (1) lit. a)-d), iar omisiunea furnizării de informaţii poate să fie parţială sau totală, în situaţia omisiunii parţiale, persoana vizată este informată, în termen de cel mult 60 de zile calendaristice de la înregistrarea solicitării, cu privire la categoriile de prelucrări care nu sunt de natură a afecta activităţile prevăzute la alin. (1). în situaţia omisiunii totale, operatorul transmite persoanei vizate un răspuns. Operatorul este obligat să ţină evidenţa situaţiilor în care a fost dispusă măsura omiterii furnizării de informaţii şi să documenteze adoptarea acestei măsuri, iar, în luna ianuarie a fiecărui an, operatorul are obligaţia de a informa autoritatea de supraveghere cu privire la situaţia statistică a măsurilor de omisiune S furnizării de informaţii adoptate în anul precedent, defalcat pentru fiecare dintre activităţile prevăzute la alin. (1) lit. a)-d).

68. În aceste condiţii, Curtea reţine că dreptul la informare al persoanei vizate îşi are temei în dispoziţiile art. 14 din legea examinată, în acelaşi timp fiind reglementate şi situaţiile în care furnizarea de informaţii persoanei vizate poate fi amânată, restricţionată sau omisă pentru motivele enumerate la lit. a)-e) ale art. 15 alin, (1) din lege, printre care şi acela de a evita prejudicierea prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau a executării pedepselor.

69. În continuare, art. 16 din lege - în cuprinsul căruia sunt transpuse normele art. 14 din Directivă - prevede că persoana vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit, confirmarea faptului că datele cu caracter personal care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc persoana vizată, să comunice acesteia, în termen de cel mult 60 de zile calendaristice de la înregistrarea solicitării, pe lângă confirmare, inclusiv datele cu caracter personal care fac obiectul prelucrării, precum şi următoarele informaţii:

a) scopurile şi temeiul juridic al prelucrării;

b) categoriile de date cu caracter personal vizate;

c) destinatarii sau categoriile de destinatari cărora le-au fost divulgate datele cu caracter personal, în special destinatarii din state terţe sau organizaţii internaţionale;

d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, în cazul în care acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;

e) dreptul de a solicita de la operator rectificarea sau ştergerea datelor cu caracter personal sau restricţionarea prelucrării datelor cu caracter personal referitoare la persoana vizată;

f) dreptul de a depune o plângere la autoritatea de supraveghere şi datele de contact ale acesteia;

g) comunicarea datelor cu caracter personal care sunt în curs de prelucrare şi a oricărei informaţii disponibile cu privire la originea datelor cu caracter personal.

70. Limitarea dreptului de acces la datele cu caracter personal prelucrate, care poate fi totală („integrală”, potrivit Directivei) sau parţială, îşi are temei în art. 17 din legea examinată, articol ale cărui dispoziţii transpun normele cuprinse în art. 15 din Directiva (UE) 2016/680. Astfel, în acord cu art. 17 din lege, dispoziţiile art. 16 nu se aplică dacă, ţinând seama de drepturile fundamentale şi interesele legitime ale persoanei fizice, o astfel de măsură este necesară şi proporţională într-o societate democratică pentru: a) evitarea obstrucţionării bunei desfăşurări a procesului penal; b) evitarea prejudicierii prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau a executării pedepselor; c) protejarea ordinii şi siguranţei publice: d) protejarea securităţii naţionale;

e) protejarea drepturilor şi a libertăţilor celorlalţi. Măsura limitării dreptului de acces poate să fie totală sau parţială şi se dispune cu privire la una sau mai multe operaţiuni de prelucrare în situaţia cărora dezvăluirea este de natură să afecteze una dintre activităţile enumerate anterior. în situaţia prevăzută la alin. (2), persoana vizată poate fi informată cu privire la categoriile de prelucrări care nu sunt de natură a afecta activităţile prevăzute la alin. (1), motivul adoptării acestei măsuri, precum şi cu privire la posibilitatea de a depune o plângere la autoritatea de supraveghere sau de a se adresa instanţei, iar, prin excepţie de la dispoziţiile menţionate, motivul adoptării măsurii de limitare a dreptului de acces nu se comunică în situaţia în care dezvăluirea acestuia este de natură să afecteze una dintre activităţile prevăzute la aţin. (1) lit. a)-d). De asemenea se instituie obligaţia operatorului de a ţine evidenţa cazurilor în care a fost dispusă măsura de limitare a dreptului de acces şi de a documenta adoptarea acestei măsuri, operatorul având totodată obligaţia să informeze autoritatea de supraveghere cu privire la situaţia statistică a cazurilor în care a fost adoptată măsura de limitare a dreptului de acces în anul precedent, defalcate pentru fiecare dintre activităţile prevăzute la alin. (1), în luna ianuarie a fiecărui an.

71. Aşadar, Curtea reţine că, potrivit legii examinate, în mod similar dreptului la informare, şi exerciţiul dreptului de acces la datele cu caracter personal prelucrate poate fi restrâns, situaţiile în care restrângerea, totală sau parţială, poate avea loc fiind enumerate la lit. a)-e) ale art. 17 alin. (1) din lege, printre acestea aflându-se şi evitarea prejudicierii prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau a executării pedepselor.

72. În aceste condiţii, având în vedere toate cele reţinute anterior, Curtea constată că noul cadru legislativ naţional în materia protecţiei persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor şi privind libera circulaţie a acestor date, ce transpune norme de drept european având ca nucleu asigurarea securităţii adecvate prelucrării datelor cu caracter personal şi care menţin în continuare transparenţa, ca principiu în materia prelucrării datelor cu caracter personal, cuprinde norme generale privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date. în schimb, astfel cum s-a arătat în precedent, dispoziţiile art. 145 din Codul de procedură penală constituie norma specială, derogatorie, aplicabilă în procesul penal în cazul în care datele cu caracter personal sunt prelucrate în cadrul dispunerii măsurilor de supraveghere tehnică.

73. În susţinerea celor constatate în paragraful anterior, Curtea reţine cele statuate în preambulul Directivei (UE) 2016/680, respectiv faptul că „Prezenta directivă nu împiedică statele membre să precizeze operaţiunile şi procedurile de prelucrare în normele naţionale privind procedurile penale în ceea ce priveşte prelucrarea datelor cu caracter personal de către instanţe şi alte autorităţi judiciare, în special în ceea ce priveşte datele cu caracter personal conţinute într-o hotărâre judecătorească sau în înregistrările legate de proceduri penale” (punctul 20), iar „în cazul în care datele cu caracter personal sunt prelucrate în cadrul unei anchete penale şi al unor acţiuni în instanţă în materie penală, statele membre ar trebui să poată garanta exercitarea drepturilor la informare, acces şi de rectificare sau ştergere a datelor cu caracter personal şi de restricţionare a prelucrării în conformitate cu normele naţionale privind procedurile judiciare” (punctul 49). Mai mult, astfel cum Curtea a observat în paragraful 71 al prezentei decizii, legiuitorul european a statuat în art. 18 din Directiva (UE) 2016/680 că statele membre garantează că drepturile persoanei vizate, menţionate la articolele 13, 14 şi 16 din Directivă [s.n. dreptul la informare, dreptul de acces şi dreptul la rectificarea sau la ştergerea datelor cu caracter personal şi la restricţionarea prelucrării], se exercită în conformitate cu dreptul intern, în cazul în care datele cu caracter personal sunt conţinute într-o hotărâre judecătorească sau într-un cazier sau dosar prelucrat pe parcursul investigaţiilor şi al procedurilor penale. Aşadar, legiuitorul unional prevede expres faptul că dreptul naţional privind procedurile judiciare se aplică cu prioritate atunci când datele cu caracter personal sunt prelucrate în cadrul unei anchete/proceduri penale.

74. Prin urmare, Curtea constată că între dispoziţiile art. 12 alin. (1-(5), art. 13, 14, art. 15 alin. (1)-(5) şi art. 16 din legea examinată şi prevederile art. 145 din Codul de procedură penală nu există paralelism de reglementare. Totodată, prevederile precitate din legea criticată nu modifică dispoziţiile procesual penale în vigoare, procedura reglementată prin normele art. 145 din Codul de procedură penală derogând de la norma generală, potrivit principiului specialia generalibus derogant. în aceste condiţii, Curtea constată că, în cauza de faţă, dispoziţiile examinate, care reglementează atât dreptul la informare şi dreptul de acces ale persoanei vizate la datele cu caracter personal, cât şi situaţiile în care exerciţiul acestor drepturi poate fi restrâns, sunt clare şi previzibile, în acord cu jurisprudenţa instanţei de control constituţional şi a instanţei de la Strasbourg.

75. În acest sens, Curtea reţine că una dintre cerinţele principiului respectării legilor vizează calitatea actelor normative şi, de principiu, orice act normativ trebuie să îndeplinească anumite condiţii calitative, printre acestea numărându-se claritatea, precizia şi previzibilitatea. Referitor la aceste cerinţe, Curtea Europeană a Drepturilor Omului s-a pronunţat în mod constant, statuând că o normă este previzibilă numai atunci când este redactată cu suficientă precizie, în aşa fel încât să permită oricărei persoane - care, la nevoie, poate apela la consultanţă de specialitate - să îşi corecteze conduita (Hotărârea din 29 martie 2000, pronunţată în Cauza Rotaru împotriva României, Hotărârea din 23 septembrie 1998, pronunţată în Cauza Petra împotriva României), iar cetăţeanul trebuie să dispună de informaţii suficiente asupra normelor juridice aplicabile într-un caz dat şi să fie capabil să prevadă, într-o măsură rezonabilă, consecinţele care pot apărea dintr-un act determinat. Pe scurt, legea trebuie să fie, în acelaşi timp, accesibilă şi previzibilă (Hotărârea din 26 aprilie 1979, pronunţată îh Cauza Sunday Times împotriva Regatului Unit).

76. În ceea ce priveşte aspectele referitoare la criteriile de claritate, precizie, previzibilitate şi predictibilitate pe care un text de lege trebuie să le îndeplinească, Curtea Constituţională a constatat, în jurisprudenţa sa, că autoritatea legiuitoare are obligaţia de a edicta norme care să respecte aceste trăsături. în acest sens, potrivit art. 8 alin. (4) teza întâi din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative, „textul legislativ trebuie să fie formulat clar, fluent şi inteligibil, fără dificultăţi sintactice şi pasaje obscure sau echivoce”, iar, potrivit art. 36 alin. (1) din aceeaşi lege, „actele normative trebuie redactate într-un limbaj şi stil juridic specific normativ, concis, sobru, clar şi precis, care să excludă orice echivoc, cu respectarea strictă a regulilor gramaticale şi de ortografie”. Deşi normele de tehnică legislativă nu au valoare constituţională, Curtea a constatat că, prin reglementarea acestora, legiuitorul a impus o serie de criterii obligatorii pentru adoptarea oricărui act normativ, a căror respectare este necesară pentru a asigura sistematizarea, unificarea şi coordonarea legislaţiei, precum şi conţinutul şi forma juridică adecvate pentru fiecare act normativ. Astfel, respectarea acestor norme concură la asigurarea unei legislaţii care respectă principiul securităţii raporturilor juridice, având claritatea şi previzibilitatea necesare (a se vedea Decizia Curţii Constituţionale nr. 26 din 18 ianuarie 2012, publicată în Monitorul Oficial al României, Partea I, nr. 116 din 15 februarie 2012).

77. Cât priveşte transpunerea Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016, Curtea reţine că trebuie avute în vedere dispoziţiile art. 288 paragraful 3 din Tratatul privind funcţionarea Uniunii Europene, potrivit cărora „Directiva este obligatorie pentru fiecare stat membru destinatar cu privire la rezultatul care trebuie atins, lăsând autorităţilor naţionale competenţa în ceea ce priveşte forma şi mijloacele”. Cu alte cuvinte, având în vedere definiţia cuprinsă în art. 288 paragraful 3 din Tratatul privind funcţionarea Uniunii Europene, Curtea reţine că directiva - izvor de drept al Uniunii Europene - are caracter obligatoriu pentru statul membru destinatar în privinţa „rezultatului care trebuie atins" (obiectivul urmărit de directivă), în acelaşi timp autorităţile naţionale dispunând de o marjă de apreciere în privinţa alegerii „formei şi mijloacelor”. în acest sens, statul membru nu este ţinut să adopte o anumită tehnică legislativă, el poate recurge la „copierea" dispoziţiilor legislative, la completarea lor, la încorporarea dispoziţiilor directivei într-un cadru legislativ preexistent, la transpunerea parţială sau prin mai multe instrumente normative.

78. Având în vedere aceste consideraţii de principiu, Curtea constată că dispoziţiile examinate respectă normele de tehnică legislativă precitate şi, totodată, constituie transpunerea, prin „copiere”, a dispoziţiilor similare din cuprinsul Directivei (UE) 2016/680 a Parlamentului European şi a Consiliului din 27 aprilie 2016, în condiţiile în care, potrivit art. 63 alin. (1) teza întâi, „Statele membre adoptă şi publică, până la 6 mai 2018, actele cu putere de lege şi actele administrative necesare pentru a se conforma prezentei directive.” Astfel Curtea nu poate reţine apariţia unor situaţii de incoerenţă şi instabilitate la nivelul legislaţiei privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, contrare principiului securităţii raporturilor juridice în componenta sa referitoare la claritatea şi previzibilitatea legii.

79. Referitor la principiul stabilităţii/securităţii raporturilor juridice, Curtea reţine că, prin Decizia nr. 404 din 10 aprilie 2008, publicată în Monitorul Oficial al României, Partea I, nr. 347 din 6 mai 2008, a statuat că, deşi nu este în mod expres consacrat de Constituţia României, acest principiu se deduce atât din prevederile art. 1 alin. (3), potrivit cărora România este stat de drept, democratic şi social, cât şi din preambulul Convenţiei pentru apărarea drepturilor omului şi a libertăţilor fundamentale, astfel cum a fost interpretat de Curtea Europeană a Drepturilor Omului în jurisprudenţa sa. Referitor la acelaşi principiu, instanţa de la Strasbourg a reţinut că „unul dintre elementele fundamentale ale supremaţiei dreptului este principiul securităţii raporturilor juridice” (Hotărârea din 6 iunie 2005, pronunţată în Cauza Androne împotriva României, paragraful 44; Hotărârea din 7 octombrie 2009, pronunţată în Cauza Stanca Popescu împotriva României, paragraful 99). Totodată, Curtea Europeană a Drepturilor Omului a statuat că, odată ce statul adoptă o soluţie, aceasta trebuie să fie pusă în aplicare cu claritate şi coerenţă rezonabile, pentru a evita pe cât este posibil insecuritatea juridică şi incertitudinea pentru subiectele de drept vizate de către măsurile de aplicare a acestei soluţii (Hotărârea din 1 decembrie 2005, pronunţată în Cauza Păduraru împotriva României, paragraful 92; Hotărârea din 6 decembrie 2007, pronunţată în Cauza Beian împotriva României, paragraful 33).

80. În concluzie, din perspectiva aspectelor de claritate şi previzibilitate a dispoziţiilor examinate, în raport cu drepturile la informare şi acces la datele cu caracter personal ale persoanei vizate, respectiv ale persoanelor faţă de care s-a dispus o măsură de supraveghere tehnică în procedura jurisdicţională desfăşurată potrivit normelor procesual penale naţionale în vigoare, Curtea constată că dispoziţiile art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din legea examinată sunt conforme dispoziţiilor constituţionale ale art. 1 alin. (3) referitoare la principiul securităţii raporturilor juridice şi ale art. 1 alin. (5) relative la principiul supremaţiei Constituţiei şi a obligativităţii respectării legilor, sub aspectul previzibilităţii şi clarităţii normei.

81. Pentru considerentele arătate, în temeiul art. 146 lit. a) şi al art. 147 alin. (4) din Constituţie, precum şi al art. 11 alin. (1) lit. A.a), al art. 15 alin. (1) şi al art. 18 alin. (2) din Legea nr. 47/1992, cu unanimitate de voturi,

CURTEA CONSTITUŢIONALĂ

În numele legii

DECIDE:

Respinge, ca neîntemeiată, obiecţia de neconstituţionalitate şi constată că Legea privind protecţia persoanelor fizice referitor la prelucrarea datelor cu caracter personal de către autorităţile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale şi combaterii infracţiunilor sau al executării pedepselor, măsurilor educative şi de siguranţă, precum şi privind libera circulaţie a acestor date, în ansamblul său, precum şi, în special, dispoziţiile art. 12 alin. (1)-(5), art. 13, art. 14, art. 15 alin. (1)-(5) şi art. 16 din aceasta sunt constituţionale în raport cu criticile formulate.

Definitivă şi general obligatorie.

Decizia se comunică Preşedintelui României şi se publică în Monitorul Oficial al României, Partea I.

Pronunţată în şedinţa din data de 20 noiembrie 2018.

 

PREŞEDINTELE CURŢII CONSTITUŢIONALE prof. univ. dr. VALER DORNEANU

Magistrat-asistent,

Mihaela Ionescu