Protecția datelor şi sistemelor informatice.

Reglementări europene transpuse în noul

Cod penal

Material cu drepturi autor

REGLEMENTAREA CRIMINALITĂȚII INFORMATICE LA NIVEL EUROPEAN

1.1 Reglementări ale Consiliului Europei în materia criminalității cibernetice

La nivelul Consiliului Europei, au fost adoptate mai multe Recomandări, precum şi
Rezoluţia nr. 1 adoptată de către miniştrii europeni de justiţie, cu ocazia celei de-a 21-a
Conferinţă ţinută la Praga în iunie 1997, prin care se recomandă Comitetului de miniştri să
susţină activităţile asupra criminalităţii informatice desfăşurate de Comitetul european pentru
probleme criminale, scopul declarat fiind apropierea legislaţiilor penale naţionale care să
permită utilizarea de mijloace eficiente în materia infracţiunilor informatice.
planul de acţiune adoptat de şefii de state şi de guverne membre ale Consiliului
Europei, cu ocazia celui de-al 20-lea Summit, desfăşurat la Strasbourg în octombrie 1997, ce a
avut ca scop găsirea unor soluţii comune în faţa dezvoltării tehnologiei şi informaticii, fondate
pe normele şi valorile Consiliului Europei.
a fost semnată la Budapesta în 23 noiembrie 2001 Convenţia europeană privind
criminalitatea informatică. Acest instrument este completat de un Protocol adiţional privitor la
incriminarea actelor de natură rasistă şi xenofobă comise cu ajutorul sistemelor informatice,
semnat la Strasbourg în 28.01.2003.
Obiectivul Convenției îl reprezintă aplicarea unei politici penale comune, destinate să
protejeze societatea împotriva criminalității informatice, în special prin adoptarea unei
legislații adecvate, precum și prin îmbunătățirea cooperării internaționale.
Convenția Consiliului Europei privind criminalitatea informatică reprezintă principala
sursă a legislației românești în materia criminalității informatice, atât în ceea ce privește
Legea nr. 161/20031 2003 privind unele măsuri pentru asigurarea transparenței în exercitarea
demnităților publice, a funcțiilor publice și în mediul de afaceri, prevenirea și sancționarea
corupției, cât și în ceea ce privește noul Cod penal.

1.2 Preocupări legislative ale Uniunii Europene

În Agenda digitală pentru Europa este subliniat faptul că Europa trebuie să abordeze
dezvoltarea noilor forme de criminalitate „cibernetică” – care merg de la exploatarea copiilor
1
Publicată în M. Of. Nr. 279 din 21 aprilie 2003.
la furtul de identitate și atacurile cibernetice – și să elaboreze mecanisme de reacție. În
paralel, multiplicarea bazelor de date și noile tehnologii care permit controlul indivizilor la
distanță pun noi probleme în ceea ce privește conservarea drepturilor fundamentale ale
europenilor în materie de protecție a datelor cu caracter personal și a vieții private[7].
Internetul a devenit în prezent o infrastructură de informație atât de importantă nu
numai pentru cetățeni ci și pentru economia europeană în general, încât sistemele și rețelele IT
trebuie să fie securizate și făcute să reziste la o mulțime de noi amenințări.
Criminalitatea informatică reprezintă unul dintre cele opt domenii de cooperare
operațională din cadrul ciclului de politici ale Uniunea Europeană pentru combaterea
criminalității organizate și a infracțiunilor grave la nivel internațional[8].
Prin Regulamentul Comunității Europene nr. 460/2004 al Parlamentului European şi
Consiliului din 10 martie 20042 a fost instituită Agenţia Europeană pentru Securitatea
Reţelelor Informatice şi a datelor cu scopul de a asigura o cooperare mai strânsă la nivel
global pentru îmbunătăţirea normelor de securitate, îmbunătăţirea informaţiilor, şi promovarea
unei abordări globale comune a problemelor de securitate a reţelelor informatice şi a datelor.
Capitolul 4 din Programul de la Stockholm3 intitulat „O Europă care protejează”
include un subcapitol 4.4.4 dedicat Criminalității informatice. În acest context Consiliul
European îndeamnă statele membre să ratifice Convenția privind criminalitatea informatică
adoptată de Consiliul Europei, considerând că acest instrument normativ ar trebui să
constituie cadrul legal de referință pentru combaterea criminalității informatice la nivel
mondial, iar Europol ar trebui să devină un centru european de resurse prin crearea unei
platforme europene pentru identificarea infracțiunilor.
Decizia-cadru 2005/222/JAI a Consiliului din 24 februarie 2005 privind atacurile
împotriva sistemelor informatice4 reprezintă un punct de referință în cadrul reglementărilor în
materia combaterii criminalității cibernetice la nivelul Uniunii Europene. Scopul acestei
decizii-cadru a fost promovarea securității informatice prin armonizarea dreptului penal în
acest domeniu.
Parlamentul European şi Consiliul au adoptat în 12 august 2013 Directiva
2013/40/UE5 privind atacurile împotriva sistemelor informatice și de înlocuire a Deciziei
cadru 2005/222/JAI a Consiliului ce are ca obiectiv, așa cum se stabilește chiar din primul
paragraf, armonizarea sistemelor de drept penal ale statelor membre în ceea ce privește

2
Publicat în Jurnalul Oficial al Uniunii Europene L 77/1 din 13.03.2013.
3
Publicat în Jurnalul Oficial al Uniunii Europene C115 din 4.05.2010.
4
Publicată în Jurnalul Oficial al Uniunii Europene L 69/67 din 16.03.2005.
5
Publicată în Jurnalul Oficial al Uniunii Europene L 218/8 din 14.08.2013.
atacurile împotriva sistemelor informatice prin instituirea unor norme minime privind
definirea infracțiunilor și a sancțiunilor relevante, precum și de a îmbunătăți cooperarea dintre
autoritățile competente.
La elaborarea noului Cod penal s-au avut în vedere dispozițiile Deciziei cadru
2005/222/JAI, Directiva 2013/40/UE avea ca termen de transpunere 4 septembrie 2015.

Reglementarea criminalității informatice la nivelul României

România a creat un cadru legislativ adecvat pentru a răspunde exigențelor impuse atât
de Convenția Europeană privind Criminalitatea Informatică din 2001 cât și de normele
adoptate în materie la nivelul Uniunii Europene. În acest sens Legea nr. 161/2003 preia
majoritatea prevederilor Convenției Consiliului Europei iar noul Cod penal, la rândul său,
include fără modificări semnificative incriminările în materia criminalității informatice
cuprinse de Legea 161/2003.
Art. 130 din Legea nr. 187/20126 abrogă, odată cu intrarea în vigoare a Noului Cod
penal, incriminările prevăzute de Legea nr. 161/2013 în materia criminalității informatice. În
considerarea faptului că Titlul III din Legea nr. 161/2013 preia structura propusă de
Convenția Consiliului Europei referitoare la criminalitatea informatică, incriminările
prezentate în cele ce urmează vor fi analizate prin raport la această structură.

1.3 Infracțiuni contra confidențialității și integrității datelor și sistemelor informatice

1.3.1 Notiuni introductive

Prima categorie de infracțiuni, prevăzută de Titlul III din Legea nr. 161/2003 intitulat
Prevenirea și combaterea criminalității informatice, este definită în cadrul Secțiunii 1
Infracțiuni contra confidențialității și integrității datelor și sitemelor informatice. Noul Cod
penal reglementează infracțiunile contra siguranței și integrității datelor informatice în cadrul
Titlului VII denumit Infracțiuni contra siguranței publice.
Din precizările cu privire la înțelesul anumitor termeni sau expresii folosite în Titlul
III din Legea nr. 161/2003, noul Cod penal a ales să clarifice doar trei dintre acestea, și
anume: sistem informatic, date informatice și materiale pornografice cu minori. Inexplicabil
autorii noului Cod penal nu au înțeles să evidențieze și celelalte definiții oferite de Legea nr.
161/2003, deși acești termeni se regăsesc chiar în cuprinsul definițiilor mai jos analizate[10].
Art. 180 alin. 1) din Noul Cod penal definește noțiunea de sistem informatic preluând
tale quale art. 35 alin. 1 lit. a) din Legea nr. 161/2003, înțelegându-se prin sistem informatic:
6
Publicată în M. Of. Al României, Nr. 757 din 12 noiembrie 2012.
orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate în relaţie funcţională,
dintre care unul sau mai multe asigură prelucrarea automată a datelor, cu ajutorul unui
program informatic. În Directiva 2013/40/UE noțiunea de sistem informatic cuprinde și
datele informatice stocate, prelucrate, recuperate sau transmise de un dispozitiv sau grup de
dispozitive în vederea exploatării, a utilizării, a protecției și a întreținerii lor, fiind astfel mai
cuprinzătoare și mai clară.
Tot în art. 181 din Noul Cod penal în cadrul alin. 2) este definită noțiunea de date
informatice, care preia parțial definiția oferită de Legea nr. 161/2003 în art. 35 alin. 1 lit. d).
Legiuitorul noului Cod penal nu a înțeles să preia integral definiția oferită datelor informatice
de Legea nr. 161/2003, care includea în această categorie și orice program informatic care
poate determina realizarea unei funcții de către un sistem informatic, deși această definiție
este mai cuprinzătoare și identică cu definițiile oferite datelor informatice atât de art. 1 lit. b)
din Convenția Europeană privind Criminalitatea Informatică cât și de art. 2 lit. b) din
Directiva 2013/40/UE[11].
Art. 374 alin. (4) noul Cod penal preia incomplet definiția oferită de Legea nr.
161/2003 în art. 35 alin. 1 lit. i) materialelor pornografice cu minori. Definiția oferită
materialelor pronografice cu minori de Legea 161/2003 include în această noțiune și orice
material care prezintă o persoană majoră care este prezentată ca un minor având un
comportament sexual explicit, așa cum o fac atât Directiva 2011/92/UE privind combaterea
abuzului sexual împotriva minorilor a exploatării sexuale a copiilor și a pornografiei infantile,
de înlocuire a Deciziei-cadru 2004/68/JAI a Consiliului 7 în art. 2 lit. c), cât și Convenția de la
Budapesta privind criminalitatatea informatică în art. 9, pct. 2, fiind mai cuprinzătoare.

1.3.2 Accesul ilegal la un sistem informatic

Noul Cod penal reglementează, în cadrul Capitolului VI, intitulat Infracțiuni contra
siguranței și integrității datelor informatice, accesul ilegal la un sistem informatic (art. 360),
infracțiune ce nu are corespondent în Codul penal în vigoare, însă este reglementată de art. 42
din Legea nr. 161/2003. Ca și în legea specială și în noul Cod penal, sunt prevăzute în primul
aliniat forma de bază a infracțiunii care interzice accesul fără drept la un sistem informatic și
două forme agravante care constau prima în săvârșirea faptei de la alin. 1 în scopul obținerii
de date informatice (alin. 2), iar a doua în cazul în care fapta a fost săvârșită cu privire la un
sistem informatic, la care, prin intermediul unor proceduri, dispozitive sau programe, accesul
este restricționat sau interzis pentru anumite categorii de utilizatori (alin. 3). În legea nr.

7
Publicată în J.Of. L 335/1, din 17.12.2013.
161/2003 cea de-a doua agravantă se referea la săvârșirea faptei de accesare în mod ilegal a
unui sistem informatic prin încălcarea măsurilor de securitate (art. 42 alin. 3). Considerăm
binevenită modificarea din noul Cod penal, în sensul detalierii noțiunii de încălcarea a
măsurilor de securitate.
Reglementarea din noul Cod penal răspunde atât exigențelor impuse de art. 3 din
Directiva 2013/40/UE, cât și art. 2 din Convenția Consiliului Europei privind criminalitatea
informatică.
În ceea ce privește regimul sancționator, dacă pentru forma de bază a infracțiunii și
pentru prima agravantă, legiuitorul noului Cod penal a înțeles să păstreze limitele de pedeapsă
conform reglementării din legea specială, prevăzută de art. 360 alin. 3, limitele de pedeapsă
au fost modificate, în sensul reducerii lor. Această reducere a pedepsei se înscrie în politica
noului Cod penal referitoare la micșorarea limitelor de pedeapsă.
De altfel prevederile noului Cod penal respectă art. 9 al Directivei 2013/40/UE, care
stabilește obligația statelor membre de a lua măsurile necesare ca infracțiunea de accesare
ilegală a sistemelor informatice să fie sancționată cu o pedeapsă maximă cu închisoarea de cel
puțin doi ani.

1.3.3 Interceptarea ilegală a unei transmisii de date informatice

Creșterea posibilității de a monitoriza și procesa un volum mare de informații prin
intermediul sistemelor informatice, crează o amenințare imensă la adresa vieții private[12]. În
realitate noile tehnologii permit accesul mult prea facil la informațiile noastre particulare,
astfel încât formelor tradiționale de spionaj li s-a adăugat o nouă formă și anume interceptarea
ilegală a transmisiilor de date informatice[13].
Art. 361 noul Cod penal preia dispozițiile art. 43 din Legea nr. 163/2003 și prevede
infracțiunea în două forme normative: prima (alin. 1) este reprezentată de interceptarea fără
drept a unei transmisii de date informatice, care nu este publică și care este destinată unui
sistem informatic, provine dintr-un asemenea sistem sau se efectuează în cadrul unui sistem
informatic, iar a doua (alin. 2) constă în interceptarea unei emisii electromagnetice ce conține
date informatice care nu sunt publice. Pedeapsa prevăzută de noul Cod penal pentru săvârșirea
infracțiunii este redusă semnificativ față de cea prevăzută de legea specială.
Prin incriminarea interceptării ilegale a unei transmisii de date informatice, legislația
noastră penală răspunde nu doar exigențelor impuse de Convenția Consiliului Europei privind
criminalitatea informatică, respectiv de Directiva 2013/40/UE, ci și obligațiile impuse de
respectarea dreptului la protecția corespondenței statuat de art. 8 al Convenției Europene a
drepturilor omului.

1.3.4 Alterarea integrității datelor informatice

Asigurarea siguranței datelor informatice prezintă o importanță deosebită, în contextul
în care procesarea corectă a acestor date are un impact deosebit în toate domeniile de
activitate.
Noul Cod penal încriminează în art. 362 fapta de a modifica, șterge sau deteriora date
informatice ori de a restricționa accesul la aceste date, fără drept. Infracțiunea nu a fost
reglementată în Codul penal din 1968, dar are corespondent în infracțiunea reglementată de
art. 44 alin. 1, din Legea 163/2003, cu reducerea limitelor de pedeapsă, față de incriminarea
din legea specială.
Dacă Legea 163/2003 incrimina în art. 44 alin. 2 și 3 transferul neautorizat de date
dintr-un sistem informatic, respectiv transferul neautorizat de date dintr-un mijloc de stocare a
datelor, noul Cod penal le-a reglementat separat în art. 364.
Convenția Consiliului Europei privind criminalitatea informatică prevede în art. 4
obligația statelor membre de a adopta măsurile legislative și alte măsuri considerate necesare
pentru a incrimina ca infracțiune fapta comisă intenționat și fără drept de a distruge, șterge,
deteriora, modifica sau elimina date informatice.
Directiva 2013/40/UE impune statelor membre să dopte măsurile necesare pentru a
asigura că fapta care constă în ștergerea, periclitarea, deteriorarea, modificarea, eliminarea
datelor informatice dintr-un sistem informatic sau în a le face inaccesibile, cu intenție și fără
drept, este incriminată.
De remarcat că ambele instrumente legislative sunt mai complete și includ o serie de
acțiuni alternative ce constituie elementul material al infracțiunii de alterare a integrității
datelor informatice, acțiuni pe care nici legea specială în materie și nici noul Cod penal nu le
prevăd în mod explicit.

1.3.5 Perturbarea funcționării sistemelor informatice

Art. 363, noul Cod penal protejează integritatea sistemelor informatice. Reglementarea
din noul Cod penal preia dispozițiile art. 45 din Legea 163/2003, cu reducerea semnificativă a
limitelor de pedeapsă. Ca și în situația infracțiunii de alterare a integrității datelor informatice,
normele europene în materie sunt mai complete incluzând și alte acțiuni care constituie
elementul material al infracțiunii de perturbare a funcționării sistemelor informatice, față de
reglementarea internă.
1.3.6 Transferul neautorizat de date informatice
Transferul neautorizat de date dintr-un sistem informatic sau dintr-un mijloc de stocare
a datelor informatice este incriminat în cadrul art. 364 noul cod penal, articol care preia
dispozițiile art. 44 alin. 2) și 3) din Legea 163/2003, cu reducerea însă a limitelor de pedeapsă.
Această incriminare prezintă o importanță deosebită în contextul în care în cazul
transferului de date informatice se pot produce pagube semnificative pentru utilizatori, atât pe
plan personal cât mai ales pe plan economic.

1.3.7 Operațiuni ilegale cu dispozitive sau programe informatice

Art. 6 din Convenția europeană privind criminalitatea informatică prevede obligația
statelor semnatare de a incrimina ca infracțiune abuzurile contra dispozitivelor. O prevedere
asemănătoare este conținută și de Directiva 2013/40/UE. Art. 365, noul Cod penal
incriminează vânzarea, procurarea, distribuirea de tehnologie, destinată săvârșirii
infracțiunilor cibernetice. Această infracțiune nu își găsește corespondent în Codul penal în
vigoare, dar a fost reglementată de art. 46 din Legea 163/2003, și preluată de noul Cod penal
cu singura diferență că în reglementarea nouă limitele de pedeapsă sunt înjumătățite.

1.4 Infracțiuni informatice

1.4.1 Falsul informatic

Scopul reglementării infracțiunii de fals informatic este acela de a acoperi un vid
legislativ existent în legislația penală, prin raport cu infracțiunea de fals a documentelor în
format fizic. Manipularea fără drept a datelor informatice, în maniera prevăzută de lege, poate
avea consecințe la fel de grave, dacă nu și mai grave, ca și actele tradiționale de
contrafacere[14].
Noul Cod penal incriminează în art. 325 falsul informatic, în cadrul Titlului VI, ce
reglementează Infracțiunile de fals, preluând integral dispozițiile art. 48 din Legea 163/2003,
cu excepția sancțiunilor, care sunt reduse în prevederea nouă.

1.4.2 Frauda informatică

Frauda este una din infracțiunile contra patrimoniului care a migrat în mediul online.
Odată cu dezvoltarea noilor tehnologii, frauda informatică a cunoscut o evoluție
spectaculoasă[15].
Legiuitorul a înțeles să incrimineze în art. 249 din Titlul II al noului Cod penal frauda
informatică, infracțiune prevăzută de art. 49 din Legea 163/2003 și preluată de noul Cod penal
fără modificări esențiale. Pedeapsa prevăzută pentru această infracțiune a fost redusă, pentru a
fi corelată cu celelalte sancțiuni prevăzute pentru infracțiunile contra patrimoniului.
Incriminarea fraudei informatice în art. 249 corespunde exigențelor impuse de art.8 din
Convenția Consiliului Europei privind criminalitatea informatică, pe care îl reproduce cu
fidelitate.

1.5 Pornografia infantilă prin intermediul sistemelor informatice

Art. 374 din Noul Cod penal vine cu o incriminare nouă în cadrul Capitolul I
Infracţiuni contra ordinii şi liniştii publice al Titlului VII Infracţiuni care aduc atingere unor
relaţii privind convieţuirea socială, intitulată pornografia infantilă.Elementele constitutive ale
incriminărilor din aceste texte au fost sintetizate în textul propus de proiect, text care a avut în
vedere şi dispoziţiile Deciziei cadru a Consiliului Uniunii Europene nr. 2004/68/JAI din 22
decembrie 2003 privind lupta împotriva exploatării sexuale a copiilor şi a pedopornografiei,
precum și dispozițiile Directivei 2011/92/UE care a înlocuit Decizia-cadru 2004/68/JAI a
Consiliului [16].
Conform obligației asumate prin semnarea Convenției de la Lanzarote din 2007,
obligație prevăzută de altfel și de art. 6 din Directiva 2011/92/UE, în noul Cod penal este
reglementată infracțiunea de racolare a minorilor în scopuri sexuale, cu singura deosebire în
privința vârstei minorului, în sensul că subiectul pasiv al infracțiunii nu poate fi decât un
minor care nu a depășit vârsta de 13 ani, deși atât Convenția de la Lanzarote cât și Directiva
2011/92/UE prevad ca vârsta minorului să fie cea până la care este interzisă desfășurarea de
acvități sexuale cu un minor, în speță în țara noastră vârsta de 15 ani.
Aceste noi incriminări tind să ofere minorului protecţia necesară în raport cu un
fenomen relativ recent, dar foarte preocupant pe plan internaţional.

REFERENCES

[1] Maxim Dobrinoiu, Infracțiuni în domeniul informatic, Editura C.H.Beck, București,

2006, p. 59

[2] Susan W. Brenner, Cybercrime jurisdiction, în Crime, Law and Social Change,
Decembrie 2006, Vol. 46, Editura Springer, p. 189-206.

[3] Comunicarea Comisiei către Parlamentul European, Consiliu, Comitetul Economic şi

Social European şi Comitetul Regiunilor privind protecţia infrastructurilor critice de
 informaţie„Protejarea Europei de atacuri cibernetice şi perturbaţii de amploare:
ameliorarea gradului de pregătire, a securităţii şi a rezilienţei”, COM (2009) 149 final,
Bruxelles, 30.03.2009

[4] Comunicarea Comisiei către Parlamentul European, Consiliu și Comitetul European al

Regiunilor. Către o politică generală de luptă împotriva criminalității cibernetice, COM
(2007) 267 final, Bruxelles, 25.05.2007

[5] Ioana Vasiu, Lucian Vasiu, Criminalitatea în cyberspațiu, Editura Universul Juridic,
București, 2011, p. 121.

[6] Mariana Zainea, Raluca Simion, Infracțiuni în domeniul informatic. Culegere de

practică judiciară, Editura C.H.Beck, București, 2009, p. 20.

[7] Comunicare din partea Comisiei către Parlamentul European, Consiliu, Comitetul
Economic și Social European și Comitetul Regiunilor, COM (2010), 245 final din
19.05.2010.

[8] Comunicarea Comisiei către Parlamentul European și Consiliu. Al doilea raport privind
punerea în aplicarea a Strategiei de securitate internă a U.E., COM (2013), 179 final din
10.04.2013.

[9] Daniela Gărăiman, Dreptul și informatica, Editura All Beck, București, 2003, p. 298.

[10] Ilie Pascu, Vasile Dobrinoiu, Mihai Adrian Hotca, Ioan Chiș, Maxim Dobrinoiu,
Costică Păun, Traian Dima, Mirela Gorunescu, Noul Cod penal comentat. Partea
generală, vol. 1, Ed. Universul Juridic, București, 2012, p. 838.

[11] Mihai Adrian Hotca, Maxim Dobrinoiu, Infracțiuni prevăzute în legi speciale.
Comentarii și explicații. Editura C. H. Beck, București, 2008, p. 573.

[12] John W. Rittinghouse, William M. Hancock, Cybersecurity operations. Handbook,

Elsevier Digital Press, Burlington, Elsevier Digital Press, 2003, p.1

[13] Ioana Vasiu, op. cit., p. 149.

[14] Consiliul Europei, Cyberterrorism: The use of the Internet for terrorist purposes,
Editura Consiliului Europei, Strasburg, 2007, p. 423.

[15] Susan W. Brenner, Cybercrime: Criminal Threats from Cyberspace, Greenwood

Publishing Group, santa Barbara, 2010, p. 126.
[16] Petre Dungan, Tiberiu Medeanu, Viorel Pașca, Drept penal. Partea specială.
Prezentarea comparativă a noului Cod penal și a Codului penal din 1968, Editura
Universul Juridic, București, 2013, p. 341.