Apelul către Avocatul Poporului pentru declararea neconstituționalității Legii securității cibernetice
Stimate domn,
Mai multe organizații ale societății civile vă solicită să sesizați Curtea Constituțională a României cu privire la Legea privind securitatea cibernetică a României (număr de înregistrare la Senat L580/2014), întrucât aceasta are probleme fundamentale de concepție, propunând o serie de măsuri cu efect limitativ asupra dreptului la viață privată în zona digitală și încalcă în mod evident reglementările europene discutate astăzi pe subiectul securității informației.
Legea contravine din multe puncte de vedere și propunerii de Directivă NIS (Network & Information Security) care pornește de la scopul protecției datelor personale ale cetățenilor și nu de la crearea de noi atribuții pentru serviciile secrete.
În timp ce Directiva NIS are drept scop protejarea sistemelor informatice și a datelor informatice ale cetățenilor, Legea, în forma adoptată, reprezintă un cec în alb care poate fi folosit de serviciile de informații pentru a controla orice persoană de drept privat (SRL, SA, PFA, ONG) care deține un sistem informatic (adică orice calculator sau smartphone). Potențialul pentru abuzuri este, astfel, enorm. Acesta decurge din nenumăratele ambiguități prezente în lege, începând de la definirea vagă a „deținătorilor de sisteme informatice” și continuând cu obligațiile ce le revin celor care cad sub incidența legii.
În ordinea gravității/neconstituționalității lor, vă enumerăm câteva articole din legea securității cibernetice, articole care subminează grav dreptul la viață privată al cetățenilor:
- Articolul 17 – Toți deținătorii de sisteme cibernetice (adică toate persoanele juridice care au un calculator (vezi subiecții legii în art 2) trebuie să „permită accesul la date” autorităților stipulate în lege (SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO și ANCOM). Accesul se face la simpla „solicitare motivată”, în condițiile în care astăzi, conform Codului de procedură penală, orice acces la sistemele informatice (unde sunt stocate datele informatice) se poate face doar cu autorizarea unui judecător. Mai mult, accesul la datele de trafic este momentan imposibil pentru organele legal abilitate tocmai deoarece Curtea Constituțională a considerat, prin decizia 440/2014, că un atare acces nu respectă principiile respectării vieții private. Astfel, considerăm că articolul 17 este vădit neconstituțional.
- Articolul 16 – Toți deținătorii de sisteme cibernetice, indiferent de mărime, tipul de date colectate sau importanța lor pentru ecosistemul cibernetic, vor fi obligați să aplice politici de securitate cibernetică, să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Aceasta înseamnă cheltuieli de audituri de securitate estimate la minim 1500 de euro/an investiți în securitate informatică pentru orice persoană de drept privat.
- Articolul 10 Serviciul Român de Informații este desemnat autoritate națională în domeniul securității cibernetice, calitate în care asigură coordonarea tehnică, organizarea și executarea activităților ce privesc securitatea cibernetică a României. În vreme ce Uniunea Europeană propune în directiva NIS ca instituțiile care se ocupă de domeniul securității cibernetice să fie „organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”, Parlamentul României acordă acces nelimitat și nesupravegheat la toate datele informatice deținute de persoane de drept public și privat unei institutii – SRI – care nu îndeplinește niciuna din condițiile de mai sus.
Proiectul de lege privind securitatea cibernetică a fost discutat superficial în vara acestui an, moment în care organizațiile semnatare au propus o serie de modificări la articolele ce încalcă flagrant drepturile fundamentale ale omului.
În pofida acestor puncte de vedere, legea a fost adoptată tacit (deci fără niciun fel de dezbatere) de Camera Deputaților în luna septembrie, iar vineri, 19 decembrie, a fost aprobată și de Senat, într-o procedură suspect de rapidă, după ce, cu două zile înainte, Comisia de apărare audiase exclusiv punctele de vedere ale serviciilor de informații.
Punctele de vedere ale societății civile nu au fost luate în seamă, ele nefigurând nici măcar pe site-ul Senatului, la secțiunea dedicată opiniilor cu privire la lege, deși au fost trimise în termenul legal. Există soluții legislative simple (de ex. accesul la datele informatice să se facă doar în condițiile Codului de procedură penală și obligațiile de audit informatic să fie doar către Infrastructurile Cibernetice de Interes Național) pentru cei care doresc o reală securitate informatică în România și nu un regim de control absolut de tip securistic.
Organizațiile semnatare vă cer să sesizați Curtea Constituțională privind neconstituționalitatea Legii securității cibernetice a României.
Vă amintim că, în 2014, Curtea Constituțională a României a mai constatat neconstituționalitatea Legii Big Brother și a Legii cartelelor prepay și Wi-Fi cu buletinul, sesizarea privind-o pe cea din urmă fiind formulată chiar de dvs. Ambele erau acte normative în ton cu recent adoptata lege a securității cibernetice și care încălcau grav dreptul la viață privată și protecția datelor personale, instituind un regim de supraveghere informatică total nedemocratic, sub pretextul protejării securității naționale.
Faptul că în această vară Curtea Constituțională a declarat neconstituționale două legi care, în esență, încălcau aceleași drepturi ca și legea securității cibernetice ne face încrezători că vă veți exercita atribuțiile legale și de această dată. Considerăm că este nevoie de o dezbatere reală a implicațiilor Legii securității cibernetice și, într-un cadru mai larg, a echilibrului dintre drepturile individuale și securitatea națională pe care România trebuie sa îl asigure prin sistemul său de legi..
Cu respect,
Semnatari:
Maria-Nicoleta Andreescu, Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH)
Bogdan Manolea, Asociaţia pentru Tehnologie şi Internet (ApTI)
Mircea Toma, ActiveWatch
Ioana Avădani, Centrul pentru Jurnalism Independent (CJI)
Ștefan Cândea, Centrul Român pentru Jurnalism de Investigație (CRJI)
Vasile Crăciunescu, Geo-spatial.org
Tiberiu Turbureanu, Fundația Ceata
Oana Preda, Centrul de Resurse pentru Participare Publică
Mihail Bumbeș, Miliția Spirituală
Toma Pătrașcu, Asociația Secular Umanistă din România (ASUR)
Gabriel Petrescu, Director Executiv, Fundația pentru o Societate Deschisă
Cătălin Hegheș, Director Executiv – Asociația Pentru Minți Pertinente AMPER
Ionuț Oprea, Asociația IAB România (Interactive Advertising Bureau)