ÎCCJ sesizează Curtea Constituțională pentru că Legea cloud încalcă dreptul la viața privată și separația puterilor în stat

Joi, 6 aprilie 2023, Înalta Curte de Casaţie şi Justiţie, constituită în Secţii Unite, s-a întrunit pentru sesizarea Curţii Constituţionale în vederea exercitării controlului de constituţionalitate, înainte de promulgare, asupra Legii pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice (PL-x 502/2022).

• Lumea are primul ei trilionar
• USR nu susține guvernul Tomac
• Kaja Kallas’s false apartheid remarks add fuel to antisemitism fire in Europe-top european Rabbi
• Kaja Kallas generează un nou scandal. Un cunoscut rabin o acuză pe șefa diplomației europene că declarațiile sale false alimentează flăcările antisemitismului
• Prefectul de Timiș a demisionat

În mai 2022, analistul Radu Puchiu atrăgea atenția că STS va fi principalul decident asupra digitalizării, ceea ce înseamnă militarizarea domeniului, în condițiile în care el trebuia să rămână sub control civil.

„Simplificând mult, OUG de guvernanță a cloud-ului propune o împărțire a rolurilor după cum urmează: MCID – strategie și urmărirea finanțării, ADR – implementare și aducerea aplicațiilor instituțiilor în cloud, SRI – verificarea securității cibernetice a aplicațiilor guvernamentale, STS – construirea centrelor de date, asigurarea securității lor fizice și administrarea cloud-ului (! – subl mea).

Care sunt problemele, dincolo de întrebările puse mai sus? În primul rând, OUG ocolește o cale normală de a discuta pe larg acest subiect declarat foarte important chiar de inițiatori. Ignoră și modelele de care vorbeam care chiar ar trebui luate în calcul. Se duce în schimb spre a „împărți” între cei patru inițiatori roluri, fără o discuție despre ce vrem să se obțină, la ce ajută cloud-ul, cât va costa pe termen lung, care e cel mai bun model de a-l susține economic, ce politică de resurse umane trebuie pusă în aplicare pe termen lung și apoi care e cea mai bună formulă de a asigura guvernanța acestui cloud.

Impunerea STS ca administrator al cloud-ului este făcută pe alte criterii decât cele tehnice. Nu exista o analiză a capacității instituționale a STS de a administra un astfel de proiect. Dincolo de acest aspect se încalcă câteva principii de aranjament instituțional. STS nu are atribuții legale în a administra sistemele infomatice guvernamentale (este mai mult decât clar prin subordonarea sa Parlamentului, nu Guvernului). Plecând de la acest lucru, a încredința ca administrație, ca Guvern, administrarea acestor sisteme unei instituții care nu este în subordinea sau coordonarea sa, este un lucru cel puțin ciudat.

Simplu spus, Cloudul GUVERNAMENTAL trebuie să fie administrat de GUVERN. Nu există nicio rațiune ca pe termen lung, Guvernul, în rolul lui de administrator al Statului să aleagă altă opțiune. E o chestiune de gândire instituțională corectă. Din același motiv nu facem achiziții de autostrăzi sau construcții cu armata și nu urmărim colecatarea de TVA cu ajutorul SRI, dacă înțelegeți logica.”, scria Radu Puchiu într-o analiză publicată de Q Magazine aici.

În urma dezbaterilor, deliberând, Secţiile Unite ale Înaltei Curți de Casație și Justiție au hotărât să fie sesizată Curtea Constituţională cu privire la neconstituţionalitatea dispoziţiilor articolului unic din Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice cu referire la dispoziţiile art. 3 alin. (2), alin. (3), alin. (4), alin. (8), ale art. 4 alin. (4) şi ale art. 10 alin. (8) din Ordonanţa de urgenţă a Guvernului nr. 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, prin raportare la prevederile constituţionale ale art. 61 alin. (1) coroborate cu cele ale art. 1 alin. (4) privind principiul separaţiei şi echilibrului puterilor în stat, precum şi cele ale art. 1 alin. (3) referitoare la statul de drept în componenta sa privind garantarea drepturilor cetăţenilor şi ale art. 1 alin. (5) referitor la principiul legalităţii, sub aspectul exigenţelor privind calitatea legii, precum şi ale art. 26 referitor la dreptul la viaţă privată.

Redăm mai jos Hotărârea Înaltei Curți:

HOTĂRÂREA nr. 1

Şedinţa din 06 aprilie 2023

Sub președinția doamnei judecător Corina-Alina Corbu, preşedintele Înaltei Curţi de Casaţie şi Justiţie,

Înalta Curte de Casaţie şi Justiţie, constituită în Secţii Unite, în conformitate cu dispoziţiile art. 27 lit. b) din Legea nr. 304/2022 privind organizarea judiciară, s-a întrunit pentru sesizarea Curţii Constituţionale în vederea exercitării controlului de constituţionalitate, înainte de promulgare, asupra Legii pentru aprobarea Ordonanţei de urgenţă a Guvernului nr.89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice (PL-x 502/2022).

Sesizarea este legitimată constituţional de dispoziţiile art. 146 lit. a) din Constituţia României şi de prevederile art. 15 alin. (1) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, republicată, cu modificările şi completările ulterioare, care prevăd dreptul Înaltei Curţi de Casaţie şi Justiţie de a sesiza Curtea Constituţională pentru controlul constituţionalităţii legilor înainte de promulgare.

Din totalul de 95 judecători în funcţie, au fost prezenţi 82 judecători.

În urma dezbaterilor, deliberând, Secţiile Unite au hotărât să fie sesizată Curtea Constituţională cu privire la neconstituţionalitatea dispoziţiilor articolului unic din Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr.89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice cu referire la dispoziţiile art. 3 alin. (2), alin. (3), alin. (4), alin. (8), ale art. 4 alin. (4) şi ale art. 10 alin. (8) din Ordonanţa de urgenţă a Guvernului nr.89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, prin raportare la prevederile constituţionale ale art. 61 alin. (1) coroborate cu cele ale art. 1 alin. (4) privind principiul separaţiei şi echilibrului puterilor în stat, precum şi cele ale art. 1 alin.

• referitoare la statul de drept în componenta sa privind garantarea drepturilor cetăţenilor şi ale art. 1 alin. (5) referitor la principiul legalităţii, sub aspectul

exigenţelor privind calitatea legii, precum şi ale art. 26 referitor la dreptul la viaţă privată.

I.   Aspecte prealabile

– În conformitate cu prevederile art. 15 alin. (2) din Legea nr. 47/1992 privind organizarea şi funcţionarea Curţii Constituţionale, republicată, cu modificările şi completările ulterioare, termenul în care poate fi sesizată instanţa de control constituţional este de 5 zile de la data depunerii legii adoptate la secretarii generali ai celor două Camere ale Parlamentului, respectiv de 2 zile, începând de la acelaşi moment, dacă legea a fost adoptată în procedură de urgenţă.

Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr.89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice a fost adoptată de Camera Deputaţilor, în calitate de Cameră decizională, în procedură de urgenţă, în data de 29 martie 2023 şi a fost depusă la secretarul general în data de 03 aprilie 2023, pentru exercitarea dreptului de sesizare cu privire la neconstituţionalitatea legii, iar în data de 05 aprilie 2023 a fost trimisă Preşedintelui României pentru promulgare.

În acord cu jurisprudenţa Curţii Constituţionale (Decizia nr. 67/2018, publicată în M. Of. nr. 223 din 13 martie 2018, paragraful 70), obiecţia de neconstituţionalitate „(i) va fi întotdeauna admisibilă dacă se realizează în interiorul termenelor legale de 5 zile, respectiv 2 zile, prevăzute de art. 15 alin.

• din Legea nr. 47/1992, (ii) va fi admisibilă după depăşirea termenului legal prevăzut de Legea nr. 47/1992, în interiorul termenelor de promulgare de 20 de zile, respectiv 10 zile, prevăzute de art. 77 alin. (1) şi (3) din Constituţie, însă condiţionat de nepromulgarea legii, (iii) va fi admisibilă în ipoteza întreruperii termenului de promulgare, ca urmare a formulării în prealabil a unei alte sesizări de neconstituţionalitate, doar dacă s-a realizat în interiorul termenului de promulgare de 20 de zile, respectiv de 10 zile, pe care titularul sesizării l-ar fi avut la dispoziţie ipotetic, dacă nu ar fi intervenit cazul de întrerupere a procedurii promulgării. Dimpotrivă, dacă nu sunt întrunite condiţiile cu privire la termenele stabilite de lege şi de Constituţie, sesizarea Curţii va fi respinsă ca inadmisibilă.”

În raport de faptul că legea criticată nu a fost promulgată la momentul formulării prezentei obiecţii de neconstituționalitate, este neîndoielnic că aceasta îndeplineşte condiţiile de admisibilitate sub aspectul respectării termenelor în care poate fi sesizată instanţa de control constituţional.

– Potrivit unei jurisprudenţe constante a instanţei de contencios constituţional (cu titlu exemplificativ, Decizia nr. 55/2022, publicată în M. Of. nr. 358 din 11 aprilie 2022 – paragraful 138), „viciul de neconstituţionalitate al unei ordonanţe simple sau al unei ordonanţe de urgenţă emise de Guvern nu poate fi acoperit prin aprobarea de către Parlament a ordonanţei respective. Legea care

aprobă o ordonanţă de urgenţă neconstituţională este ea însăşi neconstituţională.”

În jurisprudenţa sa, Curtea a mai statuat că viciul de neconstituţionalitate extrinsec ce priveşte însăşi adoptarea ordonanţei de urgenţă determină întotdeauna neconstituţionalitatea legii de aprobare a acesteia, în ansamblu (cu titlu de exemplu, Decizia nr. 412 din 20 iunie 2019, publicată în M. Of. nr. 570 din 11

iulie 2019, paragraful 45).

Întrucât viciile de neconstituţionalitate detaliate în continuare vizează soluţii normative regăsite în cuprinsul ordonanţei de urgenţă a Guvernului, constatarea temeiniciei motivelor de neconstituţionalitate se răsfrâng asupra legii de aprobare, în ansamblu.

II.   Obiectul sesizării

Articolul unic din Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr.89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice, cu următorul cuprins:

„Se aprobă Ordonanţa de urgenţă a Guvernului nr. 89 din 27 iunie 2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizate de autoritățile și instituțiile publice, publicată în Monitorul Oficial al României, Partea I, nr. 638 din 28 iunie 2022, cu următoarele modificări și completări: (…)”

• art. 3. – Atribuţiile MCID

„(2) Cadrul de management şi stocare a datelor în Platformă, inclusiv stabilirea categoriilor de date prelucrate în Platformă şi găzduite de Cloudul Privat Guvernamental, cloud privat, cloud public, după caz, se realizează prin hotărâre de Guvern, la propunerea MCID, în termen de maximum 90 de zile de la data intrării în vigoare a hotărârii prevăzute la art. 1 alin. (4).

• Politica, strategia, criteriile tehnice şi operaţionale privind implementarea, operarea, mentenanţa şi dezvoltarea ulterioară a Cloudului Privat Guvernamental, regulile privind stabilirea nivelului agreat de servicii, precum şi cele privind migrarea sau, după caz, interconectarea sistemelor informatice se stabilesc prin hotărâre de Guvern, la propunerea MCID, cu consultarea prealabilă a ADR, STS şi SRI, în termen de maximum 90 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă.
• Planul pentru migrarea şi integrarea în Cloudul Privat Guvernamental a sistemelor informatice şi a serviciilor publice electronice ale instituţiilor şi autorităţilor aparţinând administraţiei publice, precum şi lista autorităţilor şi instituţiilor publice ale căror sisteme informatice şi servicii publice electronice migrează în Cloudul Privat Guvernamental se stabilesc prin hotărâre de guvern iniţiată de MCID, la propunerea ADR, în termen de maximum 90 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă.

• În termen de maximum 90 de zile de la data intrării în vigoare a prezentei ordonanţe de urgenţă, MCID, la propunerea ADR, cu sprijinul STS şi SRI, propune spre adoptare, prin hotărâre de Guvern, criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, adaptării la standarde tehnice şi semantice, respectiv a performanţei aplicaţiilor de tip SaaS găzduite în Platformă, prin intermediul unui marketplace, inclusiv a aplicaţiilor dezvoltate de mediul privat, prin intermediul catalogului definit la art. 2 lit. n).”

• art. 4. – Atribuţiile ADR

„(4) Migrarea, integrarea şi interconectarea în Cloudul Privat Guvernamental a sistemelor informatice ale autorităţilor şi instituţiilor publice se asigură de către ADR, în conformitate cu hotărârea prevăzută la art. 3 alin. (4), pe baza acordului încheiat de ADR cu fiecare autoritate şi instituţie publică notificată de către ADR în vederea migrării, inclusiv cele prevăzute la art. 1 alin. (12)”.

• art. 10. – Proprietatea, jurnalizarea şi auditul Cloudului Privat Guvernamental

„(8) Normele metodologice privind jumalizarea evenimentelor şi accesului la datele autorităţilor şi instituţiilor publice găzduite în Cloudul Privat Guvernamental se aprobă prin hotărârea prevăzută la art 3 alin. (2).”

III.     Încălcarea art. 61 alin. (1) şi a art. 1 alin. (4) din Constituție referitoare la principiul separației şi echilibrului puterilor în stat. Motiv de neconstituționalitate extrinsecă.

Legea pentru aprobarea Ordonanţei de urgenţă a Guvernului nr.89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice (PL-x 502/2022) încalcă dispoziţiile art. 61 alin. (1) şi ale art. 1 alin. (4) din Constituţie, prin faptul că instituie posibilitatea de reglementare a unor norme de nivel primar referitoare la stocarea, prelucrarea, accesul, stabilirea categoriilor de date, inclusiv cele cu caracter personal, stabilirea criteriilor generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii, migrării acestor date prin intermediul hotărârii de Guvern, act normativ de nivel secundar, al cărei regim constituţional constă în executarea cadrului juridic primar.

În considerentele nr. 73-75 ale Deciziei nr. 62/2018 (publicată în M. Of. nr.

373 din 02 mai 2018), Curtea Constituţională, a reţinut următoarele:

„73. Astfel, soluţia legislativă, potrivit căreia Guvernul poate ca, prin hotărâre, să adauge noi entităţi economice celor care sunt deja sau vor fi exceptate, prin lege, de la aplicarea regimului juridic prevăzut de Ordonanţa de urgenţă a Guvernului nr. 109/2011, este contrară art. 61 alin. (1) din Constituţie, potrivit căruia Parlamentul este unica autoritate legiuitoare a ţării, coroborat cu art. 1 alin. (4) din aceasta, care prevede principiul separării şi echilibrului puterilor în stat.

74. Parlamentul, prin dispoziţiile legale mai sus menţionate, a procedat, practic, în sensul unei “negări de legiferare” sau a unei “de-legiferări”, prevăzând în competenţa Guvernului atribuţia de a stabili, prin hotărâre, entităţile comerciale cu capital integral sau majoritar de stat care pot fi exceptate de la regimul legal al guvernanţei corporative, stabilit prin Ordonanţa de urgenţă a Guvernului nr. 109/2011, aprobată prin Legea nr. 111/2016. Or, hotărârile Guvernului sunt adoptate în scopul aplicării legii, în sensul reglementării unor modalităţi concrete şi detaliate de aducere la îndeplinire a măsurilor prevăzute de lege, astfel cum impune art. 108 alin. (2) din Constituţie: “Hotărârile se emit pentru organizarea executării legilor”. Prin urmare, dispoziţia legală prin care se atribuie Guvernului competenţa de a legifera în materii ce intră în sfera de reglementare a legii, şi nu a hotărârii Guvernului, nu poate avea natura unei simple “soluţii tehnice, în concordanţă cu atribuţiile Guvernului şi cu specificul raporturilor juridice de interes pentru o astfel de reglementare normativă”, aşa cum se apreciază în punctul de vedere al preşedintelui Senatului. Deşi ar avea un aparent temei legal, o asemenea hotărâre a Guvernului depăşeşte rolul său constituţional de strictă aplicare şi detaliere a normei legale – de rang superior – deoarece, prin conţinutul său, reglementează în mod direct şi distinct noi destinatari ai unor exceptări de la aplicarea regimului legal al guvernanţei corporative a întreprinderilor publice, având, în definitiv, acelaşi obiect de reglementare ca şi legea examinată în prezenta cauză. Totodată, chiar dacă materia reglementată prin legea examinată intră, prin specificul său, în domeniul de activitate şi în sfera raporturilor juridice de interes specifice Guvernului, nu se poate justifica această manieră de reglementare, în sensul atribuirii de competenţă de legiferare.

În considerentul 76 al aceleiaşi decizii, Curtea Constituţională reţine că „În plus, în speţă, contrar prevederilor art. 1 alin. (4) şi art. 61 alin. (1) din Constituţie, Parlamentul lasă la latitudinea exclusivă a Guvernului modalitatea de aplicare a unui act normativ de nivelul legii, creând posibilitatea ca, prin hotărâri ale puterii executive, acesta să fie golit de conţinut, prin excluderea tuturor destinatarilor săi. Curtea observă, din această perspectivă, faptul că legea examinată nu corespunde exigenţelor de reglementare a normei juridice, fiind aptă să genereze confuzii şi ambiguitate în procesul de aplicare şi interpretare a legii, aşa cum susţin şi autorii sesizării de neconstituţionalitate. Această modalitate de reglementare poate avea consecinţe negative asupra respectării principiului legalităţii, prevăzut de art. 1 alin. (5) din Constituţie, existând pericolul afectării stabilităţii raporturilor juridice, prin încălcarea exigenţelor de calitate a legii, respectiv previzibilitatea şi claritatea legii.”

Examinarea Legii pentru aprobarea Ordonanţei de urgenţă a Guvernului nr.89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice (PL-x 502/2022) din perspectiva jurisprudenţei Curţii Constituţionale conduce la concluzia că au fost încălcate dispoziţiile art. 61 alin. (1) şi ale art. 1 alin. (4) din Constituţie referitoare la principiul separației şi echilibrului puterilor în stat, întrucât soluţiile legislative prevăzute la art. 3 alin. (2), (3), (4), (8), la art. 4 alin.

(4) şi la 10 alin. (8) din actul normativ analizat atribuie Guvernului competenţa de a legifera în materii ce intră în sfera de reglementare a legii, iar nu a hotărârii Guvernului deoarece, prin conţinutul lor, reglementează în mod direct şi distinct aspecte legate stocarea, prelucrarea sau accesul la datele cu caracter personal, norme care trebuie să beneficieze de reglementare la nivel primar.

Astfel, „stabilirea categoriilor de date prelucrate în Platformă”, „politica, strategia, criteriile tehnice şi operaţionale (…) regulile privind migrarea şi interconectare”, „ criteriile generale de asigurare a confidenţialităţii, securităţii, interoperabilităţii” prevăzute de dispoziţiile art. 3 alin. (2), alin. (3) şi alin. (8) din Ordonanţa de urgenţă a Guvernului nr. 89/2022 sunt chestiuni esenţiale, cu incidenţă directă asupra dreptului la viaţă privată a persoanelor, care, din această perspectivă, trebuie reglementate prin dispoziţii de rang primar.

De asemenea, regulile şi criteriile privind „accesul la datele autorităţilor şi instituţiilor publice găzduite în Cloudul Privat Guvernamental” prevăzute de dispoziţiile art. 10 alin. (8) din aceeaşi ordonanţă trebuie să beneficieze de o reglementare la nivel primar, urmând ca măsurile subsecvente de punere în aplicare şi de detaliere a operaţiunilor necesare în acest sens să poată fi reglementate prin norme metodologice aprobate prin hotărâre a Guvernului.

Precizăm că regimul constituţional al hotărârilor Guvernului este stabilit de dispoziţiile art. 108 din Constituţie, potrivit cărora hotărârile Guvernului sunt acte administrative normative sau individuale, emise în scopul bunei administrări a executării cadrului normativ primar, care reclamă stabilirea de măsuri şi reguli subsecvente, care să asigure corecta aplicare a acestuia. Hotărârile se adoptă întotdeauna în baza legii, secundum legem, şi asigură aplicarea sau aducerea la îndeplinire a legilor. Astfel, norma de reglementare secundară trebuie să fie conformă normei de reglementare primară, în niciun caz nu poate fi contrară și nici nu poate completa sau modifica norma de reglementare primară (cu titlu exemplificativ, Decizia nr. 63/2017, publicată în M. Of. nr. 145 din 27 februarie 2017, paragraful 89).

Or, dispoziţiile criticate legiferează în mod direct materii ce intră în sfera de reglementare a legii, în ce priveşte protecţia datelor cu caracter personal şi, corolar, respectarea dreptului la viaţă privată.

În consecinţă, această modalitate de reglementare depăşeşte rolul constituţional al hotărârilor de Guvern, de strictă aplicare şi detaliere a normei legale, contrar prevederilor art. 61 alin. (1) şi cele ale art. 1 alin. (4) din Constituţie.

IV.  Încălcarea art. 1 alin. (3) cu privire la statul de drept în componenta sa privind garantarea drepturilor cetăţenilor, ale art. 1 alin. (5) referitor la principiul legalităţii, sub aspectul exigenţelor privind calitatea legii, precum şi ale art. 26 referitor la dreptul la viaţă privată. Motiv de neconstituţionalitate intrinsecă.

În considerentul 51 din Decizia 62/2018, ante-referită, Curtea Constituţională a reţinut că „orice act normativ trebuie să îndeplinească anumite

condiţii calitative, printre acestea numărându-se previzibilitatea, ceea ce presupune că acesta trebuie să fie suficient de precis şi clar pentru a putea fi aplicat (a se vedea în acest sens, spre exemplu, Decizia nr. 189 din 2 martie 2006, publicată în Monitorul Oficial al României, Partea I, nr. 307 din 5 aprilie 2006, Decizia nr. 903 din 6 iulie 2010, publicată în Monitorul Oficial al României, Partea I, nr. 584 din 17 august 2010, sau Decizia nr. 26 din 18 ianuarie 2012, publicată în Monitorul Oficial al României, Partea I, nr. 116 din 15 februarie 2012). În acelaşi sens, Curtea Europeană a Drepturilor Omului a statuat că legea trebuie, într-adevăr, să fie accesibilă justiţiabilului şi previzibilă în ceea ce priveşte efectele sale. Pentru ca legea să satisfacă cerinţa de previzibilitate, ea trebuie să precizeze cu suficientă claritate întinderea şi modalităţile de exercitare a puterii de apreciere a autorităţilor în domeniul respectiv, ţinând cont de scopul legitim urmărit, pentru a oferi persoanei o protecţie adecvată împotriva arbitrarului (a se vedea Hotărârea din 4 mai 2000, pronunţată în Cauza Rotaru împotriva României, paragraful 52, şi Hotărârea din 25 ianuarie 2007, pronunţată în Cauza Sissanis împotriva României, paragraful 66). O lege îndeplineşte condiţiile calitative impuse atât de Constituţie, cât şi de Convenţie, numai dacă norma este enunţată cu suficientă precizie pentru a permite cetăţeanului să îşi adapteze conduita în funcţie de aceasta, astfel încât, apelând la nevoie la consiliere de specialitate în materie, el să fie capabil să prevadă, într- o măsură rezonabilă, faţă de circumstanţele speţei, consecinţele care ar putea rezulta dintr-o anumită faptă şi să îşi corecteze conduita (în acest sens, Decizia Curţii Constituţionale nr. 1 din 11 ianuarie 2012, publicată în Monitorul Oficial al României, Partea I, nr. 53 din 23 ianuarie 2012, şi Decizia Curţii Constituţionale nr. 743 din 2 iunie 2011, publicată în Monitorul Oficial al României, Partea I, nr. 579 din 16 august 2011, precum şi jurisprudenţa Curţii Europene a Drepturilor Omului cu privire la care se reţin, spre exemplu, Hotărârea din 15 noiembrie 1996, pronunţată în Cauza Cantoni împotriva Franţei, paragraful 29, Hotărârea din 25 noiembrie 1996, pronunţată în Cauza Wingrove împotriva Regatului Unit, paragraful 40, Hotărârea din 9 noiembrie 2006, pronunţată în Cauza Leempoel & S.A. ED. Cine Revue împotriva Belgiei, paragraful 59).”

În considerentul 57 din Decizia nr. 440/2014 (publicată în M. Of. nr. 653 din 04 septembrie 2014) Curtea Constituţională a reţinut că „În al treilea rând, legea criticată nu cuprinde norme clare şi precise cu privire la conţinutul şi aplicarea măsurii reţinerii şi utilizării, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să asigure o protecţie eficientă împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, că accesul autorităţilor naţionale la datele stocate nu este condiţionat, în toate cazurile, de controlul prealabil efectuat de către o instanţă sau de o entitate administrativă independentă, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a

îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă.”

În considerentul 68 din Decizia nr. 440/2014, Curtea Constituţională a reţinut că „legea nu prevede un mecanism autentic de control, care să asigure acestor instituţii o verificare permanentă şi efectivă a respectării dispoziţiilor legale, astfel încât să poată fi sesizate cu uşurinţă cazurile în care furnizorii de servicii încalcă dispoziţiile legale privitoare la tipul de date reţinute, durata în care acestea sunt stocate, distrugerea lor în cazurile prevăzute de lege ori organele şi instituţiile cărora li se permite accesul la aceste date. (…) Nereglementarea unui mecanism real de control a activităţii furnizorilor de reţele publice şi de servicii de comunicaţii electronice de către o autoritate independentă echivalează cu lipsa unor garanţii, astfel cum sunt impuse de prevederile art. 26 şi art. 28 din Constituţie, care să permită o protecţie eficientă a datelor păstrate împotriva riscurilor de abuz, precum şi a oricărui acces ori utilizări ilicite a acestor date.”

Totodată, prin paragraful 135 din Decizia nr. 295/2022 (publicată în M. Of. nr. 568 din 10 iunie 2022), Curtea Constituţională a apreciat următoarele: „Cu privire la limitarea exerciţiului dreptului la viaţă intimă, familială şi privată şi la secretul corespondenţei, precum şi a libertăţii de exprimare, în jurisprudenţa sa (…), Curtea a stabilit că aceasta trebuie să aibă loc într-o manieră clară, previzibilă şi lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului autorităţilor în acest domeniu”, iar în paragraful 138 din aceeaşi decizie a reţinut că „(…) Curtea a reţinut că, în condiţiile în care măsurile adoptate prin legea supusă controlului de constituţionalitate nu aveau un caracter precis şi previzibil, ingerinţa statului în exercitarea drepturilor fundamentale protejate constituţional referitoare la viaţa intimă, familială şi privată, la secretul corespondenţei, precum şi la libertatea de exprimare, deşi prevăzută de lege, nu a fost formulată clar, riguros şi exhaustiv pentru a oferi încredere cetăţenilor, caracterul strict necesar într-o societate democratică nu a fost pe deplin justificat, iar proporţionalitatea măsurii nu a fost asigurată prin reglementarea unor garanţii corespunzătoare (…).”

Din examinarea prevederilor criticate ale Ordonanţei de urgenţă a Guvernului nr. 89/2022 se constată nerespectarea dispoziţiilor constituţionale ale art. 1 alin. (3) şi (5), precum şi ale art. 26 referitor la dreptul la viaţă privată, câtă vremea legiuitorul omite să reglementeze garanţii privind respectarea acestor drepturi.

Deşi legiuitorul instituie în art. 9 din actul normativ analizat dispoziţii referitoare la prelucrarea datelor cu caracter personal şi respectarea legislaţiei aplicabile în acest domeniu, acest articol are un simplu caracter declarativ, fără efecte juridice, câtă vreme prevederile concrete legate de stocarea, prelucrarea, accesul şi alte asemenea operaţiuni cu privire la date cu caracter personal sunt atribuite spre reglementare, în concret, la nivel infralegal. Or, lipsa de previzibilitate și claritate a noilor reglementări determină imposibilitatea identificării destinatarilor legii. precum și conformarea acestora cu privire la îndeplinirea obligațiilor prevăzute în sarcina lor.

Prin urmare, textele de lege criticate sunt lipsite de claritate şi previzibilitate, nu respectă condiţiile impuse de principiul proporţionalităţii şi nu oferă garanţii care să asigure confidenţialitatea datelor cu caracter personal, aducând atingere însăşi esenţei dreptului fundamental la viaţă intimă, familială şi privată, contrar art. 1 alin. (5) din Constituţie, câtă vreme aspecte esenţiale legate de stocarea, prelucrarea sau accesul la datele cu caracter personal se preconizează a se reglementa prin hotărâre a Guvernului, iar nu prin intermediul legii.

În consecință, pentru considerentele de mai sus, Înalta Curte de Casaţie şi Justiţie, constituită în Secţii Unite

HOTĂRĂŞTE:

Sesizarea Curţii Constituţionale pentru a se pronunța asupra neconstituționalității Legii pentru aprobarea Ordonanţei de urgenţă a Guvernului nr.89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizate de autorităţile şi instituţiile publice (PL-x 502/2022).

Anexăm în copie tabelele cu semnături.