Legea privind securitatea cibernetică este neconstituțională deoarece încalcă atât legea fundamentală a României și alte acte normative în vigoare, cât și directive și convenții europene. Curtea Constituțională și-a publicat, ieri, motivele pentru care a respins, pe 21 ianuarie, proiectul inițiat de Guvern și susținut de SRI.
Pe zeci de pagini, magistrații CCR explică de ce au considerat legea în întregime neconstituțională, invocând atât motive care țin de fond (cum ar fi încălcarea unor drepturi fundamentale ale omului), cât și de procedura legislativă (precum lipsa avizului CSAT, care era obligatoriu).
Judecătorii Curții au constatat și că „întregul act normativ suferă de deficiențe sub aspectul respectării normelor de tehnică legislativă, a coerenței, a clarității, a previzibilității“, inclusiv prin lăsarea ca aspecte esențiale să fie reglementate ulterior, prin acte legislative secundare, precum hotărâri de Guvern, norme metodologice, ordine de ministru sau „proceduri stabilite de comun acord“.
SRI, păstrătorul secretelor
Dacă Legea privind securitatea cibernetică ar fi intrat în vigoare în forma adoptată de Parlament, SRI ar fi fost desemnat autoritate națională în domeniul securității cibernetice, iar Centrul Național de Securitate Cibernetică (CNSC), înființat deja în cadrul SRI și care funcționează cu personal militar specializat, ar fi avut acces la toate datele informatice deținute de persoane juridice de drept public și privat. Or, Comisia Europeană solicită statelor membre, printr-o propunere de directivă din 2013, aflată în curs de adoptare în Parlamentul European, ca autoritățile competente să fie „organisme civile“, care să poată fi controlate democratic, nu autorități care desfășoară activități în domeniul informațiilor, al aplicării legii sau al apărării. La rândul său, CCR apreciază că opțiunea pentru organisme civile este justificată tocmai de „necesitatea“ de a preîntâmpina riscul ca serviciile de informații să „deturneze“ scopul legii și să se folosească de atribuțiile noi dobândite pentru a obține informații și date cu încălcarea drepturilor constituționale la viață intimă, familială și privată și, respectiv, la secretul corespondenței. „Or, tocmai acest lucru nu evită legea supusă controlului de constituţionalitate prin desemnarea SRI și a structurii sale militarizate CNSC“, se arată în motivarea CCR.
Totodată, în ceea ce privește efectuarea unor auditări de securitate cibernetică, pe care deținătorii de rețele ar fi obligați să le permită, Curtea atrage atenția că SRI s-ar afla concomitent, ca autoritate competentă, în următoarele poziții: solicitant al auditului, realizator al auditului, instituție căreia i se comunică rezultatul auditului și, în fine, instituție care constată eventuale contravenții și aplică sancțiuni.
Încălcarea unor drepturi fundamentale
Cât despre obligația pe care legea ar fi stabilit-o deținătorilor de infrastructuri cibernetice de a permite accesul la datele stocate, „la solicitarea motivată“ a instituțiilor cu atribuții în domeniul siguranței naționale, judecătorii CCR au două obiecții.
Una se referă la tipul de date ce ar putea fi accesate, mai precis la faptul că pot fi inclusiv date care privesc viața privată a utilizatorilor respectivelor rețele. „Lipsa unei reglementări legale precise, care să determine cu exactitate sfera acelor date necesare identificării evenimentelor survenite în spaţiul cibernetic (ameninţări, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autorităţilor competente“, concluzionează judecătorii CCR. A doua obiecție este legată de faptul că accesul la datele stocate nu este condiționat de controlul prealabil efectuat de către o instanță judecătorească, „lipsind astfel garanția unei protecții eficiente a datelor păstrate împotriva riscurilor de abuz, precum și împotriva oricărui acces și a oricărei utilizări ilicite a acestor date“. De asemenea, Curtea sancționează neincluderea în lege a posibilității persoanei ale cărei drepturi, libertăți sau interese legitime au fost afectate prin acte sau fapte ce decurg din aplicarea legii de a se adresa unei instanțe de judecată independente și imparțiale, ceea ce contravine Convenției pentru apărarea drepturilor omului și a libertăților fundamentale.
Absența avizului CSAT
Invocând prevederile Constituției și ale Legii privind organizarea și funcționarea Consiliului Suprem de Apărare a Țării, care stabilesc că CSAT are atribuția avizării proiectelor de acte normative referitoare la securitatea națională, judecătorii CCR arată că Executivul nu și-a îndeplinit „obligația“ de a solicita CSAT un punct de vedere. Or, acest fapt înseamnă o nerespectare a legislației în vigoare și, implicit, a principiului legalității prevăzut de Constituție.
