Guvernul vrea să ne bage într-un Nor neconstituțional
Sorry, this entry is only available in Romanian. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.
Curtea Constituțională a spus încă din 2015 că SRI, STS și alte instituții din domeniul apărării, informațiilor sau aplicării legii nu pot fi implicate în securizarea rețelelor cibernetice naționale; APADOR-CH cere ca prin actul de înființare a Cloud-ului Guvernamental să fie înființată și o entitate civilă nouă care să-l gestioneze, constituțional
Ordonanța de urgență prin care Guvernul dorește să cheltuiască banii de la PNRR, pentru viitorul Cloud Guvernamental, a stârnit mai multe reacții negative chiar de la instituții publice care ar trebui să îmbrățișeze ideea. Conform informațiilor din presă, mai multe instituții importante din România (Evidența Persoanelor, Pașapoartele, Permise și Înmatriculări, Poliția de Frontieră, Poliția Română, Imigrările, Registrul Comerțului, Curtea Constituțională, DNA, DIICOT) ar fi reticente să pună în viitorul Cloud Guvernamental datele cu care lucrează. Explicațiile vehiculate țin de implicarea SRI și STS în gestionarea acestui cloud, două instituții militarizate și cu activitate secretizată, împreună cu care Guvernul dorește să facă Cloud-ul, conform proiectului de Ordonanță de Urgență.
Deoarece respectiva ordonanță încă se află în dezbatere publică, APADOR-CH solicită Ministerului Cercetării, Inovării și Digitalizării, ca inițiator al proiectului de act normativ privind cloud-ul guvernamental, ca asigurarea securității cibernetice pentru viitorul Cloud guvernamental (care este o infrastructură critică) să nu se facă nici de SRI, nici de STS, ci de către o entitate civilă, care să funcţioneze integral pe baza controlului democratic și care nu desfăşoară activităţi în domeniul informaţiilor, al aplicării legii sau al apărării, precum și nici nu reprezintă o structură a vreunui organism care activează în aceste domenii.
Curtea Constituțională a României (CCR) a precizat încă de acum 7 ani, prin decizia nr. 17/2015, că respectarea dreptului la viaţă intimă, familială şi privată, dreptul la inviolabilitatea secretului corespondenţei, dreptul la protecţia datelor cu caracter personal sunt valori fundamentale care trebuie să reprezinte principii directoare ale politicii de securitate cibernetică la nivel naţional.
În acest sens, CCR a apreciat că
pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înfiinţarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor şi reţelelor cibernetice, precum şi a informaţiei, care să constituie punctul de contact pentru relaţionarea cu organismele similare din străinătate [aşa cum prevede art. 10 alin. (4) din lege], inclusiv al cooperării transfrontaliere la nivelul Uniunii Europene, trebuie să vizeze un organism civil, care să funcţioneze integral pe baza controlului democratic, iar nu o autoritate care desfăşoară activităţi în domeniul informaţiilor, al aplicării legii sau al apărării ori care să reprezinte o structură a vreunui organism care activează în aceste domenii”. (par. 48 din decizia nr. 17/2015 a CCR)
În raport de decizia nr. 17/2015 a CCR, este evident că nici SRI și nici STS, precum și entitățile înființate în cadrul acestor structuri (de exemplu, Centrului Național Cyberint al SRI), nu îndeplinesc condițiile stabilite de CCR, și anume ca organismul care se va ocupa de securtiatea cibernetică a sistemului cloud să fie unul civil și fără legătură cu domeniul informațiilor, al aplicării legii sau al apărării.
Este de menționat că Directoratul Național de Securitate Cibernetică (DNSC) nu poate fi desemnat pentru a asigura securitatea cibernetică a viitorului Cloud guvernamental, întrucât, potrivit legii sale de organizare (OUG nr. 104/2021) este un organism cu rol de supraveghere și control, astfel că nu poate exercita și o activitate nemijlocită de protejare a cloud-ului, activitate pe care tot el ar trebui să o controleze ulterior (ar fi un conflict de interese, executantul și controlorul fiind aceeași persoană).
Având în vedere că entitea civilă care trebuie să asigure securitatea cibernetică pentru viitorul Cloud guvernamental nu există încă, APADOR-CH solicită înființarea unei astfel de entități civile chiar prin actul normativ care reglementează Cloud-ul guvernamental sau printr-un act normativ distinct, care însă să intre în vigoare odată cu reglementarea privind Cloud-ul guvernamental.
UPDATE 20 iunie 2022 – În lunile scurse de la transmiterea acestui punct de vedere către Ministerul Cercetării, Inovării și Digitalizării, proiectul nu numai că nu s-a îmbunătățit, dar conține și alte potențiale încălcări ale drepturilor omului, după cum reiese din draftul publicat pe site-ul ministerului, în ziua dezbaterii publice programate pentru ora 16.00. APADOR-CH a semnat această poziție comună de protest la adresa proiectului, alături de mai multe organizații neguvernamentale.