28 ianuarie, 2015

ccrCurtea Constituţională a publicat, marți, motivarea deciziei de neconstituţionalitate, luată cu majoritate de voturi, faţă de legea securităţii cibernetice a României. Judecătorii CCR arată că legea susținută cu ardoare de SRI și de apropiații instituției conținea prevederi care încălcau flagrant atât drepturile omului, cât şi legislaţia românească şi europeană în materie.

Fără control judecătoresc

Legea prevedea că SRI va avea acces la datele „relevante în contextul solicitării”. CCR arată că această formulare vagă „permite interpretarea potrivit căreia autorităţilor desemnate de lege trebuie să li se permită accesul la oricare din datele stocate în aceste infrastructuri cibernetice, dacă autorităţile apreciază că respectivele date prezintă relevanţă. (…) Lipsa unei reglementări legale precise, care să determine cu exactitate sfera acelor date necesare identificării evenimentelor survenite în spaţiul cibernetic (ameninţări, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autorităţilor competente”.

Judecătorii arată că legea precizează doar autorităţile care au acest drept de acces prin solicitare motivată, fără să specifice exact cum se va desfăşura accesul propriu-zis la date.


În cazul „solicitării motivate” în baza căreia SRI urma să primească accesul la date, CCR a avut dubii că acțiunea era supusă vreunui control judecătoresc: „solicitările de acces la datele reţinute în vederea utilizării lor în scopul prevăzut de lege, (…) nu sunt supuse autorizării sau aprobării instanţei judecătoreşti, lipsind astfel garanţia unei protecţii eficiente a datelor păstrate împotriva riscurilor de abuz precum şi împotriva oricărui acces şi a oricărei utilizări ilicite a acestor date. Această împrejurare este de natură a constitui o ingerinţă în drepturile fundamentale la viaţă intimă, familială şi privată şi a secretului corespondenţei şi, prin urmare, contravine dispoziţiilor constituţionale care consacră şi protejează aceste drepturi”.

Judecătorii au mai constatat că autorităţile cu atribuţii de monitorizare şi control – servicii secrete şi instituţii de siguranţă naţională menţionate în lege – primeau dreptul să solicite declaraţii sau orice documente necesare pentru efectuarea controlului, să facă inspecţii, inclusiv inopinate, la orice instalaţie, incintă sau infrastructură, şi să primească, la cerere sau la faţa locului, informaţii sau justificări. Aceste lucruri urmau să se desfăşoare de asemenea în lipsa oricărui control judecătoresc.

CCR arată: „În măsura în care noţiunile cu care legea operează (instalaţii, incinte şi infrastructuri) nu sunt în mod predictibil determinate, iar sfera datelor asupra cărora se realizează controlul este incertă, Curtea apreciază că legea criticată nu reglementează garanţii care să permită o protecţie eficientă împotriva riscurilor de abuz, precum şi faţă de orice accesare şi utilizare ilicită a datelor cu caracter personal. În vreme ce noţiunea de infrastructură cibernetică e definită prin lege, noţiunea de instalaţie folosită în textul de art.27 alin.(2) lit.b) poate reprezenta tot un sistem informatic ori o reţea sau serviciu de comunicaţii electronice, având în vedere domeniul de reglementare al legii şi definiţiile cuprinse în aceasta, astfel că accesul la aceste sisteme informatice nu poate fi permis decât cu autorizarea judecătorului. De asemenea, noţiunea de incintă poate semnifica şi locul unde se găsesc aceste sisteme informatice, caz în care Curtea reţine că sunt aplicabile dispoziţiile privind percheziţia domiciliară prevăzută de art.157-167 din Codul de procedură penală, în sensul că această măsură nu poate fi dispusă decât de un judecător”.

SRI dictează, controlează și veghează

Judecătorii CCR mai descriu o altă „situaţie inacceptabilă pentru o societate guvernată de principiile statului de drept”. Persoanele juridice care deţin infrastructuri cibernetice de interes naţional (ICIN) erau obligate, conform legii, să perimită auditări de securitate, la solicitarea motivată a autorităţilor competente.


„Auditările sunt realizate de SRI sau de către furnizori de servicii de securitate cibernetică. Cu alte cuvinte, întrucât SRI este autoritate naţională în domeniul securităţii cibernetice, deci autoritate competentă, potrivit legii, să solicite persoanelor juridice de drept public sau privat care deţin sau au în responsabilitate ICIN efectuarea unor auditări de securitate cibernetică, există posibilitatea reală ca această instituţie să se afle concomitent în poziţia solicitantului auditului, a celui care efectuează auditul, a celui căruia i se comunică rezultatul auditului şi, în fine, în poziţia celui care constată o eventuală contravenţie (…). Dispoziţiile legale sunt susceptibile de a genera o aplicare discreţionară, chiar abuzivă a legii, fiind nepermis ca toate atribuţiile din domeniul reglementat să fie concentrate în sarcina unei singure instituţii”, arată judecătorii CCR.

Deciziile SRI, definitive și irevocabile

„Din analiza legii, Curtea reţine că aceasta omite să reglementeze posibilitatea subiecţilor cărora le este destinată legea, în sarcina cărora au fost instituite obligaţii şi responsabilităţi, de a contesta în justiţie actele administrative încheiate cu privire la îndeplinirea acestor obligaţii şi care sunt susceptibile a prejudicia un drept sau un interes legitim”, se mai arată în motivarea CCR.

Soluția: securitatea cibernetică trebuie vegheată de un organism civil

Judecătorii îşi încep argumentaţia citând o hotărâre CEDO, din 1978, dintr-o speţă împotriva Germaniei: „Pericolul de a submina, chiar de a distruge democraţia sub motivul apărării acesteia, afirmă că statele nu pot lua, în numele combaterii spionajului şi terorismului, orice măsură pe care acestea o consideră adecvată”.

În acest spirit, CCR apreciază că „pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înfiinţarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor şi reţelelor cibernetice, precum şi a informaţiei (…) trebuie să vizeze un organism civil, care să funcţioneze integral pe baza controlului democratic, iar nu o autoritate care desfăşoară activităţi în domeniul informaţiilor, al aplicării legii sau al apărării ori care să reprezinte o structură a vreunui organism care activează în aceste domenii.”

(Descărcați AICI motivarea CCR)

Articole recomandate:

citește și

lasă un comentariu

Faci un comentariu sau dai un răspuns?

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

toate comentariile

Faci un comentariu sau dai un răspuns?

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

articole categorie

Lucrăm momentan la conferința viitoare.

Îți trimitem cele mai noi evenimente pe e-mail pe măsură ce apar: