Ce înseamnă asistența judiciară reciprocă (MLA) care implică România?

Asistența judiciară reciprocă (mutual legal assistance – MLA) care implică România reprezintă cooperarea formală în materie penală între autoritățile române și autoritățile altor state pentru obținerea sau transmiterea de probe, cum ar fi conturi bancare, date telecom, documente de companie sau declarații de martori. Baza internă este Legea nr. 302/2004 privind cooperarea judiciară internațională în materie penală, completată de Codul de procedură penală. La nivel internațional, România se bazează pe Convenția europeană de asistență judiciară în materie penală din 1959 și protocoalele sale, Convenția UE din 2000, Directiva 2014/41/UE privind Ordinul european de anchetă, Convenția de la Budapesta privind criminalitatea informatică, precum și pe regulamentele UE privind înghețarea și confiscarea bunurilor și probele electronice.

Cum poate o companie străină să verifice un ordin sau o cerere MLA provenită din România?

O companie străină ar trebui să identifice mai întâi instrumentul folosit (de exemplu, cerere MLA în baza Convenției din 1959, cerere în baza Convenției UE din 2000, Ordin european de anchetă sau ordin european de obținere/conservare a probelor electronice). Apoi trebuie să verifice autenticitatea documentului (antet oficial, semnături, ștampile), competența autorității emitente (parchet, instanță, minister) și dacă, pentru măsurile intruzive solicitate, legea română cere o autorizare judecătorească, care ar trebui să existe. Dacă există dubii, se pot folosi canale oficiale – autorități centrale, Eurojust, Rețeaua Judiciară Europeană – și se recomandă consultarea avocaților atât în statul de stabilire al companiei, cât și în România.

Poate o persoană să conteste utilizarea datelor sale bancare sau telecom obținute în România prin MLA?

Da. Accesul la tranzacțiile bancare și la datele de trafic și localizare ale comunicațiilor electronice presupune, în mod normal, autorizarea prealabilă a judecătorului de drepturi și libertăți. Persoana vizată poate formula plângeri împotriva actelor de urmărire penală și poate contesta legalitatea măsurilor și a probelor în fața instanței, în camera preliminară sau în cursul judecății. Dacă instanța constată încălcarea condițiilor legale, proba poate fi exclusă sau utilizarea ei poate fi limitată. În plus, persoana poate invoca drepturile din GDPR și Legea nr. 363/2018 și poate formula plângeri la ANSPDCP pentru o eventuală prelucrare ilegală a datelor în context MLA.

Ce opțiuni are o companie când primește un ordin de comunicare de date în legătură cu o cerere MLA care implică România?

Compania trebuie să trateze ordinul ca pe o obligație legală, dar poate și trebuie să își protejeze interesele legitime și pe cele ale clienților. În mod practic, ar trebui să verifice autenticitatea și competența autorității emitente, să analizeze dacă domeniul de aplicare al cererii este necesar și proporțional, să documenteze și să justifice orice minimizare a datelor furnizate și să implice consilieri juridici în toate jurisdicțiile relevante. În anumite cazuri, compania poate contesta măsurile în fața instanțelor române sau poate ridica obiecții privind admisibilitatea probelor în procedura penală din statul solicitant. De asemenea, poate utiliza căi de atac în materie de protecție a datelor, inclusiv plângeri către autoritatea de supraveghere.

Cum se aplică regulile de protecție a datelor în contextul MLA și al cererilor de probe transfrontaliere care implică România?

În MLA și în cererile de probe transfrontaliere, datele cu caracter personal sunt prelucrate atât de autoritățile de aplicare a legii, cât și de entități private precum bănci, operatori telecom și furnizori de servicii online. Pentru autoritățile române competente, se aplică Legea nr. 363/2018, care transpune Directiva (UE) 2016/680 și impune principii de legalitate, necesitate și proporționalitate, precum și drepturi ale persoanelor vizate, supuse anumitor limitări pentru protejarea anchetelor. Pentru operatorii privați, temeiul principal este GDPR, în special art. 6 alin. (1) lit. c) (îndeplinirea unei obligații legale), coroborat cu principiile de minimizare a datelor și limitare la scop. Persoanele vizate pot formula plângeri la ANSPDCP și pot introduce acțiuni în justiție pentru încălcarea drepturilor lor.

Asistență judiciară reciprocă și probe transfrontaliere România

Investigațiile penale transfrontaliere depind din ce în ce mai mult de schimbul rapid de date: informații bancare, documente corporative, emailuri, loguri de mesagerie și alte probe electronice. Atunci când aceste date au o legătură cu România – pentru că un cont este deschis la o bancă românească, utilizatorul se află în România, serverele sau compania sunt stabilite aici sau există o anchetă penală românească – asistența judiciară reciprocă (mutual legal assistance – MLA) și instrumentele UE determină modul în care aceste probe pot fi solicitate și utilizate.

Acest articol explică modul în care funcționează, în practică, MLA și cererile transfrontaliere de probe care implică România. Ținta sunt avocații străini, ofițerii de compliance și persoanele ale căror date, conturi bancare sau comunicații pot fi solicitate de sau către autoritățile române. Vom aborda în special:

cadrul juridic pentru MLA și obținerea transfrontalieră de probe care implică România;
modul în care autoritățile române solicită probe din străinătate;
modul în care autoritățile străine solicită probe aflate în România (inclusiv conturi bancare, date telecom și documente corporative);
drepturile și căile de atac ale persoanei vizate sau ale companiei afectate; și
rolul instanțelor române versus rolul parchetelor în autorizarea și executarea măsurilor.

Prezentarea este una descriptivă și practică și nu înlocuiește consultanța juridică adaptată unui caz concret, în funcție de dreptul român și de tratatul sau instrumentul UE aplicabil.

Cadrul juridic pentru asistența judiciară reciprocă (MLA) cu România

Baza legală internă

Principalul act normativ român care reglementează cooperarea judiciară internațională în materie penală este Legea nr. 302/2004. Aceasta stabilește principiile generale (prioritatea tratatelor internaționale, reciprocitatea, proporționalitatea), definește formele de cooperare (asistență judiciară reciprocă, extrădare, transfer de proceduri, recunoașterea și executarea hotărârilor străine, echipe comune de anchetă etc.) și detaliază procedura pentru transmiterea și executarea cererilor de asistență, inclusiv motivele de refuz și regula specialității (utilizarea probelor exclusiv în scopul pentru care au fost solicitate).

Legea 302/2004 se aplică „în baza și pentru executarea” instrumentelor juridice internaționale la care România este parte și le completează în situațiile nereglementate expres, consacrând preeminența dreptului internațional în materie de cooperare judiciară penală.

Codul de procedură penală (CPP) completează Legea 302/2004. El reglementează:

separarea funcțiilor judiciare (funcția de urmărire penală, funcția judecătorului de drepturi și libertăți, a judecătorului de cameră preliminară și a instanței de judecată);
principiile generale, inclusiv legalitatea procesului penal și respectarea drepturilor fundamentale; și
instrumentele concrete de obținere a probelor: percheziții, ridicări de obiecte și înscrisuri, acces la date bancare, acces la date de trafic și localizare, supraveghere tehnică și alte „metode speciale de supraveghere sau cercetare”.

Articolul 3 CPP consacră separarea funcțiilor judiciare și prevede că asupra actelor și măsurilor din cursul urmăririi penale care restrâng drepturi și libertăți fundamentale dispune judecătorul desemnat cu aceste atribuții, cu excepția cazurilor prevăzute de lege. Această separare este esențială pentru înțelegerea modului în care România execută cereri de MLA sau ordine emise în baza recunoașterii reciproce (EIO, ordine de înghețare etc.).

În ceea ce privește datele sensibile, relevante pentru cooperarea internațională, se aplică în special:

regulile CPP privind obținerea de date bancare (informații despre tranzacții, solduri, conținutul contului), pentru care este necesară, ca regulă, autorizarea prealabilă a judecătorului de drepturi și libertăți;
art. 152 CPP privind obținerea datelor de trafic și localizare prelucrate de furnizorii de rețele sau servicii de comunicații electronice destinate publicului, care impune o autorizație anterioară din partea judecătorului de drepturi și libertăți și condiții legate de gravitatea infracțiunii și necesitatea măsurii.

Convențiile Consiliului Europei

România este parte la Convenția europeană de asistență judiciară în materie penală din 1959 și la protocoalele sale adiționale. Aceasta reprezintă „coloana vertebrală” a MLA clasice în spațiul Consiliului Europei: acoperă comisiile rogatorii, obținerea de probe, comunicarea actelor de procedură, transmiterea de extrase de cazier și alte forme de asistență.

Protocolul adițional și cel de-al doilea Protocol adițional modernizează convenția, introducând, printre altele, schimbul spontan de informații, audierile prin videoconferință sau teleconferință, cooperarea pentru livrări controlate, investigații sub acoperire și reguli mai flexibile pentru transmiterea directă între autoritățile judiciare.

În plus, România este parte la Convenția privind criminalitatea informatică (Convenția de la Budapesta), primul instrument internațional dedicat infracțiunilor informatice și probelor electronice. Convenția armonizează anumite infracțiuni și conferă autorităților puteri procedurale (conservarea rapidă a datelor informatice, divulgarea rapidă a datelor de trafic, obținerea în timp real a datelor de trafic și interceptarea conținutului), însoțite de dispoziții detaliate privind cooperarea internațională.

Instrumente ale Uniunii Europene

În relația cu alte state membre UE, cooperarea care implică România este puternic influențată de instrumentele de recunoaștere reciprocă:

Convenția UE din 2000 privind asistența judiciară în materie penală, care completează Convenția Consiliului Europei din 1959 și permite, de exemplu, transmiterea directă a cererilor între autorități judiciare și cooperarea în materie de interceptări de telecomunicații și informații bancare.
Directiva 2014/41/UE privind Ordinul european de anchetă (OEA), care introduce un instrument unic prin care o autoritate judiciară dintr-un stat membru poate dispune efectuarea unuia sau mai multor acte de urmărire penală într-un alt stat membru, în vederea obținerii de probe. Directiva are un domeniu de aplicare „orizontal” și acoperă, în principiu, toate măsurile de strângere de probe disponibile în procedurile interne.
Regulamentul (UE) 2018/1805 privind recunoașterea reciprocă a ordinelor de înghețare și de confiscare, care stabilește reguli uniforme pentru recunoașterea și executarea în UE a ordinelor de înghețare și confiscare, inclusiv a celor privind bunuri și probe situate în România.
Regulamentul (UE) 2023/1543 privind ordinele europene de obținere și de conservare a probelor electronice (EPOC și EPOC-PR), care permite autorităților judiciare să se adreseze direct furnizorilor de servicii care oferă servicii în UE, pentru a produce sau conserva probe electronice, indiferent de locul stocării lor.

În practică, atunci când atât România, cât și statul partener sunt state membre UE, autoritățile preferă, de regulă, instrumentele de recunoaștere reciprocă (OEA, Regulamentul 2018/1805, Regulamentul 2023/1543) în locul MLA „clasice”, mai ales pentru probe electronice și măsuri urgente de înghețare de bunuri.

Tratate bilaterale și lex specialis

Pe lângă convențiile multilaterale, România are în vigoare o serie de tratate bilaterale de asistență judiciară cu diverse state, unele încheiate înainte de aderarea la UE, altele ulterior. Acestea pot conține reguli mai favorabile privind limba, canalele de transmitere, termenele sau condițiile de refuz. Potrivit Legii 302/2004, atunci când un tratat bilateral prevede o reglementare mai favorabilă decât cea din lege sau dintr-o convenție multilaterală, se aplică tratatul ca lex specialis.

Din perspectiva unui avocat sau ofițer de compliance, primul pas este identificarea combinată a (i) statutului statului solicitant (UE, Consiliul Europei, stat terț), (ii) convențiilor multilaterale aplicabile (1959, Convenția UE 2000, Budapesta etc.) și (iii) eventualelor tratate bilaterale. Abia apoi se pot evalua instrumentele disponibile, garanțiile și căile de atac.

Modul în care autoritățile române solicită probe din străinătate

Autorități competente și canale de comunicare

Autoritățile române competente depind de stadiul procesului penal și de tipul de cooperare solicitat. Profilul României privind asistența judiciară, publicat de Consiliul Europei, indică în principal:

Ministerul Justiției, prin direcția de specialitate, ca autoritate centrală pentru cererile formulate în faza de judecată și de executare a hotărârilor;
Parchetul de pe lângă Înalta Curte de Casație și Justiție, ca autoritate centrală pentru cererile din faza de urmărire penală și de sesizare a instanței, cu structuri specializate (DIICOT, DNA) în funcție de infracțiune;
Inspectoratul General al Poliției Române pentru schimbul de informații de cazier judiciar.

De regulă, se utilizează contactul direct între autoritățile centrale, cu transmitere prin mijloace rapide (email securizat, fax, ulterior cu transmiterea originalelor). Pentru cauze urgente și între state care sunt părți la cel de-al doilea Protocol adițional sau la Convenția UE 2000, sunt încurajate contactele directe între autoritățile judiciare (parchete, instanțe), cu informarea autorităților centrale. Eurojust, Rețeaua Judiciară Europeană sau canalele Interpol pot fi folosite în funcție de situație.

Alegerea instrumentului: MLA, OEA, cooperare în materia cybercrime & e-evidence

Atunci când autoritățile române au nevoie de probe în străinătate, primul pas este alegerea instrumentului potrivit:

în UE, se va emite, de regulă, un Ordin european de anchetă (OEA) pentru obținerea de probe (conturi bancare, documente corporative, audieri de martori, percheziții, interceptări etc.) într-un alt stat membru;
pentru statele Consiliului Europei non-UE, se folosește în principal Convenția din 1959 și protocoalele sale, sub forma comisiilor rogatorii sau a altor cereri de asistență;
pentru probe electronice la furnizori globali (email, mesagerie, cloud) se combină instrumentele MLA (inclusiv Convenția de la Budapesta) cu eventuale canale contractuale sau de cooperare voluntară cu furnizorii, în limitele dreptului intern și ale drepturilor omului;
acolo unde există tratate bilaterale, acestea pot permite canale mai directe și condiții mai flexibile (de exemplu, renunțarea la dubla incriminare pentru anumite măsuri).

Important: faptul că proba este localizată în străinătate nu permite ocolirea normelor interne privind pragurile și condițiile de autorizare. Dacă, în dreptul român, pentru acces la conținutul unui cont bancar sau la date de trafic este necesară o autorizație a judecătorului de drepturi și libertăți, procurorul trebuie să obțină această autorizare chiar dacă executarea se realizează în alt stat, în baza unui OEA sau a unei cereri MLA.

Tipuri de probe solicitate de autoritățile române

În practică, autoritățile române solicită frecvent în străinătate:

date bancare și financiare: identificarea conturilor deținute de anumite persoane sau companii, extrase de cont, istoricul tranzacțiilor, informații despre beneficiarii reali, documentație de credit etc.;
date de comunicații: date de abonat, date de trafic și localizare, date privind IP-urile utilizate pentru accesarea unor servicii online și, unde este legal posibil, conținut de comunicări;
documente corporative și tranzacționale: documente de înființare, registre de acționari, registre de administratori, contracte, facturi, documente vamale, politici interne relevante pentru acuzații;
probe testimoniale: audieri de martori, confruntări, recunoașteri, inclusiv prin videoconferință sau teleconferință.

Cererile trebuie să descrie faptele, încadrarea juridică, măsurile solicitate și motivele pentru care acestea sunt necesare și proporționale. În cadrul OEA, această structură este standardizată în formularul anexă la Directiva 2014/41/UE; în cadrul MLA clasice, Legea 302/2004 impune conținut minim pentru cereri, mai ales când se solicită percheziții, sechestru sau măsuri intruzive.

Modul în care autoritățile străine solicită probe din România (conturi bancare, date telecom, documente de companie)

Autorități centrale și transmiterea cererilor

Autoritățile străine care au nevoie de probe situate în România trebuie să identifice corect autoritatea română competentă și canalul de comunicare. În funcție de faza procesului penal:

în faza de urmărire penală și sesizare a instanței, interfața principală este Ministerul Public – Parchetul de pe lângă Înalta Curte de Casație și Justiție;
în faza de judecată și executare a hotărârilor, corespondentul este Ministerul Justiției;
pentru cazierul judiciar, se utilizează structurile Poliției Române.

În baza convențiilor aplicabile, multe cereri pot fi transmise direct între autorități judiciare (parchete, instanțe), cu informarea autorităților centrale. Pentru cazurile urgente, România acceptă transmiterea prin email sau fax, cu condiția transmiterii ulterioare a originalelor, dacă tratatul o cere.

Cerințe de formă, limbă și conținut

Legea 302/2004 și convențiile aplicabile prevăd cerințe standard minimale pentru cereri:

identificarea autorității emitente și, dacă este cazul, a autorității de executare;
descrierea faptelor: timp, loc, împrejurări relevante;
încadrarea juridică a infracțiunilor, cu trimitere la textele legale din statul solicitant;
descrierea măsurilor solicitate (percheziții de anumite sedii, obținerea de date bancare sau de trafic, ridicarea unor documente corporative etc.);
menționarea formalităților speciale solicitate (de exemplu, prezența reprezentanților statului solicitant, forme procedurale necesare pentru admisibilitatea probelor).

De regulă, România acceptă cereri redactate în limba română, iar pentru situațiile în care acest lucru nu este posibil, în practică se acceptă limba engleză sau franceză, cu traducere ulterioară, în special în cazurile urgente sau când tratatele prevăd expres acest lucru.

Pentru măsuri intruzive (percheziții, sechestru, interceptări, acces la conținutul conturilor bancare, date de trafic), se verifică de obicei dubla incriminare: fapta să constituie infracțiune atât în statul solicitant, cât și în România. Pentru măsuri neintruzive (comunicarea de acte, obținerea de informații publice, declarații voluntare), dubla incriminare nu este, de regulă, necesară.

Conturi bancare și informații financiare în România

Cererile externe vizează frecvent conturi și tranzacții bancare în România: identificarea conturilor deținute de o persoană sau de o companie, extrase de cont, istoricul tranzacțiilor pe o anumită perioadă, informații privind beneficiarii reali sau documente aferente unor operațiuni specifice.

Secretul bancar nu este un obstacol absolut în relația cu autoritățile de urmărire penală, dar accesul la date privind tranzacțiile și conținutul contului este considerat o ingerință serioasă în dreptul la viață privată și la viață economică. În consecință, procurorul român care execută o cerere externă trebuie să solicite autorizare prealabilă de la judecătorul de drepturi și libertăți pentru a obține astfel de date.

Banca este obligată să coopereze în baza ordonanței sau încheierii judecătorești, sub sancțiunea răspunderii penale sau contravenționale, și are, în general, o obligație de confidențialitate față de client în legătură cu existența cererii, pe perioada indicată de autorități.

Date telecom și comunicații electronice

În materie de comunicații, cererile externe pot viza:

date de abonat (identitatea titularului unui număr, IMSI/IMEI, date de contact);
date de trafic și localizare (loguri de apeluri, celule de telefonie mobilă, IP-uri de conectare, loguri de acces la servicii online);
conținut de comunicații (interceptări în timp real sau conținut stocat – emailuri, mesaje, fișiere).

Art. 152 CPP reglementează obținerea datelor de trafic și localizare de la furnizorii de rețele și servicii de comunicații electronice, la cererea procurorului și cu autorizarea prealabilă a judecătorului de drepturi și libertăți, pentru anumite infracțiuni și în condiții stricte de necesitate. Furnizorii au obligația să răspundă în termenul stabilit și să păstreze confidențialitatea măsurii.

Interceptările și celelalte metode speciale de supraveghere tehnică (audio-video, monitorizare GPS etc.) sunt reglementate distinct în CPP și pot fi folosite inclusiv în executarea cererilor externe sau a OEA, dacă sunt îndeplinite condițiile legale și există un temei convențional sau UE care prevede cooperarea pentru astfel de măsuri.

Dosare de companie, percheziții și ridicări de înscrisuri

Autoritățile străine pot avea nevoie de:

documente din registre publice (de exemplu, extras din registrul comerțului, informații privind administratorii și acționarii);
registre contabile, contracte, corespondență comercială și alte documente interne ale unor companii stabilite în România;
documente fiscale sau vamale care privesc tranzacțiile unei entități românești.

Atunci când documentele sunt publice sau ușor accesibile în dreptul român, autoritățile române le pot obține și transmite în baza cererii MLA sau a OEA. Dacă, însă, se solicită documente interne, nepublice, iar compania nu consimte voluntar, executarea se poate face prin percheziții și ridicări de înscrisuri, măsuri care cer, la rândul lor, autorizarea judecătorului de drepturi și libertăți.

În executarea acestor măsuri, se aplică dispozițiile interne privind protecția materialelor privilegiate (de exemplu, corespondența avocat–client acoperită de secretul profesional) și se urmărește delimitarea cât mai clară a documentelor relevante pentru cererea externă.

Implicații practice pentru bănci, operatori telecom și companii din România

Băncile, furnizorii de comunicații și companiile din România se confruntă, în practică, cu ordine sau mandate emise în executarea unor cereri externe sau OEA. De obicei, aceste entități văd doar actul intern (ordonanța procurorului, încheierea judecătorului, mandatul de percheziție), în care se poate face referire la cererea străină.

Din perspectiva managementului de risc, este esențial ca aceste entități să:

trateze astfel de ordine la fel de serios ca pe cele interne, pentru că refuzul nejustificat de executare poate atrage răspunderea;
verifice competența organului emitent și obiectul actului (ce date sau ce sedii sunt vizate);
implice departamentul juridic și, după caz, consultanți externi pentru a evalua proporționalitatea, impactul asupra datelor terților și existența unor eventuale privilegii (de exemplu, documente avocațiale);
implementeze politici de minimizare a datelor furnizate și de logare a dezvăluirilor (ce s-a comunicat, când, pe ce temei).

Drepturile și căile de atac ale persoanei vizate sau ale companiei afectate

Garanții procedurale în Codul de procedură penală

Codul de procedură penală român oferă o serie de garanții aplicabile atât în cauzele interne, cât și atunci când măsurile se iau în executarea unei cereri externe sau a unui instrument UE:

legalitatea și controlul judecătoresc: măsurile care restrâng drepturi fundamentale (percheziții, interceptări, acces la date bancare sau de trafic) trebuie, în principiu, autorizate în prealabil de judecătorul de drepturi și libertăți;
dreptul la asistență juridică: suspectul sau inculpatul are dreptul de a fi asistat de avocat, iar în anumite situații asistența este obligatorie;
dreptul de a contesta actele de urmărire penală: persoanele ale căror drepturi sau interese legitime sunt vătămate printr-un act al procurorului sau organului de urmărire penală (de exemplu, o percheziție, o ordonanță de acces la date) pot formula plângere la procurorul ierarhic și ulterior la judecătorul de drepturi și libertăți;
dreptul de a contesta legalitatea probelor în fața instanței, în camera preliminară sau în cursul judecății, cu consecința excluderii probelor obținute nelegal.

Aceste garanții se aplică și atunci când măsurile sunt motivate de o cerere MLA sau de un OEA emis de un stat străin: actul străin nu poate ocoli exigențele de legalitate și proporționalitate din dreptul român.

Cadrul de protecție a datelor în materie penală

Pe lângă CPP, prelucrarea datelor cu caracter personal în context penal și în cooperarea internațională este reglementată de două instrumente principale:

Regulamentul (UE) 2016/679 (GDPR), care se aplică, în principal, prelucrărilor efectuate de operatori privați în afara sferei de aplicare a Directivei (UE) 2016/680, dar care stabilește principii generale privind legalitatea, minimizarea datelor, securitatea și drepturile persoanelor vizate;
Legea nr. 363/2018, care transpune Directiva (UE) 2016/680 și reglementează prelucrarea datelor de către autoritățile competente în scopul prevenirii, descoperirii, cercetării, urmăririi penale și combaterii infracțiunilor sau al executării pedepselor și măsurilor de siguranță.

Legea 363/2018 consacră principiile de legalitate, echitate, transparență, limitare la scop, minimizarea datelor și integritate și securitate. De asemenea, stabilește drepturi pentru persoanele vizate (dreptul de acces, rectificare, ștergere, restricționare), cu posibilitatea ca anumite drepturi să fie restrânse prin lege când acest lucru este necesar și proporțional pentru a proteja anchetele penale.

Autoritatea de supraveghere și plângeri în materie de date

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) este autoritatea de supraveghere independentă din România în domeniul protecției datelor. Persoanele care consideră că datele lor au fost prelucrate nelegal – inclusiv în contextul unei cereri MLA – pot formula plângere la ANSPDCP, care are competența de a investiga și sancționa operatorii și procesatorii.

În paralel sau alternativ, persoana vizată poate introduce acțiuni în fața instanțelor române, în temeiul GDPR și al legislației naționale, pentru a obține remedii efective și, eventual, despăgubiri pentru prejudiciile suferite ca urmare a unei prelucrări ilegale de date în context penal.

Dreptul la respectarea vieții private (art. 8 CEDO)

România este parte la Convenția Europeană a Drepturilor Omului (CEDO), iar jurisprudența Curții Europene a Drepturilor Omului (CEDO) are impact direct asupra modului în care sunt concepute și aplicate măsurile de colectare de date. Articolul 8 CEDO garantează dreptul la respectarea vieții private, a domiciliului și a corespondenței, iar orice ingerință trebuie să fie prevăzută de lege, să urmărească un scop legitim (de exemplu, prevenirea infracțiunilor) și să fie necesară într-o societate democratică.

Cazul Bărbulescu c. României (Marea Cameră, 2017) a subliniat obligațiile pozitive ale statului de a asigura un cadru legal și o practică judiciară care să protejeze viața privată, inclusiv în mediul profesional. Deși speța privea monitorizarea de către angajator a comunicațiilor unui angajat, principiile privind transparența, proporționalitatea și garanțiile procedurale sunt relevante și pentru analiza măsurilor de colectare a datelor în context penal și de cooperare internațională.

Căi de atac pentru companii

Companiile afectate de măsuri legate de MLA – percheziții, ridicări de servere, ordine de comunicare a datelor clienților – au, în general, următoarele opțiuni:

contestarea actelor procesuale interne (de exemplu, contestarea mandatului de percheziție sau a ordonanței de ridicare de înscrisuri) în fața instanțelor române;
ridicarea de excepții privind admisibilitatea sau folosirea probelor astfel obținute în procedura penală din statul solicitant (de exemplu, invocând încălcarea garanțiilor de la nivelul executării în România);
plângeri la ANSPDCP și acțiuni civile pentru protejarea datelor cu caracter personal și a secretelor comerciale;
utilizarea mecanismelor interne și a politicilor de compliance pentru a documenta și a limita dezvăluirea datelor, ceea ce poate fi esențial ulterior în litigii.

Rolul instanțelor din România vs. rolul parchetelor în autorizarea măsurilor

Separarea funcțiilor – art. 3 CPP

Articolul 3 CPP consacră patru funcții distincte în procesul penal: funcția de urmărire penală (procurorul și organele de cercetare penală), funcția judecătorului de drepturi și libertăți, funcția judecătorului de cameră preliminară și funcția instanței de judecată. Același articol prevede că asupra actelor și măsurilor care restrâng drepturi și libertăți fundamentale, în faza de urmărire penală, dispune judecătorul desemnat, cu excepția cazurilor prevăzute de lege.

În contextul MLA și al instrumentelor de recunoaștere reciprocă, această separare înseamnă că un procuror român nu poate, de unul singur, să autorizeze măsuri intruzive doar pentru că acestea sunt solicitate de un stat străin sau de o autoritate din UE; este necesară implicarea judecătorului de drepturi și libertăți.

Măsuri care necesită autorizare judecătorească

În mare, următoarele categorii de măsuri – frecvent întâlnite în cererile MLA și în OEA – presupun autorizarea judecătorului de drepturi și libertăți:

perchezițiile domiciliare și perchezițiile informatice, precum și ridicarea de obiecte și înscrisuri din sediile companiilor;
accesul la date privind tranzacțiile și conținutul conturilor bancare;
accesul la datele de trafic și localizare ale comunicațiilor electronice (art. 152 CPP);
metodele speciale de supraveghere tehnică (interceptări, înregistrări ambientale, localizare GPS etc.).

Un OEA sau o cerere MLA prin care se solicită astfel de măsuri va fi, de regulă, supusă unei proceduri interne: procurorul sesizează judecătorul de drepturi și libertăți cu o propunere motivată, iar judecătorul autorizează (sau nu) măsura, prin încheiere, în condițiile CPP.

Competențele procurorilor

Procurorii români au, în schimb, competențe extinse pentru măsuri mai puțin intruzive, cum ar fi:

solicitarea de informații generale (de exemplu, existența unui cont bancar, fără detalierea tranzacțiilor), în condițiile legii speciale;
obținerea de înscrisuri din registre publice;
emiterea și transmiterea cererilor de MLA, a OEA și a altor instrumente de cooperare, în limitele competenței conferite de Legea 302/2004 și de instrumentele UE.

Chiar și pentru aceste măsuri, actele procurorului pot fi supuse controlului judecătoresc, la plângerea persoanelor vătămate sau în cadrul verificării legalității probelor în camera preliminară.

Executarea ordinelor de înghețare și a altor hotărâri străine

În ceea ce privește ordinele străine de înghețare și confiscare, Legea 302/2004 și Regulamentul (UE) 2018/1805 prevăd proceduri în care instanțele române au un rol central: verifică îndeplinirea condițiilor de recunoaștere, eventualele motive de refuz (de exemplu, imunități, ne bis in idem), compatibilitatea cu ordinea de drept română și, în final, dispun măsurile necesare pentru executarea ordinului în România.

Același tip de control poate apărea și pentru alte forme de cooperare – de exemplu, atunci când se constituie echipe comune de anchetă sau când se cere executarea unor măsuri de supraveghere tehnică în România la cererea unui alt stat – instanțele fiind chemate să verifice dacă sunt respectate standardele interne și cele convenționale (CEDO).

Ghid practic pentru companii confruntate cu ordine MLA legate de România

1. Identificați instrumentul și temeiul legal

La primirea unui ordin sau a unei solicitări, primul pas este să înțelegeți ce fel de instrument aveți în față:

act intern (ordonanță a procurorului, mandat de percheziție, adresă de comunicare de date), emis în executarea unei cereri MLA sau a unui OEA străin;
un OEA sau un ordin european de obținere/conservare a probelor electronice adresat direct entității dumneavoastră (dacă aveți sediu sau reprezentant în UE);
o cerere MLA „clasică”, transmisă prin autoritățile din statul dumneavoastră, care va fi transformată într-un act intern conform dreptului local.

În funcție de instrument, se aplică reguli diferite privind termenele de răspuns, posibilitățile de refuz, drepturile persoanelor vizate și căile de atac. Este esențial să identificați corect instrumentul pentru a evita atât subreactarea (ignorarea unor obligații legale), cât și suprareactarea (dezvăluirea excesivă de date).

2. Verificați autenticitatea și competența

Înainte de a furniza orice date, verificați:

dacă documentul este emis pe antet oficial, semnat și, după caz, ștampilat;
dacă autoritatea emitentă este competentă (parchet, instanță, minister), în lumina instrumentului indicat (MLA, OEA, regulament UE etc.);
dacă, în cazul măsurilor intruzive, se menționează existența unei autorizări judecătorești (de exemplu, numărul și data încheierii judecătorului de drepturi și libertăți).

Dacă există dubii, utilizați datele de contact oficiale ale autorității pentru a verifica autenticitatea, eventual prin intermediul autorităților din statul dumneavoastră sau, în UE, prin Eurojust ori Rețeaua Judiciară Europeană.

3. Analizați scopul, domeniul de aplicare și minimizarea datelor

Un principiu cheie pentru companii este minimizarea datelor. Chiar dacă există un temei legal puternic (MLA, OEA), nu sunteți obligați să furnizați mai multe date decât cele strict cerute și necesare.

Analizați:

dacă cererea este suficient de specifică (intervale de timp, conturi sau persoane clar identificate) sau dacă este formulată generic;
dacă se solicită categorii de date care par evident excesive raportat la faptele descrise;
dacă este posibilă propunerea, în dialog cu autoritatea, a unei versiuni filtrate sau etapizate a răspunsului (de exemplu, producerea inițială a unor seturi limitate de date și extinderea ulterioară).

4. Gestionați confidențialitatea și comunicarea cu clienții

Multe acte procesuale prevăd obligații de confidențialitate în sarcina băncilor, furnizorilor și companiilor, pentru a nu periclita investigația. Pe de altă parte, obligațiile de transparență din GDPR și așteptările clienților privind protecția datelor pot crea tensiuni.

În practică:

identificați dispozițiile legale sau ordinele concrete care impun tăcerea (inclusiv durata acestei obligații);
evaluați, împreună cu consilierul juridic, în ce măsură și când poate fi informat clientul, direct sau prin politici generale de transparență (rapoarte anuale privind accesul autorităților);
documentați deciziile luate, pentru a putea demonstra, la nevoie, un echilibru rezonabil între obligațiile legale și protecția încrederii clienților.

5. Coordonarea cu avocați în toate jurisdicțiile relevante

Cererea MLA sau OEA este doar vârful aisbergului: în spate se află o procedură penală în statul solicitant, eventual investigații paralele în alte state și obligații de drept al UE sau de drept intern în statul în care este stabilită compania.

Este recomandabil ca societățile cu expunere transfrontalieră să aibă protocoale interne clare pentru escaladarea acestor cereri, astfel încât:

consilierul juridic local din România să poată evalua rapid legalitatea și opțiunile de contestare sau limitare a măsurilor;
avocații din statul solicitant să poată integra strategia probatorie (de exemplu, contestarea admisibilității probelor) în apărarea penală;
să fie identificate eventuale conflicte de legi (de exemplu, între legislația UE privind datele și eventuale norme de blocaj din state terțe) și abordate proactiv.