Judecătorii Curţii Constituţionale şi-au motivat decizia de neconstituţionalitate luată cu majoritate de voturi faţă de legea securităţii cibernetice a României, supranumită Big Brother 2. În peste 40 de pagini, judecătorii arată că legea era plină de inadvertenţe legislative şi tehnice şi că mai multe prevederi încălcau flagrant drepturile omului şi nu doar legislaţia românească, ci şi pe cea europeană în materie. CCR a publicat motivarea în aceeaşi zi în care George Maior, directorul SRI, şi-a dat demisia.
Motivarea CCR pentru decizia de neconstituţionalitate a legii privind securitatea cibernetică a României, supranumită Big Brother 2, detaliază în peste 40 de pagini modul în care prevederile Constituţiei, ale legilor naţionale şi ale jurisprudenţei europene în materie de drepturile omului au fost încălcate. Decizia CCR de pe 21 ianuarie de a desfiinţa această lege adoptată de Parlament la iniţiativa Guvernului, cu concursul SRI, a fost a treia într-un şir de ciocniri insituţionale care s-au întins pe parcursul anului trecut, până în prezent, şi care au culminat cu un interviu virulent al directorului SRI George Maior şi cu demisia sa, după cum a arătat gândul.
„Curtea constată că întregul act normativ suferă de deficienţe sub aspectul respectării normelor de tehnică legislativă, a coerenţei, a clarităţii, a previzibilităţii, de natură a determina încălcarea principiului legalităţii, consacrat de art.1 alin.(5) din Constituţie”, este principala concluzie a judecătorilor CCR despre legea Big Brother 2.
Legea respectivă stabilea că toate persoanele juridice de drept public sau privat, care deţin infrastructuri cibernetice (reţele de calculatoare sau servere) sunt obligate să îşi asigure din resurse proprii securizarea acestora în cazul unui atac cibernetic şi să acorde acces necondiţionat la echipamentele şi la datele solicitate de instituţiile de siguranţă naţională, coordonate de SRI, doar în baza unei solicitări motivate, fără mandat judecătoresc.
Gândul vă prezintă principalele abateri flagrante ale acestei legi de la normele juridice, constatate de judecătorii CCR.
CCR: Este nevoie de un organism civil, nu militar, care să supervizeze securitatea cibernetică a României
Judecătorii îşi încep argumentaţia citând dintr-o hotărâre a CEDO din 1978, dintr-o speţă împotriva Germaniei, în care se arată că „societăţile democratice sunt ameninţate în prezent de modalităţi complexe de spionaj şi de terorism, astfel că statul trebuie să fie capabil, pentru a combate eficient aceste ameninţări, să supravegheze în mod secret elementele subversive care operează pe teritoriul său”. Totuşi, CEDO în decizia sa aprecia şi pericolul „de a submina, chiar de a distruge democraţia sub motivul apărării acesteia, afirmă că statele nu pot lua, în numele combaterii spionajului şi terorismului, orice măsură pe care acestea o consideră adecvată”.
Astfel, CCR apreciază că „pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înfiinţarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor şi reţelelor cibernetice, precum şi a informaţiei, care să constituie punctul de contact pentru relaţionarea cu organismele similare din străinătate, inclusiv al cooperării transfrontaliere la nivelul Uniunii Europene, trebuie să vizeze un organism civil, care să funcţioneze integral pe baza controlului democratic, iar nu o autoritate care desfăşoară activităţi în domeniul informaţiilor, al aplicării legii sau al apărării ori care să reprezinte o structură a vreunui organism care activează în aceste domenii”.
CCR pledează astfel pentru un organism civil, nu o „entitate militară”, precum SRI, care să joace acest rol. Justificarea: „necesitatea preîntâmpinării riscului de a deturna scopul legii securităţii cibernetice în sensul folosirii atribuţiilor conferite prin această lege de către serviciile de informaţii în scopul obţinerii de informaţii şi date cu consecinţa încălcării drepturilor constituţionale la viaţă intimă, familială şi privată şi la secretul corespondenţei”.
CCR constată că Centrul Naţional de Securitate Cibernetică, organismul coordonat de SRI care ar fi urmat, conform legii Big Brother 2, să se ocupe de implementarea şi supravegherea acestei legi, nu îndeplineşte aceste condiţii.
SRI îşi dădea singură acces la date personale, fără control judecătoresc
Judecătorii CCR analizează pe larg cel mai controversat articol al legii, numărul 17, care stipula accesul necontrolat la infrastructurile cibernetice ale firmelor şi instituţiilor, doar în baza unei „solicitări motivate”.
CCR analizează mai întâi tipul de date la care SRI şi celelalte instituţii abilitate de legea respectivă – toate serviciile secrete, inclusiv MAI şi MApN, ar fi avut acces. Chiar dacă legea nu menţionează datele cu caracter personal, judecătorii au considerat că „având în vedere că infrastructurile cibernetice constau în sisteme informatice, în reţele şi servicii de comunicaţii electronice, care facilitează stocarea şi transferul de date, apare ca fiind evident că tipul de date cuprinse în aceste sisteme şi reţele sunt inclusiv date care privesc viaţa privată a persoanelor utilizatoare”.
Legea prevedea că SRI va avea acces doar la datele „relevante în contextul solicitării”, mai precis în cazul unui atac cibernetic. CCR arată însă că această formulare vagă „permite interpretarea potrivit căreia autorităţilor desemnate de lege trebuie să li se permită accesul la oricare din datele stocate în aceste infrastructuri cibernetice, dacă autorităţile apreciază că respectivele date prezintă relevanţă. Se remarcă, astfel, caracterul nepredictibil al reglementării, atât sub aspectul tipului de date accesate, cât şi al evaluării relevanţei datelor solicitate, de natură să creeze premisele unor aplicări discreţionare de către autorităţile enumerate în ipoteza normei. Astfel, datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare şi transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de conţinut. Lipsa unei reglementări legale precise, care să determine cu exactitate sfera acelor date necesare identificării evenimentelor survenite în spaţiul cibernetic (ameninţări, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autorităţilor competente”.
Cel mai important, CCR arată că „accesul la un sistem informatic în scopul obţinerii acestor date constituie una dintre metodele speciale de supraveghere sau cercetare potrivit art.138 alin.(13) din Codul de procedură penală, măsură care poate fi dispusă doar în condiţiile art.140 (de către judecător) sau a art.141 (de către procuror, pentru o durată de maxim 48 de ore)”.
Al doilea aspect analizat de CCR în legătură cu accesul la date al SRI este modalitatea de acces.
Judecătorii arată că legea precizează doar autorităţile care au acest drept de acces prin solicitare motivată, fără să specifice exact cum se va desfăşura accesul propriu-zis la date. Reamintim că, în acest sens, SRI a publicat o reprezentare grafică rudimentară a unei operaţiuni ipotetice a SRI în baza acestei legi.
Astfel, „persoanele ale căror date au fost păstrate (nu) beneficiază de garanţii suficiente care să le asigure protecţia împotriva abuzurilor şi a oricărui acces sau utilizări ilicite”, arată CCR.
„Legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate, şi nu stabileşte că accesul autorităţilor naţionale la datele stocate este condiţionat de controlul prealabil efectuat de către o instanţă judecătorească, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit. Garanţiile legale privind utilizarea în concret a datelor reţinute nu sunt suficiente şi adecvate pentru a îndepărta teama că drepturile personale, de natură intimă, sunt violate, aşa încât manifestarea acestora să aibă loc într-o manieră acceptabilă”, arată CCR.
Acelaşi lucru se întâmplă şi în cazul „solicitării motivate” în baza căreia SRI urma să primească accesul la date. Nici ea nu era supusă vreunui control judecătoresc: „solicitările de acces la datele reţinute în vederea utilizării lor în scopul prevăzut de lege, (…) nu sunt supuse autorizării sau aprobării instanţei judecătoreşti, lipsind astfel garanţia unei protecţii eficiente a datelor păstrate împotriva riscurilor de abuz precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date. Această împrejurare este de natură a constitui o ingerinţă în drepturile fundamentale la viaţă intimă, familială şi privată şi a secretului corespondenţei şi, prin urmare, contravine dispoziţiilor constituţionale care consacră şi protejează aceste drepturi”.
Serviciile secrete intră oriunde, fără mandat
Judecătorii mai identifică un viciu masiv al legii, în faptul că autorităţile cu atribuţii de monitorizare şi control – servicii secrete şi instituţii de siguranţă naţională menţionate în lege – aveau dreptul să solicite declaraţii sau orice documente necesare pentru efectuarea controlului, să facă inspecţii, inclusiv inopinate, la orice instalaţie, incintă sau infrastructură, destinate ICIN, şi să primească, la cerere sau la faţa locului, informaţii sau justificări. Aceste lucruri urmau să se desfăşoare de asemenea în lipsa oricărui control judecătoresc, ele fiind în fapt, tehnic vorbind, nişte percheziţii.
CCR arată că acest lucru „presupune accesul la o anumită locaţie, cu privire la anumite obiecte, sisteme informatice de stocare, prelucrare şi transmitere a datelor, inclusiv a celor cu caracter personal, acces care pune în discuţie protecţia drepturilor constituţionale la viaţă intimă, familială şi privată şi la secretul corespondenţei. Or, în măsura în care noţiunile cu care legea operează (instalaţii, incinte şi infrastructuri) nu sunt în mod predictibil determinate, iar sfera datelor asupra cărora se realizează controlul este incertă, Curtea apreciază că legea criticată nu reglementează garanţii care să permită o protecţie eficientă împotriva riscurilor de abuz, precum şi faţă de orice accesare şi utilizare ilicită a datelor cu caracter personal. În vreme ce noţiunea de infrastructură cibernetică e definită prin lege, noţiunea de instalaţie folosită în textul de art.27 alin.(2) lit.b) poate reprezenta tot un sistem informatic ori o reţea sau serviciu de comunicaţii electronice, având în vedere domeniul de reglementare al legii şi definiţiile cuprinse în aceasta, astfel că accesul la aceste sisteme informatice nu poate fi permis decât cu autorizarea judecătorului. De asemenea, noţiunea de incintă poate semnifica şi locul unde se găsesc aceste sisteme informatice, caz în care Curtea reţine că sunt aplicabile dispoziţiile privind percheziţia domiciliară prevăzută de art.157-167 din Codul de procedură penală, în sensul că această măsură nu poate fi dispusă decât de un judecător”.
SRI centrează, SRI dă cu capul, SRI înscrie
Judecătorii CCR mai arată o altă „situaţie inacceptabilă pentru o societate guvernată de principiile statului de drept”. Este vorba despre concentrarea puterii de implementare, control şi sancţionare în mâinile unei singure instituţii: SRI.
Astfel, persoanele juridice care deţin infrastructuri cibernetice de interes naţional (ICIN) erau obligate conform legii să perimită auditări de securitate, la solicitarea motivată a autorităţilor competente.
„Auditările sunt realizate de SRI sau de către furnizori de servicii de securitate cibernetică. Cu alte cuvinte, întrucât SRI este autoritate naţională în domeniul securităţii cibernetice, deci autoritate competentă, potrivit legii, să solicite persoanelor juridice de drept public sau privat care deţin sau au în responsabilitate ICIN efectuarea unor auditări de securitate cibernetică, există posibilitatea reală ca această instituţie să se afle concomitent în poziţia solicitantului auditului, a celui care efectuează auditul, a celui căruia i se comunică rezultatul auditului şi, în fine, în poziţia celui care constată o eventuală contravenţie (…). Or, o atare situaţie este inacceptabilă într-o societate guvernată de principiile statului de drept. Dispoziţiile legale sunt susceptibile de a genera o aplicare discreţionară, chiar abuzivă a legii, fiind nepermis ca toate atribuţiile din domeniul reglementat să fie concentrate în sarcina unei singure instituţii”, arată judecătorii CCR.
Nimeni nu are dreptul să conteste deciziile SRI
„Din analiza legii, Curtea reţine că aceasta omite să reglementeze posibilitatea subiecţilor cărora le este destinată legea, în sarcina cărora au fost instituite obligaţii şi responsabilităţi, de a contesta în justiţie actele administrative încheiate cu privire la îndeplinirea acestor obligaţii şi care sunt susceptibile a prejudicia un drept sau un interes legitim”, se arată în motivarea deciziei CCR.
Brambureala instituţiilor: Preşedinţia, Parlamentul, Guvernul sunt şi controlori, şi controlate
CCR arată că legea dă atribuţii de monitorizare şi control Camerei Deputaţilor, Senatului, Administraţiei Prezidenţiale, Secretariatul General al Guvernului şi CSAT-ului, în condiţiile în care aceste instituţii nu sunt menţionate ca atare în lista autorităţilor care au aceste atribuţii.
„Rezultă că, pe de o parte, Parlamentul, Administraţia Prezidenţială, Secretariatul General al Guvernului şi CSAT au obligaţia, de exemplu, de a permite efectuarea unor auditări de securitate cibernetică efectuate de SRI sau de a notifica CNSC cu privire la riscurile şi incidentele cibernetice, pe de altă parte, ele vor monitoriza şi controla respectarea acestor obligaţii, iar, în cazul neîndeplinirii dispoziţiilor legale (…), autorităţile îşi vor aplica lor însele sancţiuni, ca urmare a constatării contravenţiilor”, constată CCR.
sursa gandul.info
