Incriminarea accesului ilegal la un sistem informatic sau riscul de a transforma un mijloc esențial de obținere a informației în mod de încălcare a legii penale

Incriminarea accesului ilegal la un sistem informatic sau riscul de a transforma un mijloc esențial de obținere a informației în mod de încălcare a legii penale

Infracţiunea de acces fără drept la un sistem informatic presupune inexistența unui temei legal sau contractual, precum și depășirea limitelor pentru care s-a dat autorizarea, când accesul nu s-a făcut în interes de serviciu, ci în interes personal. Legea penală nu face nicio distincție cu privire la modul în care sunt încălcate măsurile de securitate, fiind irelevant că parola de acces și user-ul folosite pentru autentificare sunt adevărate.

Pentru reținerea condițiilor de tipicitate obiectivă ale infracțiunii, relevant este faptul că acestea sunt introduse de titularul dreptului de acces cu depășirea autorizării ce i-a fost data, autorizarea fiind acordată cu scopul utilizării în exercitarea atribuțiilor de serviciu, în interes de serviciu.

Practica recentă a instanțelor judecătorești a fost confruntată cu o multitudine de cauze în care persoane care exercita funcția de polițist,  deci persoane care au acces garantat de lege la sistemele informatice conținând bazele de date cu caracter personal, au fost trimise în judecată pentru fapta constând în accesarea fără drept  (respectiv cu depăşirea împuternicirii primite), a unui sistem informatic, respectiv a  bazelor de date administrate de D.R.P.C.I.V. si D.E.B.A.P.D. (sisteme informatice la care accesul este permis numai prin introducerea unui user-name si a unei parole, deci prin intermediul unor proceduri), folosind user-name-ul si parola pe care le puteau folosi pentru a accesa aceste sisteme informatice numai în exercitarea atribuţiilor de serviciu, în scopul obţinerii de date informatice, si anume datele de identificare ale unor autoturisme sau date de stare civilă, nu în exercitarea atribuțiilor de serviciu, ci în interes personal.

Cum noțiunile de ”fără drept” sau ”depășire a limitelor autorizării” nu sunt definite concret în legea penală prin raportare la condițiile de tipicitate ale infracțiunii prevăzute de art. 360 C.pen, pentru reținerea unei acuzații se impune stabilirea ariei de aplicare a normei de incriminare prin raportare concretă la cazul persoanelor care pot interoga oricând o bază de date conţinând informaţii nepublice, când o asemenea interogare nu este urmată și de efectuarea ulterioară a unor acte specifice exercitării atribuţiilor de serviciu în legătură cu interogarea efectuată.

În lipsa unor acțiuni ulterioare ale persoanei față de care interogarea operativă a bazei de date este asigurată de lege, tocmai pentru exercitarea în condiții optime a atribuțiilor de serviciu, credem că intervine o problemă de aplicare a normei de incriminare, fiind necesar a se stabili dacă lipsa de relevanță a informațiilor obținute în urma interogării bazei de date, ar putea constitui un acces ilegal la sistemul informatic.

I. Actualitatea și necesitatea unei analize a condițiilor de incriminare

Eforturile considerabile depuse de România în ultimii ani cu scopul a asigura informatizarea unor activități esențiale pentru buna funcționare a autorităților statului, precum și pentru a facilita accesul cetățenilor la serviciile publice în conformitate cu standardele Uniunii Europene, pot fi calificate ca un veritabil progres  la nivelul întregii societăți. Activități care la nivelul anului 2000 presupuneau implicarea unui colectiv și efectuarea unor formalități specifice începutului de secol XX, cum ar fi întocmirea unor procese verbale în format letric și menționarea datelor de identificare a acestora în evidențele ținute de diferite instituții cu atribuții în asigurarea ordinii publice, reprezentau practici uzuale care, chiar în condițiile unei pregătiri adecvate și a unei conștiinciozități remarcabile a funcționarilor solicitați, impuneau totuși un interval substanțial de timp.

Este suficient doar să amintim condițiile în care în acel moment se puteau obține o fișă actualizată a cazierului judiciar, adresa unei persoane care trebuia citată în fața unei instanțe sau datele de identificare ale unei persoane pe numele căreia era înmatriculat un anumit autoturism. Chiar în condițiile în care și atunci exista posibilitatea obținerii unor asemenea relații prin intermediul unei convorbiri telefonice sau prin fax, în activitatea operativă, pentru asigurarea unei depline transparențe, se proceda totuşi la redactarea unui proces verbal în care erau consemnate datele de identificare ale persoanelor între care avusese loc convorbirea, ora apelului telefonic și numărul de telefon apelat.

Deși nici în prezent nu s-a renunțat la asemenea metode de obținere a informațiilor în activitatea judiciară, cel mai elocvent exemplu fiind contactarea telefonică a avocatului ales în scopul confirmării prezenței acestuia la ședința de judecată sau pentru a se cunoaște cu certitudine dacă este necesară asigurarea asistenței juridice obligatorii prin intermediul unui avocat desemnat din oficiu, pentru multe alte date necesare în activități operative a fost creată o bază logistică extrem de utilă, accesul la informațiile necesare devenind posibil doar prin accesul la un sistem informatic în care sunt stocate datele necesare.

Informații cum ar fi datele de identificare complete ale unei persoane fizice, stadiul unei proceduri de reorganizare a unei persoane juridice sau identitatea proprietarului unui bun imobil, sunt astăzi accesibile în orice moment prin accesul pe care legea îl oferă anumitor categorii de beneficiari la bazele de date corespunzătoare.

Conform art. 267 alin. (1) din Codul de procedură penală[1], ”În vederea realizării procedurii de citare, a comunicării actelor de procedură sau a aducerii cu mandat la desfăşurarea procedurilor, procurorul sau instanţa au drept de acces direct la bazele electronice de date deţinute de organele administraţiei de stat.” De asemenea, conform alin. (2): ”Organele administraţiei de stat care deţin baze electronice de date sunt obligate să colaboreze cu procurorul sau cu instanţa de judecată în vederea asigurării accesului direct al acestora la informaţiile existente în bazele electronice de date, în condiţiile legii.”

Această dispoziție legală a constituit un suport real în activitatea judiciară, fiind pus astfel și la dispoziția instanțelor de judecată un instrument de lucru extrem de util, în măsură să asigure accesul imediat la informațiile necesare și să evite pierderea unui interval de timp necesar anterior pentru comunicarea relațiilor indispensabile îndeplinirii corespunzătoare a actelor de procedură.

Pentru facilitarea în mod similar a activităților operative, legiuitorul a pus asemenea instrumente de lucru și la dispoziția altor categorii de instituții, funcționarii din asemenea instituții având garantat dreptul de acces la asemenea baze de date în scopul exercitării corespunzătoare a atribuțiilor de serviciu.

Ar fi de neimaginat în condițiile valorilor de trafic actuale să se impună unui funcționar al poliției rutiere aflat în exercitarea atribuțiilor de serviciu, ca în situația unui comportament inadecvat în trafic din partea unui șofer, să noteze mai întâi numărul autoturismului condus de acesta și apoi să solicite unui coleg, eventual prin intermediul unui apel telefonic, să identifice și persoana pe numele căreia este înmatriculat autoturismul. Tocmai în scopul evitării unui asemenea parcurs greoi și uneori inutil, polițistul aflat în exercitarea atribuțiilor de serviciu are acces imediat la sistemul informatic în care se află datele persoanelor pe numele cărora sunt înmatriculate autoturismele.

Concluzionând, vom spune că este extrem de utilă și necesară facilitarea accesului unor categorii de persoane la asemenea baze de date.

Chiar în condițiile unei modalități operative facile de obținere a unor asemenea informații, un asemenea acces nu poate fi considerat ca fiind unul nelimitat, fiind deci necesar ca interogarea bazei de date să fie să aibă loc numai în scopul exercitării atribuțiilor de serviciu.

În cazul acestor persoane, date fiind facilitățile tehnice oferite pentru accesul la sistemul informatic corespunzător, riscul depășirii sau al încălcării limitelor autorizării este oricând posibil, astfel încât poate interveni inclusiv antrenarea răspunderii penale.

Dacă în cazul unui dosar aflat pe rolul instanțelor judecătorești, o accesare a bazelor de date în scopul obținerii unor date de interes operativ este oricând posibilă, însă pe baza unei solicitări scrise care conține scopul în care este solicitată verificarea și dosarul în care este necesară obținerea informațiilor pe această cale, în situația altor instituții cu atribuții în asigurarea ordinii publice sau a siguranței naționale, respectarea acestor formalități ar putea constitui o barieră în calea modul operativ specific de exercitare a sarcinilor de serviciu. Tocmai de aceea, pentru anumite categorii de funcționari au fost create facilități de ordin tehnic (atribuirea unei parole și a unui user-name) cu ajutorul cărora accesarea bazelor de date este oricând posibilă, însă numai în scopul exercitării atribuțiilor de serviciu. Concret, în asemenea cazuri, justificarea accesării bazelor de date cu caracter personal nu mai presupune o solicitare scrisă care să detalieze scopul sau necesitatea obținerii în acest mod a informațiilor necesare, însă o modalitate de justificare va trebui oferită și din partea acestor persoane, tocmai pentru a evita riscul angajării răspunderii penale. Modul specific de exercitare a atribuțiilor de serviciu, ca și modalitatea de valorificare ulterioară a datelor astfel obținute, sunt în măsură să excludă uneori existența formală unei justificări pentru care a fost accesată o bază de date cu caracter personal, ceea ce poate conduce uneori chiar la concluzia unui acces ilegal la această bază de date, tocmai pe motivul că interogarea efectuată de un asemenea funcționar nu ar fi avut legătură că exercitarea atribuțiilor de serviciu.

În esență, pentru aceste categorii de funcționari, lipsa unor formalități prealabile pentru accesarea bazei de date nu exclude condiția ca interogarea bazei de date să fie efectuată în legătură cu exercitarea atribuțiilor de serviciu, însă verificarea existenței acestei condiții nu poate avea loc decât ulterior.

Concret, revenind la exemplul agentului de poliție rutieră aflat în exercițiul funcțiunii, în măsura în care acesta ar dori să verifice numele persoanei care folosește un autoturism, nu i se poate solicita în prealabil să justifice motivul pentru care procedează la interogarea bazei de date, însă ulterior va trebui să demonstreze că interogarea a fost efectuată numai în scopul exercitării atribuțiilor de serviciu, aspect uneori dificil, mai ales în acele cazuri în care interogarea nu este și urmată de exercitarea unui act specific atribuțiilor de serviciu, cum ar fi, de pildă, întocmirea unui proces verbal constatator de contravenție. Cum legislația în vigoare nu impune condiția întocmirii unui act doar pentru interogarea bazei de date, în măsura în care ulterior nu este efectuat niciun act în care să fie valorificate datele astfel obținute, va exista riscul calificării acțiunii de interogare a bazei de date, drept un acces ilegal la un sistem informatic.

II. O succintă analiză a condițiilor de tipicitate obiectivă ale infracțiunii de acces ilegal la un sistem informatic

În absența unor formalități prealabile interogării propriu zise a sistemului informatic, având în vedere că persoanele care desfășoară activități operative  beneficiază de o parolă și un user-name alocat în acest sens pentru un număr nedefinit de interogări ce pot fi operate inclusiv de pe un terminal mobil (deci pentru o situație operativă inopinată care poate interveni în activitatea operativă), noțiunea de depășire a limitelor autorizării nu se poate stabili decât ulterior și, de regulă, în funcție de modul în care informațiile obținute în urma interogării bazei de date au fost valorificate.

Spre exemplu, în jurisprudența recentă[2] s-a reținut că ”fapta inculpatului M.A. care, la data de 09.01.2017, la solicitarea prealabilă, telefonică, a inculpatului PG, a accesat cu depășirea limitelor autorizării, în intervalul orar 08:09:19 – 08:11:28, bazele de date evidența persoanelor, evidență pașapoarte și evidență auto, scopul verificărilor nefiind unul în interes de serviciu, ci acela de a-i transmite persoanei solicitante faptul că nu figurează urmărită național/internațional, în condițiile în care aceasta fusese identificată de autoritățile franceze ca fiind autorul infracțiuni de furt consumat pe raza orașului Paris, în dauna S.C. De G_S.A., la data de 30.12.2016, întrunește elementele de tipicitate ale infracțiunii de acces ilegal la un sistem informatic, prev. și ped. de art. 360 alin. (1), (2) și (3) C. pen.”

Revenind la o analiză pur teoretică a condițiilor de tipicitate, observăm că dispozițiile art. 360 alin. (1), (2) și (3) din Codul penal au următorul conținut:

(1) ”Accesul, fără drept, la un sistem informatic se pedepsește cu închisoare de la 3 luni la 3 ani sau cu amendă.

(2) Fapta prevăzută în alin. (1), săvârșită în scopul obținerii de date informatice, se pedepsește cu închisoarea de la 6 luni la 5 ani.

(3) Dacă fapta prevăzută în alin. (1) a fost săvârșită cu privire la un sistem informatic la care, prin intermediul unor proceduri, dispozitive sau programe specializate, accesul este restricţionat sau interzis pentru anumite categorii de utilizatori, pedeapsa este închisoarea de la 2 la 7 ani.”

Analiza succintă a acestor dispoziții legale demonstrează că accesul fără drept presupune inexistența unui temei legal sau contractual, precum și depășirea limitelor pentru care s-a dat autorizarea, atunci accesul nu s-a făcut în interes de serviciu, ci în interes personal. Legea nu face nicio distincție cu privire la modul în care sunt încălcate măsurile de securitate (în speţa citată mai sus, logarea la sistem făcându-se pe baza introducerii numelui utilizatorului și parolei ce sunt înregistrate în sistem, care în momentul când sunt introduse sunt recunoscute și executate de programul informatic), fiind irelevant că parola de acces și user-ul folosite pentru autentificare sunt adevărate.

Pentru reținerea condițiilor de tipicitate obiectivă ale infracțiunii, relevant este faptul că acestea sunt introduse de titularul dreptului de acces (fiind utilizate parola și user-ul atribuite în acest scop,) cu depășirea autorizării ce i-a fost dată (autorizarea fiind dată cu scopul utilizării în exercitarea atribuțiilor de serviciu, îș interes de serviciu).

Potrivit art. 1 din Lg. 238/2009[3], angajații Ministerului Administraţiei si Internelor, care au calitatea de persoane împuternicite de către inspectoratele de politie (operatori de date), pot prelucra automat și neautomat datele cu caracter personal, în exercitarea atribuţiilor legale, pentru realizarea activităților de prevenire, cercetare si combatere a infracţiunilor, precum si de menţinere si asigurare a ordinii publice, cu aplicarea mai multor principii, printre care și cel al necesității (necesitatea de a cunoaşte).

Așa cum am arătat deja, pentru a putea prelucra datele cu caracter personal stocate într-un sistem informatic, operatorii de date cu caracter personal si împuterniciții acestora trebuie să acceseze respectivele sisteme informatice.

Pentru a accesa sistemele informatice administrate de D.E.P.A.B.D. (Direcţia pentru Evidenţa Persoanelor şi Administrarea Bazelor de Date) si D.R.P.C.I.V. (Direcția Regim Permise de Conducere și Înmatriculare a Vehiculelor), trebuie urmate anumite proceduri, respectiv folosirea unui user-name si a unei parole.

După cum s-a menţionat anterior, pentru fiecare utilizator, administratorul aplicaţiei stabileşte un cont unic care să permită atât identificarea, cât si configurarea categoriilor de prelucrări la care are dreptul.

Pentru lucrătorii de poliţie, identificarea în sistem se realizează prin introducerea unui cod de identificare (user-name), însoţit de introducerea unei parole. Codurile de identificare si parolele sunt unice si netrasmisibile.

Așa cum rezultă din Lg. 238/2009, dar si din dispoziţiile I.G.P.R. si M.I.R.A. aplicabile în domeniu, lucrătorii de politie au dreptul să acceseze bazele de date care conţin date cu caracter personal numai în exercitarea atribuţiilor de serviciu.

Astfel, art 4 din Anexa la Dispoziţia inspectorului general al Politiei Romane nr 101/13.12.2007 (Norme metodologice privind accesul la baza de date privind evidența populației) prevede că „interogarea bazei de date privind evidența populației de către politiști se efectuează doar în scopul realizării atribuțiilor de serviciu, dacă sunt îndeplinite condițiile prevăzute de lege privind legitimitatea prelucrării datelor cu caracter personal”.

Deși actele normative menționate se referă la situațiile în care accesul într-un sistem informatic are loc în exercitarea atribuțiilor de serviciu, în interes de serviciu, având în vedere natura funcției publice exercitate, o definire limitativă a situațiilor în care accesul are loc în exercitarea atribuțiilor de serviciu, este practic imposibilă, acest aspect fiind generat tocmai de specificul muncii.

Procedura privind accesarea si valorificarea principalelor baze de date/aplicații folosite de personalul Poliției Române care acționează în teren prevede că principalele situații în care se accesează aplicațiile/bazele de date sunt:

– Legitimări pentru stabilirea/certificarea identității persoanelor suspecte, urmărite, dispărute, decedate, reținute, arestate sau deținute, persoanelor reclamate sau învinuiților, inculpaților;

– Punerea în executare a mandatelor penale, a sentințelor penale sau hotărârilor judecătorești;

– Stabilirea identității persoanelor împotriva cărora au fost dispuse măsuri asigurătorii de către instanțele judecătorești;

– Soluționarea cauzelor penale, petițiilor, lucrărilor diverse sau secrete;

– Munca specială (întocmirea rapoartelor informative, documentare calificată a activității infracţionale a persoanelor suspecte, întocmirea mapelor documentare, etc).

Prin urmare, enumerarea situațiilor în care o persoană care exercita funcția publică de polițist, are acces la un sistem informatic (aplicațiile sau bazele de date), nu are decât un caracter exemplificativ, fapt care îngreunează considerabil probatoriul necesar a fi administrat pentru a demonstra că o asemenea persoană ar fi accesat fără drept un sistem informatic.

Fiind o trăsătură caracteristică comună a tuturor infracțiunilor informatice, cerința expresă ca fapta să fie comisă „fără drept” reflectă, în mod logic, posibilitatea ca o faptă în legătură cu un sistem informatic să nu fie întotdeauna considerată o infracțiune per se, ci și un act legitim sau justificat, chiar dacă nu este incidentă una din cauzele care înlătură caracterul penal al faptei.

Înțelesul expresiei „fără drept” derivă obligatoriu din contextul în care aceasta este folosită și impune o analiză atentă a principiilor sau intereselor care, eventual, pot înlătura vinovăția făptuitorului.

Potrivit art. 35 alin (2) al Legii nr. 161/2003[4], acționează fără drept persoana care se află într-una din următoarele situații:

– nu este autorizată în temeiul legii sau al unui contract;

– depășește limitele autorizării;

– nu are permisiunea, din partea persoanei fizice sau juridice competente, potrivit legii, să o acorde, de a folosi, administra sau controla un sistem informatic ori de a desfășura cercetări științifice sau de a efectua orice altă operațiune într-un sistem informatic.

În ceea ce privește elementul material al laturii obiective, acesta va fi reprezentat de acțiunea propriu-zisă de accesare a unui sistem informatic, sub formele și modalitățile la care face trimitere norma de incriminare.

Chiar dacă prevederile din legea specială definesc caracterul ”fără drept” al operațiunilor de acest tip, dispozițiile art. 35 alin. (2) din Legea nr. 161/2003 nu sunt prevăzute și în Codul penal intrat în vigoare la data de 01 februarie 2014 și deci nu pot completa norma de incriminare. Deși dispozițiile art. 35 alin. (2) al Legii nr. 161/2003 pot constitui repere de ordin teoretic a căror utilizare nu poate afecta principiul legalității incriminării, întrucât transpun previzibil criteriile generale care permit aprecierea caracterului îndreptățit al unui act, noțiunea de acces fără drept se impune a fi raportată la fiecare categorie de persoane cărora prin lege li se conferă un asemenea acces.

Accesul, în înțelesul dat de lege, desemnează intrarea în tot sau numai într-o parte a sistemului informatic. Metoda de comunicare – la distanță, inclusiv ca urmare a legăturii prin satelit sau nu, ori de aproape – nu prezintă importanță.

În forma sa cea mai simplă, accesul la un sistem informatic presupune o interacțiune a făptuitorului cu tehnica de calcul vizată prin intermediul echipamentelor sau diverselor componente ale sistemului vizat (sursă de alimentare, butoane de pornire, tastatură, mouse, joystick). Manipularea acestor dispozitive se transformă în solicitări către Unitatea Centrală de Prelucrare (UCP) a sistemului, care va procesa date ori va rula programe de aplicații în beneficiul intrusului.

Practica a demonstrat că, în marea majoritate a cazurilor de acces ilegal la sisteme de calcul, făptuitorul acționează pentru obținerea de date informatice, care poate să însemne: captarea vizuală a acestora pe monitor; intrarea în posesia unei imprimate alfanumerice (foaia de hârtie tipărită); rularea unor programe sau aplicații care gestionează date informatice (ex. programe de administrare a bazelor de date într-o instituție, programe de poștă electronică etc.).

În condițiile art. 360 alin. (1) C.pen și ținând cont de explicațiile de mai sus, se poate aprecia că nu se va reține existența unei infracțiuni de acces ilegal dacă accesul în sine a fost autorizat de către utilizatorul legitim al sistemului informatic vizat (sau de către proprietarul ori deținătorul legal).

III. O examinare sumară a modului de aplicare a normei de incriminare

Practica recentă a instanțelor judecătorești a fost confruntată cu o multitudine de cauze în care persoane care exercita funcția publică de polițist, deci persoane care au acces garantat de lege la sistemele informatice conținând bazele de date cu caracter personal, au fost trimise în judecată pentru fapta constând în accesarea fără drept (respectiv cu depăşirea împuternicirii primite), a unui sistem informatic, respectiv a  bazelor de date administrate de D.R.P.C.I.V. si D.E.B.A.P.D. (sisteme informatice la care accesul este permis numai prin introducerea unui user-name si a unei parole, deci prin intermediul unor proceduri), folosind user-name-ul si parola pe care le puteau folosi pentru a accesa aceste sisteme informatice numai în exercitarea atribuţiilor de serviciu, în scopul obţinerii de date informatice, si anume datele de identificare ale unor autoturisme sau date de stare civilă, nu în exercitarea atribuţiilor de serviciu, ci în interes personal.

Prin Rechizitoriul nr. 247/P/2017 din data de 08.10.2018 al Parchetului de pe lângă Curtea de Apel X s-a dispus trimiterea în judecată a  inculpatului A, funcționar cu statut special în cadru Poliției Române, pentru săvârsirea infracţiunilor prevăzute de art. 360 alin. 1, 2 si 3 C.pen., cu aplicarea art. 35 alin. 1 C.pen. (2 acte materiale) – faptele din data de 25.12.2013, ora 02:45:53, art. 360 alin. 1, 2 si 3 C.pen. – fapta din data de 25.12.2013, ora 02:46:44, art. 360 alin. 1, 2 si 3 C.pen. – fapta din data de 20.01.2014, art. 360 alin. 1, 2 si 3 C.pen., cu aplicarea art. 35 alin. 1 C.pen. (2 acte materiale) – faptele din data de 14.02.2014, art. 360 alin. 1, 2 si 3 C.pen. – fapta din data de 05.11.2014, art. 360 alin. 1, 2 si 3 C.pen., cu aplicarea art. 35 alin. 1 C.pen. (134 de acte materiale) – faptele din data de 10.11.2014, art. 360 alin. 1, 2 si 3 C.pen., cu aplicarea art. 35 alin. 1 C.pen. (9 acte materiale) – faptele din data de 19.11.2014; art. 360 alin. 1, 2 si 3 C.pen., cu aplicarea art. 35 alin. 1 C.pen. (6 acte materiale) – faptele din data de 05.12.2014, art. 360 alin. 1, 2 si 3 C.pen. – fapta din data de 30.12.2014; art. 360 alin. 1, 2 si 3 C.pen., cu aplicarea art. 35 alin. 1 C.pen. (5 acte materiale) – faptele din data de 09.01.2015, art. 360 alin. 1, 2 si 3 C.pen., cu aplicarea art. 35 alin. 1 C.pen. (13 acte materiale) – faptele din data de 19.01.2015, art. 360 alin. 1, 2 si 3 C.pen., cu aplicarea art. 35 alin. 1 C.pen. (2 acte materiale) – fapta comisă la data de 20.04.2015, toate cu aplicarea art. 38 alin. 1 C.pen..

În sarcina inculpatului s-a reținut că, în calitatea profesională menționată mai sus, a accesat, fără drept (respectiv cu depăşirea împuternicirii primite), un sistem informatic, respectiv bazele de date administrate de D.R.P.C.I.V. si D.E.B.A.P.D. (sisteme informatice la care accesul este permis numai prin introducerea unui user-name şi a unei parole, deci prin intermediul unor proceduri), folosind user-name-ul si parola pe care le putea folosi pentru a accesa aceste sisteme informatice numai în exercitarea atribuţiilor de serviciu ca poliţist, în scopul obţinerii de date informatice, şi anume datele de identificare ale autoturismelor deținute de anumite persoane, şi datele acestora de stare civilă, însă nu în exercitarea atribuţiilor de serviciu, ci în interes personal.

Examinând situaţia interogărilor efectuate de către persoana trimisă în judecată, în cursul etapei investigative s-a constatat că aceasta a accesat şi datele de stare civilă ale altor lucrători de poliție sau ale membrilor familiilor acestora.

Așa cum am subliniat deja, inculpatul avea calitatea de funcționar al Poliției Române, iar în perioada 2014 – 2017, a deținut și o funcție de conducere în cadrul unei organizații sindicale de profil. Prin urmare, în vederea exercitării atribuţiilor legale, persoana acuzată a fost autorizată să acceseze, numai pentru a consulta, bazele de date care conțin date cu caracter personal, primind un cod de identificare corespunzător.

Din declarația susținută în fața organelor de anchetă, a rezultat că în anul 2009 sau 2010, inculpatul ar fi întocmit mai multe rapoarte informative cu privire la presupuse relaţii de prietenie dintre persoanele ale căror date au fost accesate și alte persoane, însă inculpatul nu a formulat nicio sesizare în acest sens și nu există nicio probă că, de-a lungul timpului ar fi continuat investigarea unui asemenea aspect.

În apărarea sa, inculpatul a arătat că, în cursul anului 2013, ar fi primit o informație conform căreia, una dintre persoanele ale căror date au fost accesate, ar fi primit, cu titlu de mită, un autoturism de valoare substanțială.

Soluția de trimitere în judecată a inculpatului a fost întemeiată și pe dispozițiile art. 41 lit. g din Lg. 360/2002[5], conform cărora, inculpatul ar fi avut obligația de a transmite informația obţinută organelor judiciare competente să efectueze verificări cu privire la o astfel de faptă.

Totodată, s-a mai susținut în justificarea soluției de trimitere în judecată că, potrivit art. 19 alin 3 din Codul de etică și deontologie al polițistului, aprobat prin HG nr. 991/2005[6] „Polițistul ia atitudine față de actele de corupție manifestate în cadrul instituției, având obligația de a informa superiorii și alte organe competente cu privire la cazurile de corupție despre care a luat cunoștință”.

În contextul acestui cadru normativ extrem de coerent, inculpatul, a luat decizia să facă el însuși verificări pentru a stabili dacă informația se confirmă sau nu, pornind de la premisa că o asemenea informație este reală, deși nu există nicio altă dată în acest sens.

Tot din declaraţia inculpatului rezultă şi că, în continuare, a efectuat şi alte verificări pentru a stabili dacă informaţia primită este veridică sau, dar nu a obţinut alte date, astfel că nu a transmis informaţia organelor competente să efectueze verificări. Ulterior, acesta ar fi primit o nouă informaţie conform căreia persoana ale cărei date la accesase inițial, urmează să primească, cu titlu de mită, diferite cadouri de la comercianţii care îşi desfăşoară activitatea într-o zonă comercială extrem de cunoscută.

Rechizitoriul mai menționează că, deși inculpatul avea obligaţia să transmită informaţia obţinută organelor judiciare competente să efectueze verificări cu privire la o astfel de faptă, acesta a luat decizia să prelucreze informaţia, adică să facă el însuşi verificări pentru a stabili dacă informația se confirmă sau nu.

Astfel, în timp ce se afla în timpul programului de lucru, inculpatul a accesat bazele de date administrate de D.E.P.A.B.D., utilizând ca şi criteriu de căutare codul numeric personal cunoscut în baza unei interogări anterioare și a consultat datele de stare civilă ale persoanei respective. În continuare, inculpatul a mai accesat bazele de date administrate de D.R.P.C.I.V. şi a consultat datele de identificare ale autoturismelor aflate în proprietatea persoanei cu privire la care efectua verificările.

În cadrul datelor personale  sunt incluse și numele și codul numeric al soțului și copiilor persoanei verificate, astfel că inculpatul a consultat datele de stare civilă şi datele de identificare ale autoturismelor deținute și de aceste persoane.

Inculpatul a justificat efectuarea acestei verificări  prin aceea că ar fi avut intenția de a urmări aceste autoturisme si să vadă dacă, atunci când ajung la domiciliul lor, descarcă din maşini bunurile primite cu titlu de mită. Inculpatul a declarat că a și verificat aceste aspecte, dar, întrucât nu a văzut să se fi descărcat din mașini astfel de bunuri, a considerat că informația nu se confirmă, astfel că nu a transmis informația organelor competente să efectueze verificări.

De asemenea, conform rechizitoriului întocmit, în mai multe ocazii, inculpatul a accesat, fără drept (prin depăşirea limitelor autorizării primite), un sistem informatic, respectiv bazele de date administrate de D.E.P.A.B.D., pentru a consulta datele de stare civilă ale unor lucrători de politie sau ai membrilor familiilor acestora.

După cum s-a arătat mai sus, persoana acuzată deținea o funcție de conducere în cadrul unei organizații sindicale, iar membri acestui sindicat pot direcţiona 2% din impozitul pe venit în contul sindicatului, în acest scop trebuie să completeze formularul 230.

De asemenea, cu ocazia sărbătorilor de iarnă, în funcţie de cerinţele fiecărei filiale, sindicatul poate acorda cadouri copiilor membrilor de sindicat în vârstă de până la 14 ani. În acest scop, fiecare filială trebuie să comunice o listă cu membri şi copiii acestora.

În condițiile în care sindicatul nu a împuternicit niciun membru al său pentru a prelucra datele cu caracter personal stocate în bazele de date administrate de M.A.I. (evidenta populaţiei, evidenta auto etc.), pentru a stabili numărul de copii ai membrilor de sindicat care urmează să primească cadourile, se solicită fiecărui membru să comunice numărul de copii si vârsta acestora.

Inculpatul a fost împuternicit de preşedintele filialei Prahova să centralizeze numărul de copii care urmează să primească cadouri și să depună la administraţia fiscală formularele 230.

În aceste scopuri, inculpatul, folosind user-name-ul si parola acordate, a accesat bazele de date administrate de D.E.P.A.B.D. si a consultat datele stare civilă ale mai multor lucrători de politie sau membri familiilor lor.

Cu privire la aceste situaţii, rechizitoriul a reținut că accesarea sistemelor informatice care stochează datele personale ale membrilor de sindicat de către inculpat s-a realizat fără drept, respectiv cu depăşirea limitelor autorizării, întrucât user-name-ul şi parola primite trebuiau folosite numai în exercitarea atribuţiilor sale de serviciu ca lucrător de politie şi nu ca membru al unui sindicat.

Chiar dacă martorii audiaţi în cauză au arătat ca inculpatul Liviu Ionel a accesat baza de date administrate de D.E.P.A.B.D., pentru a consulta datele de stare civilă ale unor lucrători de poliţie sau ai membrilor familiilor acestora, cu acordul colegilor, manifestat expres sau tacit, declaraţiile acestora nu pot infirma concluzia anterior enunţată.

Pentru a garanta si proteja drepturile si libertăţile fundamentale ale persoanelor fizice, în special a dreptului la viată intimă, familială si privată, legiuitorul a reglementat Lg. 677/2001, acest act normativ stabilind modalităţile în care datele cu caracter personal (orice informaţii referitoare la o persoană fizică identificată sau identificabilă) pot fi prelucrate de către operatorii de date cu caracter personal.

De asemenea, legiuitorul a definit si noţiunea de prelucrare a datelor cu caracter personal, aceasta desemnând orice operaţiune sau set de operaţiuni care se efectuează asupra datelor cu caracter personal, inclusiv consultarea unor astfel de date.

Prin sentința penală nr. 247/2020[7], pronunțată de Tribunalul Prahova în dosarul nr. 4710/105/2020, instanța a constat că sunt întrunite condițiile de tipicitate subiectivă și obiectivă ale unei singure infracțiuni continuate acces ilegal la un sistem informatic în formă continuată (177 acte materiale) prevăzută de art. 360 alin. (1), (2) şi (3) Cod penal, cu aplicarea  art. 35 alin. (1) Cod penal.

Instanța sesizată cu judecarea acestei cauze penale a apreciat, în esență că accesarea bazei de date aparţinând D.R.P.C.I.V. a fost realizat fără drept, cu depăşirea autorizării acordate, întrucât nu s-a realizat în exercitarea atribuţiilor de serviciu.

Deși a acceptat că poliţistul se află tot timpul în exercitarea atribuţiilor de serviciu atunci când constată comiterea unei contravenţii sau a unei infracţiunii, instanţa a reținut  că în această situaţie inculpatul nu a constatat personal o astfel de faptă. Din chiar declaraţia acestuia a rezultat că a aflat despre o posibilă infracțiune/contravenție de la alți poliţiști, care puteau ei să o constate si motivul pentru care i s-a spus a fost acela că se afla într-o stare conflictuală cu persoana ale cărei date au fost verificate.

De asemenea, instanța a mai reținut că inculpatul putea să constate comiterea faptei si apoi să efectueze toate verificările care se impuneau, nu să consulte întâi adresa de domiciliul a sus-numitului şi apoi să constate fapta.

În fața instanței, inculpatul a formulat aceleași apărări ca în faza urmăririi penale, susținând că toate accesările bazei de date DEPABD au fost efectuate doar în interes de serviciu. Instanța de judecată a constatat că toate aserțiunile inculpatului conțin susţineri nereale și neîntemeiate din perspectiva stabilirii adevărului judiciar, pe care inculpatul îl dorește în altă configurație decât cea obiectivă, fiind evident că prin susținerile sale ar fi încercat distorsionarea unui adevăr evident, extras din elemente de fapt cu sursa obiectivă.

IV. Necesitatea unei interpretări unitare și coerente a noțiunii de ”depășire a limitelor autorizării” în cazul persoanelor cu drept de acces garantat la bazele de date cu caracter personal

Fără a aduce vreo critică raționamentului instanței de judecată, spre deosebire de situația de fapt reținută în Sentința penala nr. 2519 din 8 decembrie 2017 pronunțată de Tribunalul București, scopul verificărilor inculpatului fiind în acest caz acela de a-i transmite persoanei solicitante faptul că nu figurează urmărită național/internațional, în condițiile în care aceasta fusese identificată de autoritățile franceze ca fiind autorul infracțiuni de furt consumat pe raza orașului Paris, în cauza soluționată de Tribunalul Prahova s-a reținut efectuarea unor verificări pentru analiza unei posibile informații cu privire la o infracțiune de corupție precum și pentru realizarea obiectivelor unei organizații sindicale, respectiv stabilirea numărului de persoane aflat în întreținerea fiecărui membru de sindicat, astfel încât fiecare copil să primească un cadou din partea sindicatului.

Prin urmare, în cazul soluției pronunțate de Tribunalul București, realitatea de ordin probator a demonstrat dincolo de orice dubiu rezonabil că accesul la un sistem informatic a fost necesar pentru a sprijini o persoană cercetată penal într-o țară străină, deci cu certitudine accesarea bazei de date, nu numai că nu a avut loc pentru exercitarea atribuțiilor de serviciu, ci chiar pentru încălcarea acestora, persoana cunoscând că este bănuită de comiterea unui furt și luând în consecință toate măsurile pentru a se sustrage răspunderii penale.

Cu referire la soluția Tribunalului Prahova, chiar dacă materialul probator nu poate demonstra cu certitudine modul în care informația relativă la un potențial act de corupție a ajuns la cunoștința persoanei acuzate și nici limitele în care o asemenea informație a fost valorificată de destinatarul ei, singura certitudine fiind accesarea bazelor de date pentru verificarea informației, se pune problema modului în care inculpatul ar putea demonstra că interogarea bazei de date a avut loc în scopul exercitării atribuțiilor de serviciu, acuzația fiind construită pe necesitatea sesizării faptelor de corupție organelor abilitate să desfășoare investigații în acest segment de infracționalitate, inculpatul neavând dreptul de a efectua demersuri în scopul valorificării informaţiei primite.

În cauză, având în vedere situația de fapt reținută de instanță, reținem că inculpatul exercită funcția de lucrător operativ al Poliției Române, făcând parte din categoria persoanelor care pot interoga oricând o bază de date conţinând informaţii nepublice, cu condiția ca această interogare să aibă loc în legătură sau în exercitarea atribuțiilor de serviciu, astfel cum sunt acestea definite cu titlu exemplificativ de actele infra legale menționate.

Legea acordă acestor categorii de persoane dreptul de acces la bazele de date conținând informații nedestinate publicității, inclusiv prin folosirea unor terminale mobile care se pot afla oricând în posesia persoanei care poate justifica un asemenea acces, cu condiția ca acest acces să fie justificat.

Spre deosebire de alte categorii de persoane cărora legiuitorul le recunoaște accesul la bazele de date conținând informații nepublice, în cazul funcționarilor Poliției Române care exercită atribuții investigative, nu mai este necesară o justificare prealabilă (scrisă) a motivului pentru care este necesară interogarea bazei de date, o asemenea condiție fiind de natură să afecteze caracterul operativ al atribuțiilor de serviciu.

În absența unor formalități prealabile interogării propriu zise a sistemului informatic, având în vedere că persoanele care desfășoară asemenea activități beneficiază de o parolă și un user-name alocat în acest sens pentru un număr nedefinit de interogări ce pot fi operate inclusiv de pe un terminal mobil (deci pentru o situație operativă inopinată care poate interveni în activitatea operativă), noțiunea de depășire a limitelor autorizării nu se poate stabili decât ulterior și, de regulă, în funcție de modul în care informațiile obținute în urma interogării bazei de date au fost valorificate.

Atât în speța citată cât și în alte situații de acest gen în care acuzațiile au fost formulate față de persoane care au dreptul de interogare a bazelor de date în virtutea exercitării atribuțiilor de serviciu, noțiunea de ”depășire a limitelor autorizării” a fost reținută numai prin raportare la acțiunile subsecvente interogării bazei de date în baza parolei și a user-name-ului oferit de angajator.

Accesarea ab inițio a unui sistem informatic de către asemenea persoane nu poate fi considerată ilegală atât timp cât respectivul sistem este în mod uzual folosit de către aceste categorii de funcționari (indiferent de perioada alocată acestei activități) chiar dacă datele informatice stocate sunt personalizate și semnalizate ca atare prin criptare ori protejare împotriva deschiderii/suprascrierii/modificării/restricționării accesului.

În consecință, dacă ulterior accesului la baza de date, va exista o acțiune în care informațiile astfel obținute sunt folosite, se va putea concluziona asupra unui acces ilegal sau, după caz, legal la baza de date, numai acțiunile ulterioare putând demonstra o eventuală depășire a limitelor autorizării, de natură să facă incidentă norma de incriminare. Conform rechizitoriului la care ne-am referit, inculpatul ar fi trebuit să transmită informația obținută structurilor competente, gest pe care inculpatul nu l-a făcut, procedând însă la acele verificări pe care la putea efectua oricând din punct de vedere tehnic.

În lipsa unor acțiuni ulterioare ale persoanei față de care interogarea operativă a bazei de date este asigurată de lege, tocmai pentru exercitarea în condiții optime a atribuțiilor de serviciu, credem că intervine o problemă de aplicare a normei de incriminare, fiind necesar a se stabili dacă lipsa de relevanță a informațiilor obținute în urma interogării bazei de date, ar putea constitui un acces ilegal la sistemul informatic.

Deși se reține în structura acuzației faptul că inculpatul ar fi trebuit să transmită informația altei structuri competente în efectuarea investigațiilor, nu se precizează nimic cu privire la valoarea informației care ar fi trebuit transmisă, fiind indusă concluzia că orice informație ar trebui comunicată în absența oricărei verificări minime prealabile și aflate chiar la dispoziția inculpatului din punct de vedere tehnic. Or, este cunoscut faptul că și simpla transmitere a unei asemenea informații, prin raportare la calitatea persoanelor la care se referă, comportă o analiză de risc, existând o tendință de transmitere a unor date aparent verificate, tocmai pentru a evita ulterior consecințe nefavorabile care ar putea decurge din fictivitatea unor informații transmise (de exemplu persoana la care se referă informația nu poate fi identificată sau codul numeric personal ar aparține unui cetățean străin)

Cum noțiunile de ”fără drept” sau ”depășire a limitelor autorizării” nu sunt definite concret în legea penală prin raportare la condițiile de tipicitate ale infracțiunii prevăzute de art. 360 C.pen, pentru reținerea unei acuzații se impune stabilirea ariei de aplicare a normei de incriminare prin raportare concretă la cazul persoanelor care pot interoga oricând o bază de date conţinând informaţii nepublice, când o asemenea interogare nu este urmată și de efectuarea ulterioară a unor acte specifice exercitării atribuţiilor de serviciu în legătură cu interogarea efectuată.

Se impune a fi stabilit dacă în cazul acestei categorii de funcționari, va fi reținută o depășire a limitelor legale a autorizării în cazul unei situații de fapt în care interogarea bazei de date să fie considerată necesară, însă informațiile obținute în urma interogări să nu prezinte relevanță pentru exercitarea ulterioară a atribuțiilor de serviciu și nici să nu fie valorificate în scop extraprofesional de titularul parolei de acces la baza de date.

Ca și exemplu concret putem recurge din nou la situația acelui agent de poliție aflat în exercițiul funcțiunii, agent care observă un autoturism rulând cu o viteză mult mai mare decât limita admisă pe un anumit segment de drum. Având toate disponibilitățile tehnice necesare, cu siguranță va accesa o bază de date cu caracter personal cu scopul de a verifica cine este proprietarul autoturismului. Cu ocazia verificărilor poate constata că este vorba de o mașină aparținând unei delegații oficiale străine, motiv pentru care, în virtutea principiului imunității de jurisdicție, nu va întocmi procesul verbal de constatare a contravenției și nici nu va efectua alte formalități specifice atribuțiilor de serviciu. În absența oricărei norme care ar impune justificarea accesului la baza de date în asemenea condiții, și în sarcina acestui agent de poliție s-ar putea reține un acces ilegal, deoarece nu va exista niciun fel de dovadă că accesul ar fi avut loc în exercitarea atribuțiilor de serviciu. În sistemul electronic de acces va exista dovada interogării, a orei la care a fost efectuată această interogare și a persoanei care a procedat interogare. Nu va exista niciun fel de dovadă cu privire la motivul interogării de către agent sau la necesitatea interogării tocmai în acel moment, toate aceste aspecte putând fi stabilite numai ulterior în baza unei posibile anchete disciplinare sau penale.

În concluzie, pentru stabilirea certă a condițiilor în care fapta incriminată de dispozițiile art. 360 alin. (1), (2) și (3) C.pen. întrunește condițiile de tipicitate obiectivă ale infracțiunii, Înalta Curte de Casație și Justiție a fost sesizată  cu rezolvarea de principiu următoarei chestiuni de drept, vizând dispozițiile art. 360 alin.(1) din Codul penal, respectiv:

,,În interpretarea dispoziţiilor art. 360 alin.(1) Cod penal privind accesul ilegal la un sistem informatic, în cazul persoanelor care pot interoga oricând o bază de date conţinând informaţii nepublice, o asemenea interogare neurmată de efectuarea ulterioară a unor acte specifice exercitării atribuţiilor de serviciu în legătură cu interogarea efectuată, poate reprezenta o depăşire a limitelor pentru care a fost acordată autorizarea?”

Prin Decizia nr. 68 din 29 septembrie 2021, Înalta Curte de Casație și Justiție – Completul pentru dezlegarea unor chestiuni de drept în materie penală – a respins sesizarea formulată ca inadmisibilă, nefiind în acest moment cunoscute şi considerentele acestei soluții.

Ca urmare, având în vedere problema enunțată, rămâne la latitudinea fiecărei instanțe sesizate cu judecarea unor asemenea cauze, să aprecieze dacă accesarea unei baze conținând date cu caracter personal a avut loc cu depășirea limitelor autorizării.

Așa cum am încercat să arătăm anterior, o asemenea sarcină de ordin probator devine extrem de dificilă mai ales în cazul unor categorii de persoane pentru care legea a creat facilități de acces, în scopul exercitării operative a atribuțiilor de serviciu, nefiind necesară respectarea unor formalități prealabile de ordin justificativ, caracterul ilegal al accesului la sistemul informatic putând fi demonstrat numai prin acțiuni subsecvente obținerii datelor.

Desigur că în măsura în care un lucrător al Poliției Române încadrat într-o anumită structură având o anumită competență, accesează informații conținute într-un sistem informatic care, aparent nu ar avea legătură cu sarcinile sale de serviciu, poate fi subiectul activ al infracțiunii prevăzute de art. 360 din Codul penal, o simplă interogare generând însă doar existența unor indicii verificabile doar pe baza acțiunilor ulterioare. În cazul unor agenți de poliție care își desfășoară activitatea în mediul rural, regula este ca o singură persoană (șeful de post) să exercite toate liniile de muncă specifice, de la siguranță rutieră la evidența populației. Or, față de multitudinea și complexitatea sarcinilor de serviciu, accesarea oricărei baze de date de către aceste persoane poate fi oricând justificată prin raportare la necesitatea exercitării corespunzătoare a sarcinilor de serviciu.

Dificultatea analizei condițiilor de tipicitate ale infracțiunii de acces ilegal la un sistem informatic va consta tocmai în obligația de a analiza modul în care aceste atribuții de serviciu sunt îndeplinite pe baza informațiilor obținute sau, după caz, fără valorificarea acestora.

Ai nevoie de un avocat expert?

Contacteaza-ma chiar acum!

Ma poti contacta oricand

Sunt la dispozitia ta atunci cand ai nevoie si astept sa discutam telefonic despre nevoile tale.