UPDATE: CCR: Lipsa reglementarilor precise ale Legii securitatii cibernetice poate duce la aparitia unor abuzuri din partea autoritatilor

Legea privind securitatea cibernetica a Romaniei -- care a fost adoptata anul trecut de parlamentari -- a fost declarata neconstitutionala in sedinta CCR din 21 ianuarie, iar decizia Curtii (17/2015) a fost publicata in Monitorul Oficial, Partea I, nr. 79 din 30 ianuarie.

In esenta, CCR a constatat ca Legea securitatii cibernetice este viciata in integralitatea ei, pentru ca sufera de deficiente sub aspectul respectarii normelor de tehnica legislativa, a coerentei, a claritatii, a previzibilitatii, de natura a determina incalcarea principiului legalitatii.

Decizia are un efect definitiv asupra actului normativ, astfel ca acesta isi inceteaza procesul legislativ si nu mai poate fi aplicat.

Principalele prevederi ale Legii securitatii cibernetice care au provocat controverse in spatiul public fac referire la obligatia firmelor detinatoare de calculatoare de a permite accesul la datele detinute in baza unei simple solicitari motivate a autoritatilor competente, nefiind necesar mandatul judecatoresc. In acest sens, judecatorii CCR au atentionat ca aceste date pot contine si informatii care privesc viata privata a persoanelor utilizatoare si, de aceea, exista premisele unor posibile abuzuri ale autoritatilor competente.

"(...) Accesul la datele detinute de persoanele care cad sub incidenta legii nu exclude accesarea, prelucrarea si utilizarea datelor cu caracter personal. De asemenea, avand in vedere ca infrastructurile cibernetice constau in sisteme informatice, in retele si servicii de comunicatii electronice, care faciliteaza stocarea si transferul de date, apare ca fiind evident ca tipul de date cuprinse in aceste sisteme si retele sunt inclusiv date care privesc viata privata a persoanelor utilizatoare. (...) Datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare si transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de continut. Lipsa unei reglementari legale precise, care sa determine cu exactitate sfera acelor date necesare identificarii evenimentelor survenite in spatiul cibernetic (amenintari, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autoritatilor competente. Or, cadrul normativ intr-un domeniu atat de sensibil trebuie sa se realizeze intr-o maniera clara, previzibila si lipsita de confuzie, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrariului sau a abuzului celor chemati sa aplice dispozitiile legale", subliniaza judecatorii in Decizia CCR nr. 17/2015.

De asemenea, in lege nu este reglementata modalitatea de acces la datele detinute de firme, asa incat sa existe garantii suficiente care sa asigure protectia impotriva abuzurilor si a accesului/utilizarii ilicite.

"Legea criticata se limiteaza la a preciza care sunt autoritatile care pot solicita accesul la datele detinute pe baza formularii unei solicitari motivate, fara a reglementa modalitatea in care se realizeaza accesul efectiv la datele detinute, asa incat persoanele ale caror date au fost pastrate sa beneficieze de garantii suficiente care sa le asigure protectia impotriva abuzurilor si a oricarui acces sau utilizari ilicite. Astfel, legea nu prevede criterii obiective care sa limiteze la strictul necesar numarul de persoane care au acces si pot utiliza ulterior datele pastrate si nu stabileste ca accesul autoritatilor nationale la datele stocate este conditionat de controlul prealabil efectuat de catre o instanta judecatoreasca, care sa limiteze acest acces si utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmarit. Garantiile legale privind utilizarea in concret a datelor retinute nu sunt suficiente si adecvate pentru a indeparta teama ca drepturile personale, de natura intima, sunt violate, asa incat manifestarea acestora sa aiba loc intr-o maniera acceptabila", se mai arata in decizia Curtii.

Concret, judecatorii au apreciat ca, din moment ce solicitarile de acces la date nu sunt supuse autorizarii/aprobarii judecatoresti, lipseste garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz si impotriva accesului/utilizarii ilicite a acestor date.

"Aceasta imprejurare este de natura a constitui o ingerinta in drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si, prin urmare, contravine dispozitiilor constitutionale care consacra si protejeaza aceste drepturi", este precizat in actul mentionat.

In aceeasi ordine de idei, Curtea a mai considerat ca, pentru a nu se impune o sarcina disproportionata asupra micilor operatori, obligatiile de securitate impuse de Legea securitatii cibernetice ar trebui limitate la firmele din domeniile esentiale/vitale pentru buna desfasurare a serviciilor publice nationale: "Pentru a evita impunerea unei sarcini disproportionate asupra micilor operatori, cerintele trebuie sa fie proportionale cu riscurile la care sunt expuse reteaua sau sistemul informatic in cauza si nu trebuie aplicat detinatorilor de infrastructuri cibernetice cu importanta nesemnificativa din punctul de vedere al interesului general. Prin urmare, riscurile vor trebui identificate la nivelul entitatilor care activeaza in domenii esentiale/vitale pentru buna desfasurare a serviciilor publice nationale, care vor decide ce masuri trebuie adoptate pentru a atenua riscurile respective".

Decizia Curtii este definitiva si general obligatorie.

Pentru realizarea securitatii cibernetice, persoanele juridice care detin infrastructuri cibernetice urmau sa fie obligate sa acorde sprijinul necesar, la solicitarea motivata a anumitor institutii, printre care Serviciul Roman de Informatii, Ministerul Apararii sau Ministerul Afacerilor Interne, in indeplinirea atributiilor ce le revin acestora si sa permita accesul la datele detinute (care sunt relevante in contextul solicitarii), se arata in Legea securitatii cibernetice.

In luna decembrie, senatorii din Comisia pentru Aparare, Ordine Publica si Siguranta Nationala au declarat ca legea se adreseaza doar persoanelor juridice si ca noile reglementari au drept scop asigurarea protectiei impotriva atacurilor cibernetice.

"Acesti detinatori de infrastructuri cibernetice opereaza cu baze de date complexe, unele de interes national, iar aceasta lege ii obliga, practic, sa protejeze aceste informatii si sa asigure sprijinul necesar la solicitarea motivata a structurilor care opereaza in domeniul securitatii cibernetice. Adoptarea proiectului de lege a fost motivata de necesitatea asigurarii unui cadru legal in fata amenintarilor cibernetice, din ce in ce mai complexe si mai dese, care pot afecta securitatea nationala, nicidecum impotriva limitarii libertatilor individuale si a dreptului la libera exprimare garantat de Constitutie. (...) Romania nu putea ramane in afara unui cadru legislativ adecvat, care sa permita Ministerului Comunicatiilor interventia in caz de atac cibernetic, in cooperare cu celelalte structuri ale statului de drept", explicau senatorii la acel moment.

Conform unui comunicat recent al SRI, in baza prevederii referitoare la accesul motivat al autoritatilor urmau sa se ceara de la firme exclusiv date tehnice, nu informatii care tin de viata privata a persoanelor.

"Doar detinatorii de infrastructuri cibernetice (nu persoane fizice detinatoare de echipamente IT&C - computere, tablete, smartphone etc.) au responsabilitatea de a pune la dispozitia autoritatilor competente (la solicitare motivata) exclusiv date tehnice, cum ar fi indicatorii ce descriu activitatile desfasurate la nivelul sistemelor de operare (log-uri), cu privire la amenintarea (atac cibernetic, incident de securitate etc.) care face obiectul solicitarii", subliniau reprezentantii SRI cu doar cateva zile inainte de decizia Curtii Constitutionale.