CONCLUZIILE AVOCATULUI GENERAL
HENRIK SAUGMANDSGAARD ØE
prezentate la 3 mai 2018(1)
Cauza C‑207/16
Ministerio Fiscal
[cerere de decizie preliminară formulată de Audiencia Provincial de Tarragona (Curtea Provincială din Tarragona, Spania)]
„Trimitere preliminară – Comunicații electronice – Prelucrarea datelor cu caracter personal – Dreptul la viață privată și dreptul la protecția unor astfel de date – Directiva 2002/58/CE – Articolul 1 și articolul 15 alineatul (1) – Carta drepturilor fundamentale a Uniunii Europene – Articolele 7 și 8, precum și articolul 52 alineatul (1) – Date colectate în cadrul prestării de servicii de comunicații electronice – Cerere de acces formulată de o autoritate polițienească în scopul efectuării anchetei penale – Principiul proporționalității – Noțiunea «infracțiune gravă» care poate justifica o ingerință în drepturile fundamentale – Criterii privind gravitatea – Pedeapsă aplicată – Prag minim”
I. Introducere
1. Prezenta trimitere preliminară privește în esență interpretarea noțiunii „infracțiuni grave”(2) în sensul jurisprudenței Curții rezultate din Hotărârea Digital Rights Ireland și alții(3) (denumită în continuare „Hotărârea Digital Rights”), iar apoi din Hotărârea Tele2 Sverige și Watson și alții(4) (denumită în continuare „Hotărârea Tele2”), în care această noțiune a fost utilizată ca un criteriu de apreciere a legitimității și a proporționalității unei ingerințe în drepturile consacrate la articolele 7 și 8 din Carta drepturilor fundamentale a Uniunii Europene (denumită în continuare „carta”), și anume dreptul la respectarea vieții private și de familie, precum și, respectiv, dreptul la protecția datelor cu caracter personal.
2. Această trimitere preliminară se înscrie în cadrul unei acțiuni introduse împotriva unei hotărâri judecătorești prin care se refuză autorităților polițienești posibilitatea de a li se comunica anumite date de stare civilă deținute de operatori de rețele de telefonie mobilă pentru a identifica persoane în scopul efectuării unei anchete penale. Decizia atacată a fost motivată, printre altele, de împrejurarea că faptele aflate la originea acestei anchete nu ar fi constituit o infracțiune gravă, spre deosebire de ceea ce ar impune reglementarea spaniolă aplicabilă.
3. Instanța de trimitere solicită Curții în esență să se pronunțe cu privire la modul de stabilire a pragului de gravitate a încălcărilor de la care poate fi justificat, în raport cu jurisprudența citată anterior, să se aducă atingere drepturilor fundamentale protejate la articolele 7 și 8 din cartă, cu ocazia accesului autorităților naționale competente la date cu caracter personal care au fost păstrate de prestatori de servicii de comunicații electronice.
4. După ce vom stabili că Curtea este competentă să se pronunțe cu privire la această cerere de decizie preliminară și că aceasta din urmă este admisibilă, intenționăm să demonstrăm că accesul la date cu caracter personal în circumstanțe precum cele din speță implică o ingerință în drepturile fundamentale menționate mai sus care nu corespunde situațiilor în care numai combaterea infracțiunilor grave poate justifica încălcarea drepturilor respective, în conformitate cu jurisprudența citată anterior.
5. Întrucât considerăm că, având în vedere obiectul special al litigiului principal, Curtea nu va trebui să răspundă la întrebările preliminare în formularea lor inițială, numai cu titlu subsidiar vom furniza indicații cu privire la criteriile care ar permite eventual să se definească noțiunea „infracțiuni grave” în sensul acestei jurisprudențe, în special în raport cu criteriul pedepsei aplicate.
II. Cadrul juridic
A. Dreptul Uniunii
6. Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor electronice (Directiva asupra confidențialității și comunicațiilor electronice)(5), astfel cum a fost modificată prin Directiva 2009/136/CE(6) (denumită în continuare „Directiva 2002/58”), enunță în preambulul său:
„(2) Prezenta directivă dorește respectarea drepturilor fundamentale și a principiilor recunoscute în special de [cartă]. Directiva caută să asigure în special respectarea deplină a drepturilor menționate la articolele 7 și 8 [din aceasta].
[…]
(11) La fel ca Directiva 95/46/CE[(7)], prezenta directivă nu se referă la chestiuni de protecție a drepturilor și libertăților fundamentale legate de activități care nu sunt reglementate de legile comunitare. Prin urmare, aceasta nu aduce atingere echilibrului existent între dreptul indivizilor la confidențialitate și posibilitatea ca statele membre să ia măsurile stipulate la articolul 15 alineatul (1) al prezentei directive, posibilitate necesară în vederea protejării siguranței publice, apărării și siguranței statului (inclusiv bunăstării economice a acestuia, în cazul în care activitățile respective sunt legate de chestiuni de siguranța statului) și întăririi legii penale. În consecință, prezenta directivă nu interzice statelor membre să efectueze interceptări legale ale comunicațiilor electronice sau să ia alte măsuri pentru atingerea scopurilor menționate anterior, dacă acest lucru este necesar și în conformitate cu Convenția Europeană pentru Protecția Drepturilor Omului și a Libertăților Fundamentale [denumită în continuare «CEDO»], așa cum este aceasta interpretată de Curtea Europeană a Drepturilor Omului. Aceste măsuri trebuie să fie corespunzătoare, strict proporționale cu scopul urmărit și necesare în cadrul unei societăți democratice și trebuie însoțite de precauțiile corespunzătoare în conformitate cu [CEDO][(8)].”
7. Potrivit articolului 1 din Directiva 2002/58, intitulat „Sfera de aplicare și scopul”:
„(1) Prezenta directivă prevede armonizarea dispozițiilor naționale, lucru necesar în vederea asigurării unui nivel echivalent de protecție a drepturilor și a libertăților fundamentale, în special a dreptului la confidențialitate și la respectarea vieții private, în domeniul prelucrării de date cu caracter personal în sectorul comunicațiilor electronice […]
[…]
(3) Prezenta directivă nu se aplică activităților care nu sunt cuprinse în domeniul de aplicare al Tratatului de instituire a Comunității Europene, cum sunt cele menționate la titlurile V și VI ale Tratatului privind Uniunea Europeană, și în orice caz activităților legate de siguranța publică, de apărare, de siguranța statului (inclusiv de bunăstarea economică a acestuia, dacă activitățile respective sunt legate de chestiuni de siguranța statului) și activităților statului în domeniul legii penale.”
8. Articolul 2 din aceasta, intitulat „Definiții”, are următorul cuprins:
„Cu excepția cazurilor în care se precizează altfel, se aplică definițiile din Directiva [95/46] și din Directiva 2002/21/CE a Parlamentului European și a Consiliului din 7 martie 2002 privind cadrul comun de reglementare a rețelelor și serviciilor de comunicații electronice (Directiva‑cadru)[(9)].
Se aplică de asemenea următoarele definiții:
(a) «utilizator» înseamnă orice persoană fizică ce folosește un serviciu public de comunicații electronice, în scopuri profesionale sau personale, fără a fi în mod necesar abonat la serviciul respectiv;
(b) «date de transfer» înseamnă orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării;
(c) «date de localizare» înseamnă orice date prelucrate într‑o rețea de comunicații electronice sau prin intermediul unui serviciu de comunicații electronice, care indică poziția geografică a echipamentului terminal al unui utilizator al unui serviciu de comunicații electronice destinat publicului;
(d) «comunicație» înseamnă orice informație trimisă sau transmisă între un număr finit de părți prin intermediul unui serviciu public de comunicații electronice. Această categorie nu include informațiile transmise în cadrul unui serviciu de radiodifuziune pentru public prin intermediul unei rețele de comunicații electronice, în măsura în care aceste informații nu pot fi relaționate cu un abonat sau cu un utilizator identificabil care primește informația;
[…]”
9. Articolul 15 din Directiva 2002/58, intitulat „Aplicarea anumitor dispoziții ale Directivei [95/46]”, prevede, la alineatul (1), că „[s]tatele membre pot adopta măsuri legislative pentru a restrânge sfera de aplicare a drepturilor și obligațiilor prevăzute la articolul 5, articolul 6, articolul 8 alineatele (1), (2), (3) și (4) și articolul 9 ale prezentei directive, în cazul în care restrângerea lor constituie o măsură necesară, corespunzătoare și proporțională în cadrul unei societăți democratice pentru a proteja securitatea națională (de exemplu siguranța statului), apărarea, siguranța publică sau pentru prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale sau a folosirii neautorizate a sistemelor de comunicații electronice, în conformitate cu articolul 13 alineatul (1) al Directivei [95/46]. În acest scop, statele membre pot adopta, inter alia, măsuri legislative care să permită reținerea de date, pe perioadă limitată, pentru motivele arătate anterior în acest alineat. Toate măsurile menționate în acest alineat trebuie să fie conforme cu principiile generale ale legislației comunitare, inclusiv cu cele menționate la articolul 6 alineatele (1) și (2) al Tratatului privind Uniunea Europeană”.
B. Dreptul spaniol
1. Legea 25/2007
10. Ley 25/2007 de conservación de datos relativos a las comunicaciones electrónicas y a la redes públicas de comunicaciones (Legea 25/2007 privind păstrarea datelor referitoare la comunicațiile electronice și la rețelele publice de comunicații) din 18 octombrie 2007(10) (denumită în continuare „Legea 25/2007”) a transpus în dreptul spaniol Directiva 2006/24(11), care a fost declarată nevalidă de Curte prin Hotărârea Digital Rights.
11. Potrivit articolului 1 din Legea 25/2007, în versiunea aplicabilă faptelor din litigiul principal:
„1. Prezenta lege are ca scop reglementarea obligației operatorilor de a păstra datele generate sau prelucrate în contextul prestării de servicii de comunicații electronice sau de rețele de comunicații publice, precum și obligația de a comunica datele respective agenților abilitați ori de câte ori acestea sunt solicitate prin intermediul autorizației judiciare corespunzătoare, în vederea descoperirii, a anchetării și a judecării infracțiunilor grave prevăzute în Codul penal sau în legile penale speciale.
2. Prezenta lege se aplică datelor de trafic și datelor de localizare care privesc atât persoanele fizice, cât și persoanele juridice, precum și datelor conexe necesare pentru identificarea abonatului sau a utilizatorului înregistrat.
[…]”
12. Articolul 3 din legea menționată enumeră datele pe care operatorii au obligația să le păstreze. Este vorba în special, în temeiul alineatului 1 litera a) punctul 1 subpunctul ii) din acest articol, de datele necesare pentru urmărirea și identificarea sursei unei comunicații, precum, în ceea ce privește telefonia mobilă, numele și adresa abonatului sau ale utilizatorului înregistrat.
2. Codul penal
13. În temeiul articolului 13 alineatul 1 din Codul penal spaniol, în versiunea aplicabilă faptelor din litigiul principal, „[i]nfracțiunile grave sunt cele sancționate de lege cu o pedeapsă gravă”.
14. Articolul 33 din codul menționat are următorul cuprins:
„1. În funcție de natura și de durata acestora, pedepsele sunt calificate ca fiind grave, mai puțin grave și ușoare.
2. Pedepsele grave sunt:
a) detențiunea pe viață comutabilă.
b) închisoarea mai mare de cinci ani.
[…]”
3. Codul de procedură penală
15. Codul de procedură penală spaniol a fost modificat prin Ley Orgánica 13/2015 de modificación de la Ley de Enjuiciamiento Criminal para el fortalecimiento de las garantías procesales y la regulación de las medidas de investigación tecnológica (Legea organică 13/2015 de modificare a Codului de procedură penală în scopul consolidării garanțiilor procedurale și al reglementării măsurilor de anchetare tehnologică) din 5 octombrie 2015(12) (denumită în continuare „Legea organică 13/2015”).
16. Această lege, intrată în vigoare la 6 decembrie 2015, include, în Codul de procedură penală, domeniul accesului la datele privind comunicațiile telefonice și telematice care au fost păstrate de prestatorii de servicii de comunicații electronice.
17. Potrivit articolului 579 alineatul 1 din Codul de procedură penală, în versiunea rezultată din legea menționată, „instanța poate autoriza interceptarea corespondenței private, poștale și telegrafice, inclusiv faxuri, scrisori și mandate poștale internaționale, pe care suspectul le trimite sau le primește, precum și deschiderea și analizarea acesteia, în cazul în care există indicii care sugerează că acest lucru va permite descoperirea sau verificarea unui fapt sau a unui element relevant în speță, în măsura în care ancheta are ca obiect una dintre următoarele infracțiuni:
1) infracțiuni comise cu intenție, sancționate cu o pedeapsă al cărei maxim special este închisoarea de cel puțin trei ani;
2) infracțiuni comise în cadrul unui grup infracțional organizat;
3) infracțiuni de terorism.”
18. Articolul 588 ter j din același cod, intitulat „Datele existente în arhivele automatizate ale prestatorilor de servicii”, prevede:
„1. Datele electronice păstrate de prestatorii de servicii sau de persoanele care facilitează comunicația, în conformitate cu legislația privind păstrarea datelor referitoare la comunicațiile electronice sau din proprie inițiativă, din motive comerciale sau de altă natură și care au legătură cu procesele de comunicație, pot fi comunicate în vederea folosirii în proces numai pe bază de autorizație judiciară.
2. Atunci când cunoașterea acestor date este indispensabilă pentru anchetă, trebuie să se solicite instanței competente o autorizație de acces la informațiile păstrate în arhivele automatizate ale prestatorilor de servicii, inclusiv pentru o căutare încrucișată sau inteligentă a datelor, cu condiția să se precizeze natura datelor căutate și motivele care justifică comunicarea acestora.”
III. Litigiul principal, întrebările preliminare și procedura în fața Curții
19. Domnul Hernández Sierra a depus o plângere la poliție pentru furtul săvârșit cu violență al portofelului și al telefonului său mobil, care ar fi avut loc la 16 februarie 2015 și în cursul căruia ar fi fost grav rănit.
20. La 27 februarie 2015, poliția judiciară a introdus la Juzgado de Instrucción nº 3 de Tarragona (judecătorul de instrucție nr. 3 din Tarragona, Spania, denumit în continuare „judecătorul de instrucție”) o cerere prin care a solicitat obligarea diferiților operatori de telefonie să comunice, pe de o parte, numerele de telefon care au fost activate, între 16 februarie și 27 februarie 2015, cu codul IMEI(13) al telefonului mobil furat și, pe de altă parte, datele cu caracter personal ale titularilor sau ale utilizatorilor tuturor numerelor de telefon aferente cartelelor activate prin intermediul codului IMEI menționat(14).
21. Prin ordonanța din 5 mai 2015, judecătorul de instrucție a respins această cerere, pentru motivul că măsura solicitată nu era foarte utilă pentru identificarea autorilor infracțiunii și că, în orice caz, Legea 25/2007 limita comunicarea datelor păstrate de operatorii de telefonie la infracțiunile grave – și anume, potrivit Codului penal spaniol(15), cele sancționate cu pedeapsa închisorii mai mare de cinci ani –, în timp ce faptele în discuție nu ar constitui o infracțiune gravă.
22. Ministerio Fiscal (Ministerul Public spaniol), singura parte din procedură, a declarat apel împotriva acestei ordonanțe la Audiencia Provincial de Tarragona (Curtea Provincială din Tarragona, Spania), arătând că comunicarea datelor în cauză ar fi trebuit să fie acordată ca urmare a naturii faptelor și a unei decizii a Tribunal Supremo (Curtea Supremă, Spania) cu privire la un caz similar(16).
23. Prin ordonanța din 9 februarie 2016, curtea de apel respectivă a dispus, cu titlu de măsură provizorie adresată operatorilor de telefonie, prelungirea păstrării datelor vizate de cererea în litigiu.
24. Cererea de decizie preliminară care provine de la această instanță arată că, după adoptarea deciziei atacate, legiuitorul spaniol a introdus, în temeiul Legii organice 13/2015(17), două criterii alternative pentru a determina gradul de gravitate al unei infracțiuni. Primul ar fi un criteriu material referitor la comportamente care corespund unor calificări penale cu o relevanță criminogenă specifică și gravă și care afectează în mod deosebit interesele juridice individuale și colective(18). Cel de al doilea ar fi un criteriu normativ formal, întemeiat exclusiv pe pedeapsa prevăzută pentru infracțiunea în cauză. Or, pragul de trei ani de închisoare pe care îl prevede acesta din urmă ar putea cuprinde cea mai mare parte a faptelor penale. În plus, instanța de trimitere observă că interesul statului de a proteja cetățenii și de a sancționa comportamentele infracționale nu poate legitima o atingere disproporționată adusă drepturilor fundamentale ale persoanelor.
25. În acest context, prin decizia din 6 aprilie 2016, primită la Curte la 14 aprilie 2016, Audiencia Provincial de Tarragona (Curtea Provincială din Tarragona) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:
„1) Caracterul suficient de grav al infracțiunilor, în calitate de criteriu care justifică ingerința în drepturile fundamentale consacrate la articolele 7 și 8 din [cartă], poate fi determinat luând în considerare exclusiv pedeapsa care poate fi aplicată pentru infracțiunea care face obiectul urmăririi penale sau este necesar, în plus, să se identifice, în cadrul comportamentului infracțional, un caracter prejudiciabil special în privința intereselor juridice individuale sau colective?
2) După caz, în situația în care determinarea gravității infracțiunii exclusiv în funcție de pedeapsa aplicabilă ar fi conformă cu principiile fundamentale ale Uniunii aplicate de Curte în Hotărârea [Digital Rights] ca standarde de control strict al directivei [care a fost declarată nevalidă prin respectiva hotărâre], care ar trebui să fie acest prag minim al gravității? Acesta ar fi compatibil cu o prevedere generală care stabilește un minim de trei ani de închisoare?”
26. Procedura în fața Curții a fost suspendată, prin decizia președintelui din 23 mai 2016, până la pronunțarea Hotărârii Curții în cauzele conexate Tele2 Sverige și Watson și alții, C‑203/15 și C‑698/15.
27. Întrebată de Curte după pronunțarea acestei hotărâri din 21 decembrie 2016(19), instanța de trimitere a indicat că își menține cererea de decizie preliminară. Aceasta a arătat că întrebările preliminare pe care le adresase ar fi în continuare pertinente, în măsura în care, deși hotărârea respectivă oferea exemple de infracțiuni grave(20), nu preciza cu suficientă claritate conținutul material al noțiunii de gravitate a infracțiunii care ar putea servi drept criteriu de apreciere a justificării unei măsuri de ingerință. Or, această noțiune ar implica riscul ca condițiile de păstrare a datelor și de acces la acestea să fie stabilite, la nivel național, într‑o manieră foarte largă, care nu ar respecta drepturile fundamentale vizate de Hotărârea Tele2. Astfel, la momentul adoptării Legii organice 13/2015, legiuitorul spaniol, în pofida criteriilor stabilite în Hotărârea Digital Rights(21), ar fi redus în mod semnificativ, în raport cu normele anterioare prevăzute de Legea 25/2007, pragul de gravitate a infracțiunilor în privința cărora sunt autorizate păstrarea și comunicarea datelor cu caracter personal.
28. În urma acestui răspuns, procedura în fața Curții a fost reluată la 16 februarie 2017. Guvernele spaniol, ceh, eston, irlandez, francez, leton, maghiar, austriac și al Regatului Unit, precum și Comisia Europeană au depus atunci observații scrise.
29. Pentru pregătirea ședinței, Curtea a adresat întrebări cu solicitare de răspuns scris guvernului spaniol, la care acesta a răspuns la 9 ianuarie 2018, precum și întrebări cu solicitare de răspuns oral tuturor părților în cauză prevăzute la articolul 23 din Statutul Curții de Justiție a Uniunii Europene.
30. La ședință, care a avut loc la 29 ianuarie 2018, Ministerul Public spaniol, guvernele spaniol, ceh, danez, eston, irlandez, francez, leton, polonez și al Regatului Unit, precum și Comisia au prezentat observații orale.
IV. Analiză
A. Observații introductive
31. Înainte de a efectua o examinare detaliată a problemelor ridicate de prezenta cerere de decizie preliminară, considerăm că este necesar să prezentăm unele observații cu privire la obiectul specific al acesteia.
32. În primul rând, având în vedere informațiile cuprinse în decizia de trimitere și informațiile suplimentare furnizate de guvernul spaniol, subliniem că litigiul principal prezintă particularități considerabile, care îl disting în special de contextul cauzelor în care au fost pronunțate Hotărârile Digital Rights și Tele2(22).
33. Astfel, rezultă că cererea autorităților polițienești în cauză urmărește să obțină doar datele care permit identificarea titularilor sau a utilizatorilor numerelor de telefon aferente cartelelor SIM care au fost introduse în telefonul mobil furat(23). În plus, este cert că această cerere se referă la o perioadă clar definită și limitată în timp, și anume aproximativ douăsprezece zile(24).
34. În asemenea circumstanțe, numărul persoanelor care ar putea fi vizate de măsura în litigiu nu este nelimitat, ci restrâns. În plus, aceste persoane nu sunt orice deținător al unei cartele SIM, ci indivizi care au un profil special, deoarece este vorba despre cei care au utilizat telefonul furat după sustragerea lui sau chiar care îl au încă în posesia lor și care, așadar, pot fi suspectați în mod legitim fie de a fi ei înșiși autorii infracțiunii, fie de a se afla în relație cu aceștia din urmă.
35. În plus, datele avute în vedere corespund nu oricărui tip de „date cu caracter personal”(25) deținute de prestatorii de servicii de comunicații electronice, ci numai celor referitoare la identitatea civilă a persoanelor menționate mai sus, și anume prenumele, numele și, eventual, adresa lor(26), date care pot fi de asemenea denumite „de contact”. Celelalte informații cu privire la aceste persoane care s‑ar putea afla în arhivele furnizorilor respectivi(27) sunt, în opinia noastră, excluse din procedura principală.
36. Pe de altă parte, scopul urmărit în cazul de față este, în opinia noastră, de a colecta informații care nu se referă la o localizare sau la comunicații ca atare(28), ci la persoane fizice care sunt căutate pentru faptul că au putut utiliza un serviciu de comunicații electronice cu ajutorul telefonului furat, chiar dacă aceste persoane nu au efectuat un apel telefonic concret. Astfel, reiese din explicațiile furnizate Curții de Ministerul Public spaniol că datele cu caracter personal solicitate, care sunt legate de asocierea dintre o anumită cartelă SIM și numărul IMEI al aparatului furat, pot fi obținute, din punct de vedere tehnic, ca urmare a unei simple conexiuni a acestuia din urmă cu un terminal de telefonie mobilă, chiar dacă nu ar fi fost efectuat niciun apel de către deținătorul cartelei prin intermediul telefonului în cauză, așadar independent de orice comunicare efectivă(29). Este de competența instanței de trimitere să verifice această afirmație de natură factuală, care ne pare totuși suficient de plauzibilă pentru a o considera în mod rezonabil ca fiind veridică.
37. Având în vedere toate aceste elemente, subliniem de la bun început că litigiul principal privește date cu caracter personal a căror transmitere nu este solicitată în mod generalizat și nediferențiat, ci vizează în mod specific anumite persoane și are o durată limitată. În plus, datele solicitate par să nu aibă un caracter deosebit de sensibil la prima vedere, deși drepturile fundamentale consacrate la articolele 7 și 8 din cartă sunt totuși susceptibile de a fi afectate de accesul la acest tip de date(30).
38. În al doilea rând, observăm că reiese din motivarea deciziei de trimitere că întrebările preliminare adresate în prezenta cauză se caracterizează nu prin condițiile privind păstrarea datelor cu caracter personal în sectorul comunicațiilor electronice, ci mai degrabă prin modalitățile de acces al autorităților naționale la astfel de date care au fost păstrate de prestatorii de servicii care își desfășoară activitatea în acest sector(31).
39. Instanța de trimitere precizează în special că, în temeiul articolului 588 ter j din Codul de procedură penală, este necesară o autorizație judiciară pentru ca datele electronice arhivate de prestatorii de servicii să fie transmise autorităților competente pentru a fi luate în considerare în cadrul unei proceduri. Alineatul 1 al articolului menționat prevede că păstrarea unor asemenea date poate fi efectuată de prestatori fie în temeiul legislației relevante, fie din proprie inițiativă, din motive comerciale sau de altă natură.
40. În speță, rezultă că datele cu caracter personal la care autoritățile polițienești solicită să aibă acces, în scopul efectuării anchetei, au putut fi arhivate de operatorii de telefonie mobilă în vederea îndeplinirii unei obligații care decurge din legea spaniolă(32). Instanța de trimitere nu oferă indicații în această privință, amintindu‑se că cererea sa de decizie preliminară se centrează pe eventualul acces la datele care au fost deja păstrate, având în vedere că în litigiul principal nu este pusă în discuție problema conformității stocării datelor cu cerințele dreptului Uniunii(33). Prin urmare, în opinia noastră, trebuie să plecăm de la premisa că datele în discuție în cauza principală au fost păstrate în conformitate cu legislația națională, cu respectarea condițiilor prevăzute la articolul 15 alineatul (1) din Directiva 2002/58, aspect a cărui verificare este de competența exclusivă a instanței de trimitere(34).
41. Vom reveni, în considerațiile care urmează, asupra implicațiilor juridice ale constatărilor efectuate aici cu titlu introductiv(35).
B. Cu privire la excepțiile de procedură invocate de guvernul spaniol
42. Guvernul spaniol a invocat două categorii de excepții de procedură, una referitoare la competența Curții, iar cealaltă la admisibilitatea cererii de decizie preliminară, asupra cărora Curtea va trebui să se pronunțe înainte de a statua pe fond, dacă este cazul.
1. Cu privire la competența Curții în raport cu domeniul de aplicare al dreptului Uniunii
43. Mai întâi, amintim că rezultă dintr‑o jurisprudență constantă că drepturile fundamentale garantate de ordinea juridică a Uniunii, și în special cele consacrate la articolele 7 și 8 din cartă, au vocație de a fi aplicate numai în cazul în care situația în cauză este reglementată de dreptul Uniunii(36). În plus, articolul 51 alineatul (1) din cartă prevede că dispozițiile sale se adresează statelor membre numai „în cazul în care acestea pun în aplicare dreptul Uniunii”, în sensul jurisprudenței Curții referitoare la această noțiune(37). În consecință, atunci când o situație juridică nu intră în domeniul de aplicare al dreptului Uniunii, Curtea nu este competentă să o examineze, iar dispozițiile eventual invocate ale cartei nu pot constitui, prin ele însele, temeiul acestei competențe(38).
44. În speță, întrebările adresate de instanța de trimitere privesc numai articolele 7 și 8 din cartă, precum și „principiile fundamentale ale Uniunii, aplicate de Curte în Hotărârea [Digital Rights]”. Cu toate acestea, instanța respectivă consideră că directivele aplicabile în domeniul protecției datelor cu caracter personal, precum Directiva 95/46 și Directiva 2002/58, stabilesc legătura necesară, în temeiul articolului 51 alineatul (1) din cartă, între cauza principală și dreptul Uniunii.
45. În această privință, observăm, în primul rând, că guvernul spaniol susține, cu titlu principal, că Curtea nu are competența necesară pentru a se pronunța cu privire la prezenta trimitere preliminară, pentru motivul că aceasta din urmă nu privește aplicarea dreptului Uniunii. Acesta susține în special că litigiul principal ar fi exclus din domeniul de aplicare al dreptului Uniunii, din moment ce privește un acces al poliției la datele care fac obiectul unei hotărâri judecătorești în cadrul unei anchete, ceea ce ar constitui o activitate a statului în materie penală(39) și ar intra, așadar, în sfera de aplicare a excepțiilor prevăzute la articolul 1 alineatul (3) din Directiva 2002/58, precum și la articolul 3 alineatul (2) prima liniuță din Directiva 95/46(40). La ședință, guvernul Regatului Unit a arătat că împărtășește acest punct de vedere al guvernului spaniol.
46. Cu toate acestea, considerăm că Directiva 2002/58 este aplicabilă în cazul unor măsuri naționale precum cele în discuție în litigiul principal. Astfel, Curtea a statuat deja, în Hotărârea Tele2, că legislațiile naționale privind păstrarea unor date în scopul combaterii infracționalității intră în domeniul de aplicare al acestei directive, nu numai în măsura în care definesc obligațiile care revin în acest scop furnizorilor de servicii de comunicații electronice, ci și în măsura în care reglementează accesul autorităților naționale la datele păstrate în acest cadru(41). Ca și Comisia, suntem de părere că considerațiile enunțate în această hotărâre pot fi transpuse în privința normelor naționale aplicabile în speță, și anume cele rezultate din Legea 25/2007 coroborată cu Codul de procedură penală spaniol, astfel cum a fost modificat prin Legea organică 13/2015(42), și, așadar, pot fi transpuse în privința obiectului litigiului principal.
47. Adăugăm că trebuie să nu existe o confuzie între, pe de o parte, datele cu caracter personal prelucrate în mod direct în cadrul activităților – de natură regaliană(43) – ale statului într‑un domeniu care intră sub incidența dreptului penal(44) și, pe de altă parte, cele prelucrate în cadrul activităților – de natură comercială – ale unui prestator de servicii de comunicații electronice care sunt utilizate ulterior de autoritățile competente ale statului(45). Pe de altă parte, observăm că Curtea a fost sesizată recent cu o cerere de decizie preliminară care privește în special interpretarea articolului 1 alineatul (3) din Directiva 2002/58 în contextul unei utilizări de către serviciile de securitate și de informații ale unui stat membru a datelor care trebuie să le fie transmise în masă de astfel de prestatori(46), problematică pe care, în opinia noastră, nu va fi necesar să o soluționăm în prezenta cauză(47).
48. În al doilea rând, observăm că alte întrebări au fost formulate cu privire la domeniul de aplicare al Directivei 2002/58, de care depinde competența Curții în prezenta cauză, având în vedere tipul de date în discuție în litigiul principal.
49. Astfel cum am arătat deja(48), reiese din elementele depuse la dosar că cererea de acces în litigiu urmărește să obțină informații privind identitatea titularilor sau a utilizatorilor numerelor de telefon care corespund cartelelor SIM activate prin intermediul telefonului mobil furat, pentru a identifica persoanele care au deținut acest aparat, iar nu informații cu privire la apelurile eventual efectuate de pe acesta.
50. Cu alte cuvinte, chiar dacă o gamă mai largă de date cu caracter personal ar fi putut fi eventual vizată în raport cu reglementarea spaniolă(49), prezentul litigiu principal privește date care se referă numai la identitatea „utilizatorilor”, în sensul articolului 2 al doilea paragraf litera (a) din Directiva 2002/58, iar nu la o anumită „localizare”(50), în sensul articolului 2 al doilea paragraf litera (c) menționat, și nici la „comunicații” ca atare, în sensul aceluiași articol 2 al doilea paragraf litera (d)(51).
51. Potrivit Ministerului Public spaniol, guvernelor spaniol, danez, irlandez, leton și al Regatului Unit, precum și Comisiei, informații precum cele în discuție în cauză, în măsura în care sunt luate în considerare în mod izolat, cu alte cuvinte independent de comunicațiile efectuate, dacă este cazul, nu ar trebui, în principiu, nici să intre în domeniul de aplicare al noțiunii „date de transfer”, în sensul articolului 2 al doilea paragraf litera (b) menționat, care le definește ca fiind „orice date prelucrate în scopul transmiterii comunicației printr‑o rețea de comunicații electronice sau în vederea facturării”(52).
52. Desigur, se pare că datele de identificare solicitate în cauză de autoritățile polițienești nu privesc „transferul” comunicațiilor propriu‑zise, întrucât considerăm că aceste date pot fi obținute în pofida unei eventuale absențe totale a apelurilor efectuate cu aparatul furat și, prin urmare, chiar dacă nicio comunicare interpersonală nu a fost transmisă prin intermediul unui operator de telefonie mobilă, în perioada vizată(53).
53. Cu toate acestea, considerăm că un litigiu precum litigiul principal intră în domeniul de aplicare al Directivei 2002/58, întrucât prelucrarea informațiilor asociate cartelelor SIM și titularilor acestora, vizate în speță, este necesară din punct de vedere comercial pentru prestarea serviciilor de comunicații electronice(54), cel puțin în scopul facturării serviciului care este furnizat(55), indiferent de apelurile efectuate sau neefectuate în cadrul acestei prestații.
54. Astfel, având în vedere articolul 1 alineatul (1) și articolul 3 din Directiva 2002/58(56), suntem de acord cu opinia formulată în special de Comisie, potrivit căreia această directivă are vocația să reglementeze, în mod global, prelucrarea datelor cu caracter personal efectuată în cadrul prestării de servicii de comunicații electronice, astfel încât domeniul său de aplicare include datele referitoare la identitatea utilizatorilor unor asemenea servicii, precum cele în discuție în speță, iar nu numai pe cele aferente unei anumite comunicații. De asemenea, având în vedere obiectivele de protecție prevăzute de directiva menționată, care constau în principal în protejarea drepturilor fundamentale garantate de cartă(57), considerăm, așadar, că noțiunea „comunicație”, în sensul acestui instrument, trebuie interpretată în sens larg și că principiul confidențialității comunicațiilor prevăzut de acest instrument(58) se pune efectiv în discuție în speță.
55. Considerăm de asemenea că această interpretare este confirmată de o hotărâre anterioară a Curții, în care aceasta a admis deja că domeniul de aplicare al Directivei 2002/58 ar acoperi un litigiu privind transmiterea numelor și a adreselor utilizatorilor unui serviciu de comunicații electronice(59). Adăugăm că articolul 12 din directiva menționată, care se referă la registrele de abonați, are în vedere, în opinia noastră, în mod cert, datele de această natură(60), iar considerentul (15) al acesteia reflectă de asemenea o concepție flexibilă a noțiunii „comunicație”, incluzând în special „adrese furnizate de expeditorul unei comunicații”(61).
56. În plus, o asemenea abordare este consistentă cu jurisprudența Curții Europene a Drepturilor Omului în materie(62), reamintindu‑se că preambulul Directivei 2002/58 subliniază că aceasta urmărește să asigure confidențialitatea comunicațiilor și dreptul utilizatorilor la viață privată în conformitate cu CEDO, astfel cum a fost interpretată de instanța respectivă(63), chiar dacă acest din urmă instrument nu este integrat formal în ordinea juridică a Uniunii(64).
57. În consecință, considerăm că un litigiu precum litigiul principal intră în domeniul de aplicare material al Directivei 2002/58 și că excepția de necompetență invocată de guvernul spaniol trebuie, așadar, să fie respinsă.
58. Din motive de exhaustivitate, precizăm totuși că, în ipoteza în care Directiva 2002/58 nu ar fi recunoscută ca fiind aplicabilă într‑o asemenea situație, Directiva 95/46, evocată atât de instanța de trimitere, cât și de guvernul spaniol, nu poate constitui temeiul competenței Curții de a se pronunța în prezenta cauză.
59. Astfel, după cum arată Comisia, Directiva 95/46 este, desigur, instrumentul cu aplicabilitate generală în domeniul prelucrării datelor cu caracter personal(65), însă întrebările adresate de instanța de trimitere ar fi, în opinia noastră, lipsite de relevanță în cazul în care ar fi examinate doar din această perspectivă, dat fiind că urmăresc să stabilească pragul de la care infracțiunile pot fi calificate „grave” în sensul jurisprudenței rezultate din Hotărârile Digital Rights și Tele2, care nu priveau interpretarea directivei menționate(66).
2. Cu privire la admisibilitatea cererii de decizie preliminară
60. Guvernul spaniol susține, cu titlu subsidiar, în ipoteza în care Curtea ar considera că este competentă să răspundă la întrebările adresate, că cererea de decizie preliminară ar trebui declarată inadmisibilă din două motive.
61. În primul rând, acest guvern susține că instanța de trimitere nu ar identifica în mod clar cadrul normativ al Uniunii cu privire la care Curtea trebuie să se pronunțe.
62. Cu privire la aspectul respectiv, acesta amintește jurisprudența constantă potrivit căreia, în cadrul cooperării instituite prin articolul 267 TFUE, Curtea poate refuza să se pronunțe asupra unor întrebări preliminare, care beneficiază de o prezumție de pertinență, numai atunci când este evident că interpretarea sau aprecierea solicitată a validității unei norme a Uniunii nu are nicio legătură cu realitatea ori cu obiectul litigiului principal, atunci când problema este de natură ipotetică ori Curtea nu dispune de elementele de fapt și de drept necesare pentru a răspunde în mod util la întrebările care i‑au fost adresate(67).
63. Cu toate acestea, considerăm că, în speță, critica formulată de guvernul spaniol nu este fondată. Astfel, având în vedere informațiile furnizate de instanța de trimitere, considerăm că aceasta a efectuat o identificare suficientă a dispozițiilor de drept al Uniunii care, în opinia sa, sunt relevante. Amintim, pe de o parte, că întrebările adresate se referă în special la articolele 7 și 8 din cartă, pe de altă parte, că această instanță arată că Directivele 95/46 și 2002/58 constituie legătura necesară dintre reglementarea națională aplicabilă în litigiul principal și dreptul Uniunii(68) și, în sfârșit, că, astfel cum se enunță în considerentul (2) al Directivei 2002/58, aceasta urmărește să asigure în special respectarea deplină a drepturilor menționate la articolele 7 și 8 din cartă(69).
64. Adăugăm că este irelevant faptul că unul dintre elementele din reglementarea spaniolă menționate în decizia de trimitere, și anume Legea 25/2007, a avut drept obiect transpunerea Directivei 2006/24, care a fost abrogată în urma invalidării acesteia prin Hotărârea Digital Rights(70). Astfel cum a indicat în mod întemeiat instanța de trimitere, ar fi incorect să se considere că întrebările preliminare adresate în speță Curții sunt lipsite de pertinență ca urmare a invalidării respective. Cu privire la acest aspect, este suficient să se constate că materia vizată de aceste întrebări, și anume protecția datelor cu caracter personal, intră în sfera de competență a Uniunii și că litigiul principal intră în domeniul de aplicare al unui act de drept al Uniunii, și anume Directiva 2002/58(71), pe care Directiva 2006/24 nevalidată avea vocația de a o modifica.
65. De altfel, se poate observa că părțile care au prezentat observații în fața Curții pornesc în mare parte de la principiul că prezenta cerere de decizie preliminară trebuie examinată în lumina articolului 15 alineatul (1) din Directiva 2002/58 coroborat cu articolele 7 și 8 din cartă, precum și pe baza concluziilor care decurg din Hotărârile Digital Rights și Tele2. Aceasta este și opinia noastră, precizându‑se că expresia „fapte penale”, iar nu „infracțiuni grave”, figurează în Directiva 2002/58 numai la articolul 15 alineatul (1) amintit(72).
66. În al doilea rând, guvernul spaniol susține că articolul 7 din cartă, care ar constitui elementul central al prezentei cereri de decizie preliminară, nu ar fi pertinent, pentru motivul că măsura de investigare solicitată în cauza principală nu ar privi interceptarea comunicațiilor și, prin urmare, nu ar putea afecta confidențialitatea comunicațiilor, astfel încât întrebările adresate ar avea un caracter ipotetic.
67. În ceea ce ne privește, considerăm că articolul 7 din cartă este relevant în prezenta cauză, iar cererea de decizie preliminară nu are, prin urmare, caracter ipotetic. Deși este adevărat că, în speță, nu există un risc de încălcare a dreptului la secretul comunicațiilor, având în vedere obiectul măsurii în discuție în litigiul principal(73), nu este mai puțin adevărat că o astfel de măsură poate aduce atingere dreptului la respectarea vieții private care este garantat de dispoziția menționată, chiar dacă această atingere este, în opinia noastră, de o amploare redusă(74).
68. Astfel, după cum a statuat deja Curtea în mod constant, comunicarea de date cu caracter personal unui terț, precum o autoritate publică, constituie o ingerință în dreptul fundamental consacrat la articolul 7 din cartă, indiferent de utilizarea ulterioară a informațiilor comunicate. Același lucru este valabil și în privința păstrării datelor cu caracter personal, în special de către prestatorii de servicii de comunicații electronice, precum și în privința accesului la datele respective pentru utilizarea lor de către autoritățile publice(75).
69. În consecință, considerăm că excepția de inadmisibilitate invocată de guvernul spaniol trebuie respinsă și, prin urmare, este necesară pronunțarea asupra fondului cererii de decizie preliminară.
C. Cu privire la elementele necesare pentru a trebui să se definească caracterul suficient de grav al unei infracțiuni care justifică o ingerință în drepturile fundamentale vizate (prima întrebare)
70. Prin intermediul primei întrebări formulate, instanța de trimitere solicită Curții în esență să se pronunțe cu privire la elementele care trebuie luate în considerare pentru a stabili dacă anumite infracțiuni sunt suficient de grave pentru a justifica încălcări ale drepturilor fundamentale garantate de articolele 7 și 8 din cartă, în cadrul păstrării datelor cu caracter personal și al accesului la acestea, în conformitate cu jurisprudența rezultată din Hotărârea Digital Rights, urmată de Hotărârea Tele2.
71. Cu privire la acest aspect, amintim că noțiunea „infracțiuni grave” a fost utilizată de Curte în Hotărârea Digital Rights(76), uneori împreună cu noțiunea „criminalitate gravă”(77), ca un criteriu de verificare a finalității și a proporționalității ingerinței în drepturile fundamentale menționate mai sus care era determinată de dispozițiile de drept al Uniunii referitoare la datele cu caracter personal, și anume cele ale Directivei 2006/24. Precizăm că această noțiune, care nu figurează în Directiva 2002/58(78), era utilizată în Directiva 2006/24(79), a cărei nevaliditate a făcut obiectul hotărârii menționate. Curtea a utilizat ulterior aceste două noțiuni în Hotărârea Tele2(80), ca un criteriu de apreciere, însă de această dată cu privire la conformitatea cu dreptul Uniunii(81) a unor dispoziții adoptate de statele membre.
72. Mai exact, prima întrebare preliminară invită Curtea să stabilească dacă, pentru a aprecia existența unei „infracțiuni grave” de natură să justifice o ingerință în drepturile fundamentale consacrate la articolele 7 și 8 din cartă, exercitată în raport cu datele cu caracter personal, trebuie să se ia în considerare numai pedeapsa aplicată pentru infracțiunea în litigiu sau chiar, în plus, caracterul deosebit de prejudiciabil al comportamentului infracțional în privința intereselor juridice individuale sau colective în discuție.
73. Cu toate acestea, ca și Comisia, considerăm că, înainte de pronunțarea cu privire la acest aspect, trebuie să se examineze dacă ingerința în cauză într‑un litigiu precum litigiul principal prezintă un grad suficient de ridicat de gravitate pentru a fi necesar, în temeiul dreptului Uniunii, ca această ingerință să fie justificată de combaterea unei infracțiuni cu caracter grav pentru a putea fi admisă. Astfel, considerăm că, dacă această situație nu se regăsește, Curtea ar trebui să efectueze o interpretare a dispozițiilor relevante de drept al Uniunii, nu conformându‑se cu cea care este solicitată de instanța de trimitere, ci după ce reformulează prima întrebare adresată(82), în măsura în care este necesar în raport cu circumstanțele din litigiul principal(83).
1. Cu privire la luarea în considerare a lipsei de gravitate a ingerinței în litigiu
74. Mai întâi, este necesar să se stabilească dacă operațiuni precum cele în discuție în litigiul principal sunt într‑adevăr de natură să aducă atingere drepturilor fundamentale garantate de articolele 7 și 8 din cartă și, prin urmare, să constituie o ingerință în aceste drepturi, în sensul jurisprudenței rezultate din Hotărârile Digital Rights și Tele2.
75. Desigur, astfel cum au arătat guvernele spaniol și danez în pledoariile lor(84) și astfel cum am indicat deja(85), datele la care autoritățile însărcinate cu efectuarea anchetei penale în cauză doresc să aibă acces par să fie mai puțin sensibile decât anumite alte categorii de date cu caracter personal(86), dat fiind că cererea în cauză pare să privească numai prenumele, numele și, eventual, adresa persoanelor vizate de această anchetă, în calitate de utilizatori ai numerelor de telefon activate de pe telefonul mobil furat care face obiectul acesteia.
76. Cu toate acestea, considerăm că, pentru a stabili dacă datele cu caracter personal trebuie să fie acoperite de protecția prevăzută de dreptul Uniunii și în special de Directiva 2002/58(87), este irelevant dacă informațiile vizate de cererea de păstrare sau de comunicare sunt sau nu sunt deosebit de sensibile. Astfel, după cum s‑a arătat în cadrul primelor lucrări legislative în materie, „conform finalității utilizării acesteia, orice date referitoare la o persoană, chiar și cele aparent inofensive, pot avea un caracter sensibil (ca o simplă adresă poștală de exemplu)”(88). În plus, Curtea a statuat deja că, pentru a delimita existența unei ingerințe în dreptul fundamental consacrat la articolul 7 din cartă, „este irelevant dacă informațiile vizate referitoare la viața privată prezintă sau nu prezintă un caracter sensibil sau dacă persoanele interesate au suferit sau nu au suferit eventuale inconveniente ca urmare a acestei ingerințe”(89).
77. Pe de altă parte, amintim că comunicarea de date cu caracter personal unui terț, chiar și unei autorități publice precum un serviciu de poliție judiciară, constituie o ingerință în dreptul fundamental garantat la articolul 7 din cartă(90), inclusiv în cazul în care aceste informații sunt transmise în scopul efectuării unei anchete penale, situație prevăzută de altfel în mod expres la articolul 15 alineatul (1) din Directiva 2002/58(91). Adăugăm că o asemenea operațiune poate aduce atingere și dreptului fundamental la protecția datelor cu caracter personal garantat la articolul 8 din cartă, întrucât reprezintă o prelucrare a datelor cu caracter personal(92).
78. Prin urmare, considerăm că este necesar să se constate că o măsură precum cea în discuție în litigiul principal constituie o ingerință în drepturile fundamentale consacrate la articolele 7 și 8 din cartă.
79. Cu toate acestea, apreciem că, în circumstanțele speței, lipsește un element esențial care a fost reținut de Curte pentru a impune, în stadiul justificării unei asemenea ingerințe, să existe o „infracțiune gravă” – noțiune a cărei definiție este solicitată de instanța de trimitere – pentru a putea deroga de la principiul confidențialității comunicațiilor electronice. Elementul care lipsește, în opinia noastră, în speță, pentru a se răspunde la prima întrebare preliminară în termenii utilizați de această instanță este acela al gravității ingerinței în litigiu, element care, dacă ar exista, ar conduce la necesitatea unei justificări consolidate.
80. În această privință, arătăm că, în Hotărârea Digital Rights, Curtea a subliniat vasta amploare și caracterul deosebit de grav al ingerinței care s‑a produs prin reglementarea în cauză, arătând în special că „Directiva 2006/24 acoperă în mod generalizat toate persoanele și toate mijloacele de comunicare electronică, precum și ansamblul datelor de trafic, fără a face vreo diferențiere, limitare sau excepție în funcție de obiectivul combaterii infracțiunilor grave”(93).
81. În mod similar, în Hotărârea Tele2, Curtea a declarat că „[a]rticolul 15 alineatul (1) din Directiva 2002/58 […] se opune unei reglementări naționale care prevede, în scopul combaterii infracționalității, o păstrare generalizată și nediferențiată a ansamblului datelor de transfer și al datelor de localizare ale tuturor abonaților și utilizatorilor înregistrați în ceea ce privește toate mijloacele de comunicare electronică”(94). A fost făcută o corelație și în această hotărâre între, pe de o parte, deosebita „gravitate a ingerinței” astfel constatată și, pe de altă parte, necesitatea de a justifica o atingere de o asemenea amploare, în raport cu drepturile fundamentale garantate de articolele 7 și 8 din cartă, întemeindu‑se pe un motiv de interes general la fel de esențial ca cel al „combaterii infracționalității grave”(95).
82. Această stabilire a unei relații între gravitatea ingerinței constatate și gravitatea motivului care permite justificarea acesteia a fost efectuată în conformitate cu principiul proporționalității(96). În plus, considerăm că Curtea Europeană a Drepturilor Omului a consacrat, în jurisprudența sa referitoare la articolul 8 din CEDO(97), o corelație echivalentă cu cea care reiese, în opinia noastră, din Hotărârile Digital Rights și Tele2.
83. Or, astfel cum am arătat mai sus(98) și după cum au subliniat în special guvernele francez și al Regatului Unit, precum și Comisia, natura ingerinței în discuție în prezentul litigiu principal este, în mai multe privințe, diferită de cele care au fost avute în vedere de Curte în aceste două hotărâri anterioare. Prin urmare, examinarea conformității cu dreptul Uniunii a unei măsuri precum cea în discuție în cauză trebuie efectuată într‑un mod diferit.
84. În speță, nu este vorba despre o măsură referitoare la o obligație de păstrare generalizată și nediferențiată a datelor de transfer și de localizare ale oricărui abonat sau utilizator înregistrat care ar privi toate mijloacele de comunicare electronică. Este vorba despre o măsură specifică care vizează o posibilitate de acces, de către autoritățile competente și în vederea efectuării unei anchete penale, la datele deținute în scopuri comerciale de prestatorii de servicii și care se referă doar la identitatea (numele, prenumele și, eventual, adresa) unei categorii restrânse de abonați sau de utilizatori ai unui mijloc de comunicare specific, și anume cei al căror număr de telefon a fost activat de pe telefonul mobil al cărui furt face obiectul anchetei, iar aceasta pe o perioadă limitată, și anume aproximativ douăsprezece zile(99).
85. Adăugăm că efectele potențial negative pentru persoanele vizate de cererea de acces în discuție sunt în același timp moderate și delimitate. Astfel, fiind menite să fie utilizate în cadrul specific al unei măsuri de investigare, datele solicitate nu sunt destinate să fie divulgate publicului(100). În plus, posibilitatea de acces oferită autorităților polițienești este însoțită de garanții procedurale în temeiul dreptului spaniol, întrucât aceasta determină un control jurisdicțional, care a condus de altfel la o respingerii a cererii poliției în litigiul principal.
86. Ingerința în drepturile fundamentale menționate mai sus care este determinată de comunicarea acestor date de identitate civilă nu are, în opinia noastră, un caracter deosebit de grav(101), din moment ce datele de o asemenea natură și cu un domeniu de aplicare atât de limitat nu permit în sine să se obțină informații variate și/sau exacte cu privire la persoanele în cauză(102) și, prin urmare, nu afectează în mod direct și excesiv intimitatea vieții lor private în aceste circumstanțe speciale(103).
87. În consecință, ca și Comisia, considerăm că, pentru a se oferi instanței de trimitere informațiile relevante pentru soluționarea litigiului cu care este sesizată, este necesar să se reformuleze prima întrebare preliminară astfel încât răspunsul care trebuie dat de Curte să privească interpretarea articolului 15 alineatul (1) din Directiva 2002/58 în raport cu circumstanțe precum cele din speță, și anume în prezența unei ingerințe în drepturile fundamentale menționate mai sus care este lipsită de o gravitate deosebită și este întemeiată pe combaterea unui tip de fapte penale al căror caracter grav este pus în discuție.
88. În această privință, amintim că, deoarece obiectivele care pot justifica o reglementare națională care derogă de la principiul confidențialității comunicațiilor electronice sunt enumerate în mod exhaustiv la articolul 15 alineatul (1) din Directiva 2002/58, accesul la datele păstrate trebuie să urmărească în mod efectiv și strict unul dintre obiectivele respective(104). Printre acestea se regăsește obiectivul de interes general de a asigura „prevenirea, investigarea, detectarea și urmărirea penală a unor fapte penale”(105), fără alte precizări cu privire la natura acestora.
89. Reiese din terminologia astfel utilizată că nu este imperativ ca infracțiunile care justifică măsura restrictivă în cauză, în temeiul articolului 15 alineatul (1) menționat, să poată fi calificate drept „grave” în sensul jurisprudenței rezultate din Hotărârile Digital Rights și Tele2. În opinia noastră, numai în cazul în care ingerința suferită este de o gravitate deosebită, precum în cauzele în care s‑au pronunțat hotărârile respective, infracțiunile care pot justifica o asemenea ingerință trebuie să fie ele însele de o gravitate deosebită. În schimb, în cazul unei ingerințe care nu este gravă, este necesar să se revină la principiul de bază care rezultă din modul de redactare a acestei dispoziții, și anume că orice tip de „fapte penale” este de natură să justifice o astfel de ingerință.
90. Este necesar, în opinia noastră, să se asigure că nu se adoptă o concepție prea largă a cerințelor stabilite de Curte în aceste două hotărâri, pentru a nu împiedica, în orice caz nu în mod excesiv, posibilitatea statelor membre să deroge de la regimul instituit prin Directiva 2002/58, care le este acordată prin articolul 15 alineatul (1) din aceasta, în cazurile în care intruziunile în viața privată în discuție au în același timp o finalitate legitimă și o întindere redusă, precum cele care pot fi determinate în speță de cererea serviciului de poliție judiciară. Mai precis, considerăm că dreptul Uniunii nu se opune ca autoritățile competente să poată avea acces la datele de identificare, deținute de furnizori de servicii de comunicații electronice, care permit găsirea presupușilor autori ai unei fapte penale care nu prezintă un caracter grav.
91. În consecință, recomandăm Curții să răspundă la întrebarea preliminară, astfel cum a fost reformulată, că articolul 15 alineatul (1) din Directiva 2002/58 coroborat cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din cartă, trebuie interpretat în sensul că o măsură care permite autorităților naționale competente să aibă acces, în scopul combaterii unor fapte penale, la datele de identificare ale utilizatorilor de numere de telefon activate de pe un anumit telefon mobil și pe o perioadă limitată, în circumstanțe precum cele în discuție în litigiul principal, conduce la o ingerință, în drepturile fundamentale garantate de directiva menționată și de cartă, care nu atinge un nivel suficient de gravitate pentru a fi necesar ca un asemenea acces să fie rezervat situațiilor în care infracțiunea în cauză are un caracter grav.
92. Având în vedere răspunsul astfel propus, toate observațiile care urmează vor fi prezentate numai cu titlu subsidiar, în scopul exhaustivității.
2. Cu privire la stabilirea eventuală a criteriilor relevante pentru a defini caracterul suficient de grav al unei infracțiuni
93. În cazul în care Curtea ar statua, contrar a ceea ce propunem, că, în pofida circumstanțelor specifice ale prezentului litigiu principal, este necesar să se stabilească în prezenta cauză ce trebuie să se înțeleagă printr‑o „infracțiune gravă” în sensul jurisprudenței rezultate din Hotărârile Digital Rights și Tele2(106), ar mai trebui să se ridice, în primul rând, problema dacă această calificare constituie într‑adevăr o noțiune autonomă a dreptului Uniunii, a cărei definire ar fi, așadar, de competența Curții. Or, în acord cu răspunsul propus cu titlu principal de guvernul francez, nu aceasta este convingerea noastră, pentru următoarele motive.
94. Mai întâi, observăm că Directiva 2006/24, din care provine utilizarea noțiunii „infracțiune gravă”(107), nu conținea o definiție a acesteia, ci făcea trimitere cu privire la acest aspect la ordinile juridice ale statelor membre(108). Adăugăm că considerațiile relevante care figurează în Hotărârile Digital Rights și Tele2 nu trebuie interpretate, în opinia noastră, în sensul că urmăresc să armonizeze normele de drept în vigoare în statele membre care privesc conținutul acestei noțiuni.
95. În această privință, amintim că legislația penală și normele de procedură penală sunt de competența statelor membre, chiar dacă ordinea juridică a acestora din urmă poate fi totuși afectată de dispozițiile de drept al Uniunii adoptate în acest domeniu(109). Potrivit articolului 83 alineatul (2) TFUE, numai în cazurile în care armonizarea dreptului penal al statelor membre se dovedește indispensabilă pentru punerea în aplicare eficientă a unei politici a Uniunii într‑un domeniu care a făcut obiectul unor măsuri de armonizare, Uniunea poate adopta directive care stabilesc norme minime referitoare la definirea infracțiunilor și a sancțiunilor în domeniul în cauză. Or, în stadiul actual al dreptului Uniunii, nu există nicio dispoziție cu aplicabilitate generală, care ar furniza o definiție armonizată a noțiunii „infracțiune gravă”(110).
96. În opinia noastră, competența de a stabili ce constituie o „faptă penală gravă” revine, în principiu, autorităților naționale din statele membre. Cu toate acestea, datorită trimiterilor preliminare cu care instanțele statelor membre pot sesiza Curtea, acesteia îi revine sarcina de a asigura respectarea tuturor cerințelor care decurg din dreptul Uniunii și în special de a asigura o aplicare coerentă a protecției oferite de dispozițiile cartei.
97. Subliniem că respectiva calificare juridică poate nu numai să varieze de la un stat membru la altul, în funcție de tradițiile urmate și de prioritățile definite de fiecare dintre ele, ci și să fluctueze în timp, în funcție de orientările care sunt date politicii penale, spre o severitate mai mare sau mai mică, pentru a ține seama de evoluția criminalității(111), precum și, la un nivel mai general, de transformările societății și de nevoile existente, în special în ceea ce privește sancționarea penală la nivel național.
98. În plus, subliniem că, dat fiind că există diferențe mari între nivelurile de sancțiuni care, în mod tradițional, sunt aplicabile în diferitele state membre(112), gravitatea unei infracțiuni nu se limitează numai la importanța pedepsei aferente acesteia. Problema dacă o infracțiune are un caracter grav este foarte relativă, în măsura în care depinde de nivelul sancțiunilor care se aplică în general în statul membru în cauză. Astfel, faptul că un stat membru prevede o pedeapsă cu închisoarea scăzută sau chiar o pedeapsă alternativă închisorii nu aduce totuși atingere gravității intrinseci a tipului de infracțiune în cauză(113).
99. Este necesar, în opinia noastră, să se respecte particularitățile sistemului de drept penal al fiecăruia dintre statele membre, în măsura în care dreptul Uniunii nu stabilește obligații care le leagă pe acestea din urmă în mod strict, prin analogie cu ceea ce Curtea a statuat în ceea ce privește asigurarea securității publice(114), noțiune similară, în opinia noastră, cu noțiunea de combatere a criminalității grave, având în vedere în special modul de redactare a articolului 15 alineatul (1) prima teză din Directiva 2002/58.
100. În consecință, considerăm, cu titlu subsidiar, că noțiunea „infracțiune gravă”, în sensul jurisprudenței Curții rezultate din Hotărârile Digital Rights și Tele2, nu este o noțiune autonomă a dreptului Uniunii al cărei conținut ar trebui definit de Curte, chiar dacă nu este mai puțin adevărat că derogarea prevăzută la articolul 15 alineatul (1) din Directiva 2002/58 trebuie să fie pusă în aplicare de statele membre în conformitate cu obligațiile care decurg din dreptul Uniunii, în special din drepturile fundamentale garantate de cartă, sub controlul Curții.
101. Cu privire la acest ultim aspect, subliniem că reiese din jurisprudența Curții, printre altele, că articolul 15 alineatul (1) menționat, în măsura în care permite statelor membre să restrângă sfera de aplicare a anumitor drepturi și obligații prevăzute de această directivă, trebuie să facă obiectul unei interpretări stricte și, așadar, nu poate face ca derogarea de la aceste drepturi și obligații de principiu să devină regula(115). Prin urmare, domeniul de aplicare al noțiunii „infracțiune gravă” nu poate fi interpretat într‑un mod excesiv de larg de statele membre.
102. În al doilea rând, ca ultim subsidiar, în ipoteza în care Curtea ar considera că noțiunea respectivă este autonomă, aceasta ar trebui să răspundă atunci la întrebare, astfel cum a fost formulată de instanța de trimitere, și, prin urmare, să se pronunțe cu privire la stabilirea criteriilor care permit să se aprecieze, la nivelul dreptului Uniunii, dacă o faptă penală are un caracter suficient de grav pentru a justifica o încălcare a drepturilor fundamentale consacrate la articolele 7 și 8 din cartă.
103. Mai precis, Curtea ar trebui să stabilească dacă, pentru a dovedi existența unei „infracțiuni grave” în sensul jurisprudenței respective, este suficient să se întemeieze pe pedeapsa prevăzută pentru presupusa infracțiune sau dacă trebuie ca, în plus, comportamentul infracțional să fi prejudiciat în mod deosebit interesele juridice individuale sau colective în discuție. În această privință, ar trebui, în opinia noastră, ca și în opinia guvernelor danez, spaniol, francez, maghiar, austriac, polonez și al Regatului Unit, să nu se opteze pentru primul aspect al acestei alternative, ci pentru cel de al doilea aspect, preferându‑se în esență o definiție bazată pe o multitudine de criterii de apreciere(116).
104. În ceea ce privește gravitatea infracțiunii care poate justifica accesul la date, ar fi imposibil, în opinia noastră, având în vedere principiul proporționalității, să se stabilească gravitatea faptelor incriminate, luând în considerare exclusiv pedeapsa care poate fi aplicată. Astfel, date fiind diferențele semnificative care există încă între sistemele penale ale statelor membre, apreciem că sancțiunea aplicată nu poate fi considerată ca putând reflecta în sine, din perspectiva calitativă a tipului de pedeapsă și/sau din perspectiva cantitativă a nivelului pedepsei, gravitatea deosebită a unei fapte penale.
105. Chiar dacă pedeapsa prezintă o importanță considerabilă, alți factori obiectivi trebuie de asemenea să fie luați în considerare în acest scop de la caz la caz. Este vorba în special, pe de o parte, de contextul în care se înscrie presupusa infracțiune – dacă comportamentul infracțional are un caracter intenționat, este însoțit de circumstanțe agravante și/sau a fost săvârșit în stare de recidivă potrivit legii –, pe de altă parte, de importanța intereselor societății care au putut fi încălcate de autorul infracțiunii, precum și de natura și/sau de întinderea prejudiciilor care au putut fi suferite de victima acesteia din urmă(117) și, în sfârșit, de amploarea pedepselor aplicabile în general în statul membru în cauză(118). Pe baza acestei serii de criterii de apreciere, alternative și neexhaustive, ar fi necesar, în opinia noastră, să se califice eventual o faptă penală drept „gravă” în sensul jurisprudenței Curții în discuție.
106. Adăugăm că interpretarea astfel propusă este conformă cu abordarea care pare să fi fost reținută de Curtea Europeană a Drepturilor Omului în jurisprudența sa referitoare la „prevenirea infracțiunilor”, ca obiectiv care poate justifica o ingerință în dreptul la respectarea vieții private consacrat la articolul 8 din CEDO, sub rezerva îndeplinirii și a altor condiții(119). Reiese, în opinia noastră, din această jurisprudență că combaterea anumitor categorii de infracțiuni poate fi invocată în mod valabil în acest cadru de statele părți la CEDO(120), în raport nu atât cu pedeapsa aplicată, ci mai degrabă cu diverși factori de evaluare, printre care figurează, în principal, natura infracțiunilor în cauză, precum și interesele publice și private afectate de acestea(121).
107. În consecință, considerăm că, deși noțiunea „infracțiune gravă” în sensul jurisprudenței rezultate din Hotărârile Digital Rights și Tele2 a fost considerată de Curte ca fiind o noțiune autonomă a dreptului Uniunii, aceasta ar trebui interpretată în sensul că caracterul grav al unei infracțiuni, care poate justifica accesul autorităților naționale competente la date cu caracter personal în temeiul articolului 15 alineatul (1) din Directiva 2002/58, trebuie să fie evaluat luând în considerare nu numai pedeapsa care poate fi aplicată, ci luând în considerare, în plus, un ansamblu de alte criterii obiective de apreciere, precum cele menționate mai sus.
D. Cu privire la definiția subsidiară a nivelului minim al pedepsei necesar pentru a stabili caracterul suficient de grav al unei infracțiuni care justifică o ingerință în drepturile fundamentale vizate (a doua întrebare)
108. Prin intermediul celei de a doua întrebări formulate, instanța de trimitere solicită în esență Curții, pe de o parte, să identifice nivelul minim pe care pedeapsa aplicată ar trebui să îl atingă pentru ca o faptă penală să poată fi calificată drept „gravă”, în sensul jurisprudenței rezultate din Hotărârile Digital Rights și Tele2, precum și, pe de altă parte, să declare dacă un prag de trei ani de închisoare, astfel cum se prevede în Codul de procedură penală spaniol de la reforma din anul 2015(122), este în conformitate cu cerințele dreptului Uniunii.
109. Aceste întrebări sunt adresate numai cu titlu subsidiar, în ipoteza în care Curtea ar statua, ca răspuns la prima întrebare preliminară, că natura gravă a unei fapte penale, factor care poate justifica o ingerință în drepturile fundamentale în temeiul acestei jurisprudențe, trebuie să fie determinată luând în considerare numai cuantumul pedepsei privative de libertate care poate fi aplicat.
110. Având în vedere răspunsul pe care îl propunem la prima întrebare, Curtea nu va trebui, în opinia noastră, să se pronunțe cu privire la a doua întrebare. Cu toate acestea, înțelegem să prezentăm observații cu privire la acest aspect, în scopul exhaustivității.
111. În ceea ce privește prima parte a celei de a doua întrebări, considerăm, în special ca și guvernele ceh și eston, că nivelul pedepsei aplicate care ar permite prin el însuși ca o infracțiune să fie calificată drept „gravă” nu poate fi determinat în mod uniform pe întreg teritoriul Uniunii, având în vedere considerațiile expuse mai sus ca răspuns la prima întrebare adresată de instanța de trimitere(123).
112. De altfel, această variație a definiției în legătură cu ceea ce trebuie să se înțeleagă printr‑o „infracțiune gravă”, în special în ceea ce privește pragul pedepsei de la care această calificare ar fi dobândită, este prezentă și în actele de drept al Uniunii. Astfel, se poate constata că actele Uniunii adoptate în temeiul articolului 83 alineatul (1) TFUE prevăd pedepse cu închisoarea stabilite la niveluri diferite pentru infracțiuni care sunt considerate toate ca intrând sub incidența „criminalității de o gravitate deosebită”(124), după cum reiese, de exemplu, din articolul 3 din Directiva 2011/92/UE(125) și din articolul 15 din Directiva (UE) 2017/541(126), instrumente referitoare la combaterea abuzurilor sexuale asupra copiilor și, respectiv, la combaterea terorismului. Astfel, însuși legiuitorul Uniunii nu a optat pentru o definiție uniformă a noțiunii „infracțiune gravă” în raport cu un anumit cuantum al pedepsei aplicate.
113. Amintim că libertatea lăsată statelor membre de a decide cu privire la nivelul minim al pedepsei necesar pentru ca faptele penale să fie considerate „grave” este supus normelor cuprinse în dispozițiile de drept al Uniunii în materie, dar și principiului potrivit căruia unei excepții nu i se poate acorda o întindere atât de largă încât să devină în fapt regula generală(127).
114. În speță, chiar dacă fiecare stat membru are posibilitatea de a aprecia care este pragul de pedeapsă adecvat pentru a defini o infracțiune gravă, acesta are totuși obligația de a nu stabili un nivel atât de scăzut, în raport cu nivelul obișnuit al pedepselor aplicabile în statul respectiv(128), încât excepțiile de la interdicția stocării și utilizării datelor cu caracter personal care sunt prevăzute la articolul 15 alineatul (1) menționat s‑ar transforma în principii, astfel cum a observat în mod întemeiat guvernul irlandez.
115. În plus, este cert că ingerințele în drepturile garantate de articolele 7 și 8 din cartă, care ar putea fi permise de statele membre în temeiul articolului 15 alineatul (1) din Directiva 2002/58, sunt, în plus, condiționate în continuare de respectarea cerințelor generale care decurg din principiul proporționalității, după cum prevede articolul 52 alineatul (1) din cartă(129).
116. În ceea ce privește ultima parte a celei de a doua întrebări formulate, guvernul eston și Comisia arată, pe de o parte, că un prag bazat exclusiv pe o pedeapsă cu închisoarea de cel puțin trei ani este, în termeni absoluți, suficient pentru a califica o infracțiune drept „gravă”, în sensul jurisprudenței Curții privind accesul la datele cu caracter personal rezultate din Hotărârea Digital Rights, și, pe de altă parte, că un astfel de prag nu este în mod vădit incompatibil cu dreptul Uniunii în general(130), și în special cu articolul 15 alineatul (1) din Directiva 2002/58.
117. Cu toate acestea, ar fi de dorit, în opinia noastră, ca Curtea să nu ia poziție în favoarea unui anumit cuantum al pedepsei aplicate, întrucât ceea ce este adecvat pentru anumite state membre nu va fi în mod obligatoriu pentru altele, iar ceea ce este valabil în prezent pentru un tip de infracțiuni nu va fi neapărat valabil în mod irevocabil în viitor, așa cum am menționat deja(131). Întrucât o determinare a pragului în cauză necesită o evaluare complexă și potențial evolutivă, este necesar, în opinia noastră, să se păstreze prudența cu privire la acest aspect și să se lase această operațiune la aprecierea legiuitorului Uniunii, în sfera de competențe conferite acestuia, sau la aprecierea legiuitorului fiecărui stat membru, în limitele cerințelor care decurg din dreptul Uniunii.
118. În această ultimă privință, subliniem că, în speță, instanța de trimitere indică un risc de inversiune între regula generală și derogările prevăzute de Directiva 2002/58, risc menționat mai sus(132), atunci când arată că „pragul de trei ani de închisoare [introdus în 2015 de legiuitorul spaniol(133)] include o mare parte dintre faptele penale”. Cu alte cuvinte, potrivit acestei instanțe, lista actuală a infracțiunilor care pot justifica, în Spania, restricții privind drepturile protejate în temeiul articolelor 7 și 8 din cartă, care a fost introdusă prin reforma Codului de procedură penală, ar conduce, în practică, la faptul ca cea mai mare parte a infracțiunilor prevăzute de Codul penal să fie incluse în lista respectivă.
119. Or, presupunând că ingerința în discuție în litigiul principal este considerată gravă de Curte și că rezultatul astfel evocat de instanța de trimitere este cert, acesta din urmă nu ar fi, în opinia noastră, conform cu obligația de proporționalitate la care sunt supuse asemenea restricții(134). Același lucru este valabil, în opinia noastră, în pofida existenței unui control jurisdicțional, invocată de guvernul spaniol, din moment ce exercitarea acestui control permite doar să se prevină punerea în aplicare a unor măsuri considerate, de la caz la caz, arbitrare sau prea intruzive, iar nu să se descurajeze, în mod generalizat, utilizarea unor măsuri de acest tip și dezvoltarea lor.
120. În sfârșit, subliniem că abordarea propusă în prezenta secțiune în ansamblu este, în opinia noastră, conformă cu cea reținută de Curtea Europeană a Drepturilor Omului în jurisprudența sa cu privire la protecția datelor cu caracter personal. Desigur, astfel cum arată guvernul irlandez și Comisia, această instanță a considerat ca fiind suficient de clare legislațiile naționale care defineau infracțiunile „grave”, care ar putea justifica o ingerință în viața privată, făcând referire la o pedeapsă aplicată egală cu sau mai mare de trei ani de închisoare(135). Cu toate acestea, considerăm că aceasta nu a tratat cuantumul respectiv al pedepsei ca un criteriu absolut și fix în sensul acestei definiții, dat fiind că jurisprudența sa ne pare centrată pe cerința unui grad suficient de previzibilitate și de claritate pentru cetățeni în ceea ce privește nu atât pedeapsa aplicată, ci mai curând natura infracțiunilor care permit o asemenea ingerință(136). Pe de altă parte, deși Curtea Europeană a Drepturilor Omului recunoaște statelor o anumită marjă în aprecierea existenței și a întinderii necesității unei asemenea ingerințe, ea supune totuși marja de apreciere respectivă unui control la nivel european(137). În special, ea urmărește să prevină riscurile unor abuzuri determinate de legislații care se referă la un număr de infracțiuni atât de mare încât conduc la faptul că cele mai multe dintre infracțiuni permit să se justifice măsurile intruzive(138).
121. În concluzie, considerăm că, în ipoteza în care Curtea ar statua – contrar a ceea ce propunem – că este necesar să țină seama numai de pedeapsa aplicată pentru a califica o faptă penală ca fiind „gravă” în sensul jurisprudenței care rezultă din Hotărârea Digital Rights, ar trebui să se răspundă în acest caz la cea de a doua întrebare preliminară în sensul că statele membre sunt libere să stabilească nivelul minim al pedepsei relevante în acest scop, cu condiția ca acestea să se conformeze cerințelor care decurg din dreptul Uniunii, în special celor potrivit cărora ingerințele în drepturile fundamentale garantate la articolele 7 și 8 din cartă trebuie să rămână excepționale și să respecte principiul proporționalității.
V. Concluzie
122. Având în vedere considerațiile care precedă, propunem Curții să răspundă la întrebările preliminare adresate de Audiencia Provincial de Tarragona (Curtea Provincială din Tarragona, Spania) după cum urmează:
„Articolul 15 alineatul (1) din Directiva 2002/58/CE a Parlamentului European și a Consiliului din 12 iulie 2002 privind prelucrarea datelor personale și protejarea confidențialității în sectorul comunicațiilor publice (Directiva asupra confidențialității și comunicațiilor electronice), astfel cum a fost modificată prin Directiva 2009/136/CE a Parlamentului European și a Consiliului din 25 noiembrie 2009, coroborat cu articolele 7 și 8, precum și cu articolul 52 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene trebuie interpretat în sensul că o măsură care permite autorităților naționale competente să aibă acces, în scopul combaterii unor fapte penale, la datele de identificare ale utilizatorilor numerelor de telefon activate de pe un anumit telefon mobil și pe o perioadă limitată, în circumstanțe precum cele în discuție în litigiul principal, conduce la o ingerință, în drepturile fundamentale garantate de directiva menționată și de cartă, care nu atinge un nivel suficient de gravitate pentru a fi necesar ca un asemenea acces să fie rezervat situațiilor în care infracțiunea în cauză are un caracter grav.”