Decizia CCR nr. 17/2015 - Admite obiectia de neconstitutionalitate si constata ca Legea privind securitatea cibernetica a Romaniei este neconstitutionala

Augustin Zegrean - presedinte
Valer Dorneanu - judecator
Toni Grebla - judecator
Petre Lazaroiu - judecator
Mircea Stefan Minea - judecator
Daniel Marius Morar - judecator
Mona-Maria Pivniceru - judecator
Puskas Valentin Zoltan - judecator
Tudorel Toader - judecator
Mihaela Senia Costinescu - magistrat-asistent-sef

1. Pe rol se afla pronuntarea asupra obiectiei de neconstitutionalitate a dispozitiilor Legii privind securitatea cibernetica a Romaniei, obiectie formulata de un numar de 69 de deputati apartinand Grupului parlamentar al Partidului National Liberal din Camera Deputatilor.
2. Cu Adresa nr. 2/6.103 din 23 decembrie 2014, secretarul general al Camerei Deputatilor a transmis Curtii Constitutionale sesizarea de neconstitutionalitate, care a fost inregistrata la Curtea Constitutionala cu nr. 6.188 din 23 decembrie 2014 si constituie obiectul Dosarului nr. 1.419A/2014. La sesizare a fost anexata, in copie, Legea privind securitatea cibernetica a Romaniei.
3. In motivarea obiectiei de neconstitutionalitate autorii sustin ca dispozitiile legale sunt contrare art. 1 alin. (3) si (4) referitor la statul de drept si obligatia respectarii Constitutiei si a legilor. Se apreciaza ca legea criticata introduce multe confuzii si conditionari pentru detinatorii de infrastructuri cibernetice care sunt de natura a genera restrangeri ale drepturilor si libertatilor fundamentale ale cetatenilor. Prevederile legale nu respecta dispozitiile art. 6 din Legea nr. 24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative si incalca, astfel, principiul legalitatii, care este fundamental pentru buna functionare a statului de drept. La art. 1 din lege se prevad doar obligatii pentru detinatorii de infrastructuri cibernetice fara a se stabili si drepturile acestora. Enumerarea cuprinsa in art. 2 a persoanelor/entitatilor carora li se aplica legea nu este una precisa, omitand sa prevada situatia intermediarilor de infrastructuri cibernetice, a infrastructurilor neoperationale, a actionarilor unor persoane juridice sau cea a fondatorilor unor asociatii ori fundatii care detin astfel de infrastructuri.
4. Autorii sesizarii sustin ca legea are probleme fundamentale de conceptie, propunand o serie de masuri cu efect limitativ asupra dreptului prevazut de art. 26 alin. (1) din Constitutie privind viata intima, familiala si privata, si incalca in mod evident reglementarile europene aflate in dezbatere referitoare la securitatea informatiei in domeniul digital.
5. In temeiul legii criticate, autorii obiectiei de neconstitutionalitate sustin ca se restrang drepturi si libertati ale cetatenilor prin permiterea accesului la o infrastructura cibernetica si la datele continute de aceasta in urma unei simple solicitari motivate a institutiilor nominalizate de lege, comunicate detinatorilor de infrastructuri, fara aprobarea prealabila a unui judecator, asa cum prevede Codul de procedura penala sau jurisprudenta Curtii Constitutionale, in deciziile nr. 440/2014 si nr. 461/2014, fapt ce determina incalcarea prevederilor constitutionale cuprinse in art. 23 alin. (1) referitor la inviolabilitatea libertatii individuale si a sigurantei persoanei si in art. 28 privind secretul corespondentei.
6. Pe de alta parte se arata ca prin dispozitiile art. 10 din lege Serviciul Roman de Informatii este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica, organizarea si executarea activitatilor ce privesc securitatea cibernetica a Romaniei. In vreme ce Uniunea Europeana propune in proiectul de Directiva NIS (Network and Information System) ca institutiile care se ocupa de domeniul securitatii cibernetice sa fie „organisme civile, care sa functioneze integral pe baza controlului democratic, si nu ar trebui sa desfasoare activitati in domeniul informatiilor”, Parlamentul Romaniei acorda acces nelimitat si nesupravegheat la toate datele informatice detinute de persoane de drept public si privat unor institutii care nu indeplinesc niciuna din conditiile de mai sus. Faptul ca in jurisprudenta recenta a Curtii Constitutionale aceasta a declarat neconstitutionalitatea a doua legi care, in esenta, incalcau aceleasi drepturi ca si legea supusa in prezent controlului constituie un motiv serios pentru o dezbatere reala a implicatiilor Legii securitatii cibernetice si, intr-un cadru mai larg, a echilibrului dintre drepturile individuale si securitatea nationala pe care Romania trebuie il asigure prin sistemul sau legal. Autorii sesizarii sustin ca posibilitatea accesarii fara mandat judecatoresc a datelor electronice provenind de la orice computer, indiferent de proprietarul sau, este o ingerinta nejustificata in dreptul la protectia corespondentei, adica in dreptul la viata privata, drept garantat de art. 26 si 28 din Constitutie. O astfel de ingerinta nu numai ca nu este necesara intr-o societate democratica, dar ea are tocmai efectul contrar: submineaza esenta societatii democratice. Astfel, sub pretextul protectiei impotriva atacurilor cibernetice, orice fel de date pot fi accesate la bunul plac al puterii executive, fara existenta vreunui control al societatii civile.
7. In sesizarea de neconstitutionalitate se arata ca art. 148 alin. (2) din Constitutie este, de asemenea, incalcat prin netranspunerea corecta a reglementarilor comunitare in materie. Astfel, prevederile art. 17 alin. (1) lit. a) nu sunt conforme cu jurisprudenta Curtii de Justitie a Uniunii Europene, intrucat nu precizeaza exact ce date sunt necesare a fi detinute, iar cadrul in care se solicita aceste date nu prezinta suficiente garantii procesuale. Pentru indeplinirea acestei obligatii este necesara o monitorizare perpetua a tuturor persoanelor, aspect ce creeaza o sarcina disproportionata pentru subiectii vizati si implica totodata incalcarea drepturilor persoanelor monitorizate fara sa existe in legatura cu acestea o suspiciune relativa la comiterea vreunei infractiuni. Se mai arata ca legea contravine din multe puncte de vedere si propunerii de Directiva NIS (Network & Information Security) care are ca scop protectia datelor personale ale cetatenilor, iar nu crearea de noi atributii pentru serviciile secrete. „In timp ce Directiva NIS are drept scop protejarea sistemelor informatice si a datelor informatice ale cetatenilor, legea, in forma adoptata, reprezinta un cec in alb care poate fi folosit de serviciile de informatii pentru a controla orice persoana de drept privat (S.R.L., S.A., P.F.A., O.N.G.) care detine un sistem informatic (adica orice calculator sau smart-phone). Potentialul pentru abuzuri este, astfel, enorm. Acesta decurge din nenumaratele ambiguitati prezente in lege, incepand de la definirea vaga a detinatorilor de sisteme informatice si continuand cu obligatiile ce le revin celor care cad sub incidenta legii.”
8. In concluzie, autorii obiectiei de neconstitutionalitate apreciaza ca „intreaga arhitectura a actului normativ este de natura a permite incalcarea drepturilor fundamentale ale omului, fara a exista un remediu eficient impotriva unor astfel de incalcari”. Desi intr-o societate democratica limitele protectiei drepturilor fundamentale pot fi reduse in cazul unor pericole deosebite (terorism, infractiuni transfrontaliere), probele obtinute prin aceste proceduri nu pot fi folosite in cazurile de drept comun (cele care nu implica protectia sigurantei nationale, asa cum este ea definita prin lege), acolo unde garantiile procedurale trebuie sa fie strict respectate. Or, „legea atacata nu instituie nicio interdictie de utilizare a datelor in orice alt mod decat cel necesar pentru protectia in fata atacurilor cibernetice, situatie ce poate submina garantia unui proces echitabil”.
9. In conformitate cu dispozitiile art. 16 alin. (2) din Legea nr. 47/1992 privind organizarea si functionarea Curtii Constitutionale, sesizarea a fost comunicata presedintilor celor doua Camere ale Parlamentului, precum si Guvernului, pentru a comunica punctul lor de vedere.
10. Presedintele Camerei Deputatilor a transmis cu Adresa nr. 2/51/7 ianuarie 2015, inregistrata la Curtea Constitutionala cu nr. 99 din 7 ianuarie 2015, punctul sau de vedere, in care se apreciaza ca sesizarea de neconstitutionalitate este neintemeiata.
11. In argumentare se arata ca prevederile art. 1 din legea criticata se refera nu numai la obligatii pentru cei in drept, ci vizeaza solutii legislative care acopera intreaga problematica a relatiilor sociale ce reprezinta obiectul de reglementare al acestei legi. Astfel, legea porneste de la premisa ca masurile privind securitatea cibernetica trebuie sa asigure un mediu virtual sigur, care sa constituie un real suport pentru maximizarea beneficiilor cetatenilor, mediului de afaceri si societatii romanesti, in ansamblul ei. Toti detinatorii si utilizatorii de infrastructuri cibernetice, indiferent ca sunt intermediari sau nu, trebuie sa intreprinda masurile necesare pentru securitatea infrastructurilor proprii si sa nu afecteze securitatea celorlalti detinatori sau utilizatori.
12. Pe de alta parte se arata ca, intrucat dispozitiile acestei legi se aplica numai persoanelor juridice de drept public sau privat, detinatoare de infrastructuri cibernetice, nu si persoanelor fizice, dispozitiile art. 26 alin. (1) din Constitutie nu au incidenta.
13. In ceea ce priveste criticile aduse art. 17 din lege referitoare la accesul la date, Presedintele Camerei Deputatilor sustine ca legea vizeaza datele relevante luarii masurilor proactive si reactive la nivelul infrastructurilor cibernetice, si nicidecum datele de trafic, astfel incat nu se aduce atingere drepturilor prevazute la art. 23 si 28 din Legea fundamentala. Mai mult decat atat, dispozitiile art. 12 si 14 din legea criticata prevad ca autoritatile si institutiile publice cu atributii in aplicarea acestei legi asigura securitatea infrastructurilor cibernetice potrivit legii si competentelor legale. Aceste entitati sunt asadar obligate si limitate strict de respectarea cadrului legal.
14. Cu privire la desemnarea Serviciului Roman de Informatii ca autoritate nationala in domeniul securitatii cibernetice se arata, pe de o parte, ca Directiva NIS nu impune statelor membre ale Uniunii Europene desemnarea unei autoritati civile si, pe de alta parte, ca, potrivit art. 1 din Legea nr. 14/1992 privind organizarea si functionarea Serviciului Roman de Informatii, activitatea acestei institutii este supusa controlului parlamentar efectuat prin intermediul Comisiei comune permanente a Camerei Deputatilor si a Senatului.
15. Guvernul a transmis punctul sau de vedere prin Adresa nr. 5/7.033/2014, inregistrata la Curtea Constitutionala cu nr. 146 din 13 ianuarie 2015, in care se arata ca scopul Legii privind securitatea cibernetica este de a asigura un cadru coerent de reglementare a relatiilor sociale desfasurate in mediul virtual, care sa asigure realizarea securitatii cibernetice a acestora, ca parte componenta a securitatii nationale a Romaniei.
16. Cu privire la criticile de neconstitutionalitate formulate, Guvernul apreciaza ca „citirea atenta a legii demonstreaza ca aceste aspecte nu sunt reale, ci se bazeaza pe o interpretare tendentioasa a art. 17 din lege, respectiv nu se ia in considerare contextul general de asigurare a securitatii cibernetice”. Se arata ca autoritatile competente la care face referire articolul vor avea acces la date relevante ale detinatorilor de infrastructuri cibernetice pentru realizarea securitatii cibernetice, nu la mesaje ori alte date de continut stocate, procesate sau transmise de sistemul informatic. Datele vizate de aceasta lege sunt jurnalele sistemelor de stocare, prelucrare si transmitere a datelor (log-uri), date tehnice sau date de configurare ale sistemelor informatice si nu includ mesaje ori alte date de continut. In situatia in care in urma analizei preliminare se constata ca se impun investigatii aprofundate asupra datelor de continut, accesul la acestea si orice alte activitati care vizeaza restrangerea unor drepturi si libertati se realizeaza cu respectarea prevederilor legale in vigoare, respectiv in baza unui act de autorizare eliberat de judecator. In conditiile in care atacurile informatice se deruleaza foarte repede, pot provoca pagube materiale cetatenilor, pot afecta infrastructurile cibernetice de interes national (ICIN-uri) sau chiar securitatea nationala, este ineficient ca autoritatile competente sa astepte un aviz intocmit de un procuror si analizat si aprobat de un judecator pentru a obtine acces la date tehnice care nu lezeaza in vreun fel drepturile si libertatile constitutionale. Este fizic imposibil ca fiecare dintre aceste incidente sa fie investigate, de aceea autoritatile competente se concentreaza doar asupra acelora care pot produce efecte negative semnificative, inclusiv in planul securitatii nationale. Guvernul sustine ca „astfel de clarificari vor fi introduse, insa, in normele de aplicare a legii, in actul normativ prevederea fiind nominalizata doar la nivel conceptual”.
17. Cu privire la critica potrivit careia legea nu reglementeaza si „situatiile in care apar intermediari ce pun la dispozitie astfel de infrastructuri”, Guvernul mentioneaza ca, in cazurile in care apar astfel de intermediari in fluxul infrastructurilor cibernetice, acestia se circumscriu calitatii de detinatori de astfel de infrastructuri, asa cum sunt definiti la art. 2 din lege.
18. In consecinta, pentru considerentele prezentate, Guvernul apreciaza ca sesizarea de neconstitutionalitate a Legii privind securitatea cibernetica a Romaniei este neintemeiata.
19. Presedintele Senatului nu a comunicat punctul sau de vedere asupra obiectiei de neconstitutionalitate.

CURTEA,

examinand obiectia de neconstitutionalitate, raportul judecatorului-raportor, punctele de vedere ale Presedintelui Camerei Deputatilor si Guvernului, dispozitiile Legii privind securitatea cibernetica a Romaniei, precum si prevederile Constitutiei, retine urmatoarele:

20. Curtea a fost legal sesizata si este competenta, potrivit dispozitiilor art. 146 lit. a) din Constitutie si ale art. 1, 10, 15, 16 si 18 din Legea nr. 47/1992, sa se pronunte asupra constitutionalitatii prevederilor legale criticate.
21. Obiectul controlului de constitutionalitate, astfel cum rezulta din sesizarea formulata, il constituie dispozitiile Legii privind securitatea cibernetica a Romaniei.
22. Dispozitiile constitutionale pretins a fi incalcate sunt cele ale art. 1 alin. (3) si (5) referitoare la statul de drept si obligatia respectarii legii si a suprematiei Constitutiei, art. 23 alin. (1) referitor la inviolabilitatea libertatii individuale si a sigurantei persoanei, art. 26 privind viata intima, familiala si privata, art. 28 privind secretul corespondentei, precum si cele ale art. 148 referitor la integrarea in Uniunea Europeana.
23. Examinand obiectia de neconstitutionalitate, Curtea retine ca Legea privind securitatea cibernetica a Romaniei, care are ca scop completarea cadrului legislativ in materia securitatii nationale, a fost initiata de Guvernul Romaniei si, ulterior, adoptata de Parlament in data de 19 decembrie 2015. In „Expunerea de motive” care insoteste legea, Guvernul afirma ca, „prin adoptarea acestuia act normativ, Romania va continua sa transmita semnale puternice de racordare la realitatile internationale, fiind pe deplin constienta de necesitatea armonizarii cu demersurile similare ale statelor europene”, in lipsa unei atare reglementari, „tara noastra nu-si va putea armoniza demersurile pe dimensiunea securitatii cibernetice cu cele ale partenerilor sai din Uniunea Europeana si NATO, demersuri necesare unei abordari coerente si suficiente a provocarilor si oportunitatilor spatiului cibernetic”.
24. Cu privire la aspectele invocate, Curtea ia act de faptul ca, la nivel european, in temeiul art. 114 din Tratatul privind functionarea Uniunii Europene, a fost initiata procedura legislativa ordinara de adoptare a unei directive privind masuri de asigurare a unui nivel comun ridicat de securitate a retelelor si a informatiei in Uniune - Directiva NIS (Network and Information Security). Initiativa apartine Comisiei Europene, care la data de 7 februarie 2013 a transmis propunerea de directiva Consiliului si Parlamentului European. Propunerea de directiva a parcurs procedura primei lecturi in Parlamentul European, unde a fost adoptata cu modificari, la data de 13 martie 2014. La 10 iunie 2014, Comisia Europeana a exprimat un acord partial cu privire la modificarile Parlamentului. Prin urmare, la data solutionarii cauzei deduse judecatii Curtii Constitutionale, nu exista la nivelul Uniunii Europene un act normativ in vigoare cu privire la securitatea cibernetica.
25. Cu toate acestea, Curtea apreciaza relevante pentru domeniul de reglementare cateva aspecte retinute la nivelul institutiilor Uniunii cu privire la domeniul cercetat. Astfel, potrivit „Expunerii de motive” a directivei, necesitatea adoptarii actului normativ european consta, pe de o parte, in asigurarea rezilientei si stabilitatii retelelor si a sistemelor informatice, care sunt esentiale pentru definitivarea pietei digitale unice si pentru buna functionare a pietei interne si, pe de alta parte, in asigurarea unei capacitati si a unei pregatiri similare la nivelul statelor membre de natura sa ofere o securitate globala a retelelor si a informatiei in cadrul sistemelor interconectate. Directiva propusa vizeaza urmatoarele obiective: in primul rand, solicita tuturor statelor membre sa se asigure ca este instituit un nivel minim de capacitati nationale prin infiintarea autoritatilor competente in materie de retele si sisteme informatice, sa creeze echipe de interventie in caz de urgenta informatica (Computer Emergency Response Teams - CERT) si sa adopte strategii nationale privind securitatea cibernetica si planurile nationale de cooperare in domeniul vizat; in al doilea rand, autoritatile nationale competente trebuie sa coopereze in cadrul unei retele care sa permita o coordonare sigura si eficace, inclusiv schimbul coordonat de informatii la nivelul U.E., pentru a contracara amenintarile si incidentele in materie de securitate cibernetica, pe baza planului european de cooperare in domeniu; in al treilea rand, conform modelului Directivei-cadru privind comunicatiile electronice, propunerea urmareste sa asigure dezvoltarea unei culturi a gestionarii riscurilor si partajarea informatiilor de catre sectoarele public si privat.
26. De asemenea, Curtea retine considerentul 41 al preambulului directivei care prevede ca „Prezenta directiva respecta drepturile fundamentale si principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, in special dreptul la respectarea vietii private si a secretului comunicatiilor, dreptul la protectia datelor cu caracter personal, libertatea de a desfasura o activitate comerciala, dreptul de proprietate, dreptul la o cale de atac eficienta in fata unei instante judecatoresti si dreptul de a fi ascultat. Prezenta directiva trebuie pusa in aplicare in conformitate cu aceste drepturi si principii.”
27. Propunerea de directiva, in forma adoptata de Parlamentul European, contine mai multe dispozitii cu caracter obligatoriu pentru statele membre, dispozitii care ar urma sa fie transpuse in legislatia nationala a fiecarui stat. Astfel, preambulul directivei NIS (considerentul 10) prevede ca autoritatile competente si punctele unice de contact ar trebui sa fie organisme civile, care sa functioneze integral pe baza controlului democratic si care nu ar trebui sa desfasoare activitati in domeniul informatiilor, al aplicarii legii sau al apararii si nici sa fie legate organizational in vreun fel de organismele active in aceste domenii. Astfel, dispozitiile art. 6 din directiva, in forma modificata de PE, prevad ca „(1) Fiecare stat membru desemneaza una sau mai multe autoritati nationale civile competente in domeniul securitatii retelelor si a sistemelor informatice.”
28. In propunerea de Directiva NIS nu se prevede dreptul autoritatilor desemnate de a accesa, la solicitarea motivata, datele stocate in retelele si sistemele informatice, asa cum prevede art. 17 alin. (1) lit. a) din legea supusa controlului de constitutionalitate, ci doar obligatia de notificare a riscurilor si incidentelor cibernetice (art. 14) si de a se supune auditarii pentru detinatorii de infrastructuri critice (art. 15). Astfel, in cazurile in care notificarile contin date cu caracter personal, acestea sunt comunicate doar destinatarilor din cadrul autoritatilor competente care trebuie sa prelucreze aceste date pentru a-si indeplini sarcinile in conformitate cu un temei juridic adecvat, iar datele comunicate se limiteaza la ceea ce este necesar pentru indeplinirea sarcinilor acestor destinatari - art. 14 alin. (2a), in vreme ce autoritatile competente sunt imputernicite sa solicite operatorilor de piata furnizarea de „dovezi privind aplicarea efectiva a politicilor de securitate, precum rezultatele auditului de securitate efectuat de auditori interni, de un organism calificat independent sau de o autoritate nationala si sa transmita dovezile autoritatii competente sau punctului unic de contact” - art. 15 alin. (2) din directiva.
29. De asemenea, art. 3 din propunerea de directiva defineste notiunea de operator de piata ca fiind „un operator al unei infrastructuri care este esentiala pentru mentinerea activitatilor economice si societale vitale in domeniile energiei, transporturilor, serviciilor bancare, pietelor financiare, IXP (Internet Exchange points), lanturilor de aprovizionare alimentara si sanatatii, activitati a caror denaturare sau distrugere ar avea un impact important intr-un stat membru; o lista neexhaustiva a acestor operatori este prevazuta in anexa II, in masura in care reteaua si sistemele informatice vizate sunt legate de serviciile esentiale.” Anexa II la propunerea de directiva - Lista operatorilor de piata vizeaza, pe de o parte, platforme de comert electronic, procesatori de plati online, retele de socializare, motoare de cautare, servicii de cloud computing, magazine de aplicatii online si, pe de alta parte, domeniile referitoare la serviciile esentiale, precum energie, transporturi, banci, infrastructuri ale pietei financiare si sectorul sanatatii. De asemenea, sub incidenta proiectului de directiva si, deci, a prevederilor privind securitatea cibernetica intra si domeniul administratiilor publice (pct. 26 din preambul si capitolul IV din propunerea de directiva).
30. Potrivit „Expunerii de motive” la directiva se va solicita intreprinderilor din sectoarele critice si administratiilor publice sa evalueze riscurile cu care se confrunta si sa adopte masuri adecvate si proportionate de asigurare a securitatii cibernetice. Aceste entitati vor trebui sa raporteze autoritatilor competente orice incidente care afecteaza grav retelele si sistemele lor informatice si care au un impact semnificativ asupra continuitatii serviciilor critice si a aprovizionarii cu bunuri. Pentru a evita impunerea unei sarcini disproportionate asupra micilor operatori, in special asupra IMM-urilor, cerintele sunt proportionale cu riscurile la care sunt expuse reteaua sau sistemul informatic in cauza si nu se aplica microintreprinderilor, ci vizeaza numai entitatile critice si impun masuri proportionale cu riscurile. Astfel, art. 14 alin. (8) din propunerea de Directiva NIS stabileste ca microintreprinderile nu intra sub incidenta directivei cu exceptia situatiei in care acestea actioneaza in calitate de filiala a unui operator de piata.
31. In fine, potrivit art. 15 alin. (6) din propunerea de directiva, „statele membre se asigura ca orice obligatii impuse operatorilor de piata [...] pot fi supuse controlului jurisdictional.”
32. La momentul efectuarii controlului de constitutionalitate, Curtea retine ca, in legislatia nationala in domeniul securitatii, exista deja in vigoare o serie de reglementari, acte normative cu caracter primar sau secundar. Astfel, Ordonanta de urgenta a Guvernului nr. 98/2010 privind identificarea, desemnarea si protectia infrastructurilor critice, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 757 din 12 noiembrie 2010, aprobata cu modificari prin Legea nr. 18/2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 183 din 16 martie 2011, stabileste cadrul legal privind identificarea, desemnarea infrastructurilor critice nationale/europene si evaluarea necesitatii de a imbunatati protectia acestora, in scopul cresterii capacitatii de asigurare a stabilitatii, securitatii si sigurantei sistemelor economico-sociale si protectiei persoanelor. Ordonanta transpune prevederile Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea si desemnarea infrastructurilor critice europene si evaluarea necesitatii de imbunatatire a protectiei acestora, publicata in Jurnalul Oficial al Uniunii Europene seria L nr. 345 din 23 decembrie 2008. Actul normativ defineste infrastructura critica nationala, denumita ICN, ca fiind un element, un sistem sau o componenta a acestuia, aflat pe teritoriul national, care este esential pentru mentinerea functiilor vitale ale societatii, a sanatatii, sigurantei, securitatii, bunastarii sociale ori economice a persoanelor si a carui perturbare sau distrugere ar avea un impact semnificativ la nivel national ca urmare a incapacitatii de a mentine respectivele functii. Actul normativ stabileste criteriile intersectoriale de identificare a ICN: criteriul privind victimele, evaluat in functie de numarul posibil de decese sau vatamari; criteriul privind efectele economice, evaluat in functie de importanta pierderilor economice si/sau a degradarii produselor ori serviciilor, inclusiv eventualele efecte asupra mediului; criteriul privind efectul asupra populatiei, evaluat in functie de impactul asupra increderii acesteia, suferinta fizica sau perturbarea vietii cotidiene, inclusiv pierderea de servicii esentiale. In conformitate cu procedura prevazuta de ordonanta de urgenta, autoritatile publice responsabile identifica potentialele ICN care corespund criteriilor sectoriale si intersectoriale. Actul normativ contine 3 anexe: anexa nr. 1 - Lista sectoarelor, subsectoarelor infrastructurii critice nationale/infrastructurii critice europene (ICN/ICE) si autoritatilor publice responsabile; anexa nr. 2 - Procedura de identificare de catre autoritatile publice responsabile de infrastructuri critice care pot fi desemnate drept infrastructuri critice nationale/infrastructuri critice europene (ICN/ICE) si anexa nr. 3 - Procedura privind planul de securitate pentru operator.
33. In aplicarea ordonantei de urgenta, Guvernul a emis Hotararea nr. 718/2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 555 din 4 august 2011, prin care aproba Strategia nationala privind protectia infrastructurilor critice.
34. Hotararea Guvernului nr. 494/2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 388 din 2 iunie 2011, reglementeaza infiintarea ca institutie publica cu personalitate juridica, in coordonarea Ministerului Comunicatiilor si Societatii Informationale, a Centrului National de Raspuns la Incidente de Securitate Cibernetica - CERT-RO, structura independenta de expertiza si cercetare-dezvoltare in domeniul protectiei infrastructurilor cibernetice. Centrul este condus de un director general si de un director general adjunct, sprijiniti de Comitetul de coordonare, din care fac parte reprezentanti ai MCSI, Ministerului Apararii Nationale, Ministerului Administratiei si Internelor, Serviciului Roman de Informatii, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, Oficiului Registrului National al Informatiilor Secrete de Stat si ai Autoritatii Nationale pentru Administrare si Reglementare in Comunicatii. Hotararea de Guvern defineste termeni si expresii precum infrastructura cibernetica, spatiu cibernetic, securitate cibernetica, atac cibernetic, incident cibernetic etc. si stabileste atributiile CERT-RO.
35. Un alt act normativ emis in domeniul securitatii nationale il constituie Hotararea Guvernului nr. 271/2013 pentru aprobarea Strategiei de securitate cibernetica a Romaniei si a Planului de actiune la nivel national privind implementarea Sistemului national de securitate cibernetica, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 296 din 23 mai 2013.
36. Strategia de securitate cibernetica prezinta obiectivele, principiile si directiile majore de actiune pentru cunoasterea, prevenirea si contracararea amenintarilor, vulnerabilitatilor si riscurilor la adresa securitatii cibernetice a Romaniei si pentru promovarea intereselor, valorilor si obiectivelor nationale in spatiul cibernetic. In acest sens stabileste semnificatia termenilor si expresiilor utilizati in domeniu, prevede infiintarea Sistemului national de securitate cibernetica (SNSC) care reprezinta cadrul general de cooperare care reuneste autoritati si institutii publice cu responsabilitati si capabilitati in domeniu, in vederea coordonarii actiunilor la nivel national pentru asigurarea securitatii spatiului cibernetic, inclusiv prin cooperarea cu mediul academic si cel de afaceri, asociatiile profesionale si organizatiile neguvernamentale. De asemenea prevede ca Consiliul operativ de securitate cibernetica (COSC) reprezinta organismul prin care se realizeaza coordonarea unitara a SNSC. Din COSC fac parte, in calitate de membri permanenti, reprezentanti ai Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informationala, Serviciului Roman de Informatii, Serviciului de Telecomunicatii Speciale, Serviciului de Informatii Externe, Serviciului de Protectie si Paza, Oficiului Registrului National pentru Informatii Secrete de Stat, precum si secretarul Consiliului Suprem de Aparare a Tarii. Conducerea COSC este asigurata de un presedinte (consilierul prezidential pe probleme de securitate nationala) si un vicepresedinte (consilierul prim-ministrului pe probleme de securitate nationala). Coordonatorul tehnic al COSC este Serviciul Roman de Informatii, in conditiile legii.
37. Planul de actiune la nivel national privind implementarea Sistemului national de securitate cibernetica este continut in anexa nr. 2 la hotarare si este un document clasificat.
38. La data de 27 mai 2014, Guvernul Romaniei initiaza proiectul de lege privind securitatea cibernetica a Romaniei, care are ca scop completarea cadrului legislativ in materia securitatii nationale, apreciind ca problematica securitatii cibernetice, ca parte a securitatii nationale, reprezinta o prioritate care impune adoptarea de masuri necesare dezvoltarii mecanismelor de aparare cibernetica. Motivul emiterii actului normativ, asa cum reiese din „Expunerea de motive” care il insoteste, il constituie „evolutia recenta a atacurilor cibernetice din tara noastra” care determina aprecierea ca „Romania este cu certitudine vizata de entitati ostile in mediul virtual, nivelul de securitate cibernetica fiind, in prezent, insuficient pentru a face fata unor atacuri de nivel ridicat ori cu intentii distructive.” Legea vizeaza stabilirea cadrului general de reglementare a activitatilor in domeniul securitatii cibernetice, definirea obligatiilor ce revin persoanelor juridice de drept public sau privat in scopul protejarii infrastructurilor cibernetice, precum si asigurarea cadrului general de cooperare pentru realizarea securitatii cibernetice, prin constituirea Sistemului National de Securitate Cibernetica.
39. Proiectul de lege a fost adoptat, la data de 17 septembrie 2014, de Camera Deputatilor, in calitate de prima Camera sesizata, in temeiul art. 75 alin. (2) teza a treia din Constitutie - ca urmare a depasirii termenului de 45 de zile, iar la data de 19 decembrie 2014, Senatul Romaniei, in calitate de Camera decizionala, a adoptat Legea privind securitatea cibernetica a Romaniei. Legea a fost trimisa Presedintelui Romaniei pentru promulgare, iar, in termenul prevazut de lege, un numar de 69 de deputati a formulat cererea de sesizare a Curtii Constitutionale, care face obiectul prezentului dosar.
40. Din analiza documentului elaborat de initiatorul legii intitulat „Expunere de motive”, sectiunea a 6-a - Consultari efectuate in vederea elaborarii proiectului de act normativ, la rubrica Informatii privind avizarea de catre autoritatile competente, Curtea constata ca Guvernul mentioneaza doar avizul Consiliului Legislativ.
41. Potrivit dispozitiilor art. 1 din legea criticata, aceasta stabileste cadrul general de reglementare a activitatilor in domeniul securitatii cibernetice si obligatiile ce revin persoanelor juridice de drept public sau privat in scopul protejarii infrastructurilor cibernetice, iar dispozitiile art. 3 alin. (1) din lege stabilesc ca „securitatea cibernetica este componenta a securitatii nationale a Romaniei”. Cu privire la domeniul de reglementare a actului normativ supus controlului de constitutionalitate, Curtea retine ca, in temeiul prevederilor art. 119 din Legea fundamentala, „Consiliul Suprem de Aparare a Tarii organizeaza si coordoneaza unitar activitatile care privesc apararea tarii si securitatea nationala, participarea la mentinerea securitatii internationale si la apararea colectiva in sistemele de alianta militara, precum si la actiuni de mentinere sau de restabilire a pacii”. In aplicarea acestor prevederi, art. 4 lit. d) pct. 1 din Legea nr. 415/2002 privind organizarea si functionarea Consiliului Suprem de Aparare a Tarii prevede, printre atributiile CSAT, ca acesta „avizeaza proiectele de acte normative initiate sau emise de Guvern privind securitatea nationala”. Pe de alta parte, potrivit art. 9 alin. (1) din Legea nr. 24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative, „In cazurile prevazute de lege, in faza de elaborare a proiectelor de acte normative initiatorul trebuie sa solicite avizul autoritatilor interesate in aplicarea acestora, in functie de obiectul reglementarii”. De asemenea, art. 31 alin. (3) din aceeasi lege prevede ca „Forma finala a instrumentelor de prezentare si motivare a proiectelor de acte normative trebuie sa cuprinda referiri la avizul Consiliului Legislativ si, dupa caz, al Consiliului Suprem de Aparare a Tarii, Curtii de Conturi sau Consiliului Economic si Social.” Asadar, in temeiul dispozitiilor legale, Guvernul avea obligatia de a solicita avizul Consiliului Suprem de Aparare a Tarii atunci cand a elaborat proiectul Legii privind securitatea cibernetica a Romaniei.
42. Pentru argumentele expuse, intrucat in cadrul procedurii legislative, initiatorul nu a respectat obligatia legala, conform careia Consiliul Suprem de Aparare a Tarii avizeaza proiectele de acte normative initiate sau emise de Guvern privind securitatea nationala, Curtea constata ca actul normativ a fost adoptat cu incalcarea prevederilor constitutionale ale art. 1 alin. (5) care consacra principiul legalitatii si ale art. 119 referitoare la atributiile Consiliului Suprem de Aparare a Tarii.
43. Examinand continutul normativ al legii, Curtea retine ca aceasta prevede infiintarea Sistemului National de Securitate Cibernetica, denumit SNSC, care reuneste autoritatile si institutiile publice cu responsabilitati si capacitati in domeniu (art. 6). Coordonarea unitara a activitatilor SNSC se realizeaza de catre Consiliul Operativ de Securitate Cibernetica, denumit COSC (art. 8). Serviciul Roman de Informatii este desemnat autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura coordonarea tehnica a COSC, precum si organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica, denumit CNSC [art. 10 alin. (1)]. Sunt desemnate autoritati in domeniul securitatii cibernetice pentru domeniile lor de activitate, asigurand securitatea infrastructurilor cibernetice proprii sau aflate in responsabilitate: Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor Secrete de Stat, Serviciul de Informatii Externe, Serviciul de Telecomunicatii Speciale si Serviciul de Protectie si Paza. Centrul National de Raspuns la Incidente de Securitate, denumit in continuare CERT-RO, reprezinta un punct national de contact cu structurile de tip CERT care functioneaza in cadrul institutiilor sau autoritatilor publice ori al altor persoane juridice de drept public sau privat, nationale ori internationale, cu respectarea competentelor ce revin celorlalte autoritati si institutii publice cu atributii in domeniu, potrivit legii [art. 10 alin. (5)]. Autoritatea implicata in securitatea infrastructurilor cibernetice detinute sau administrate de furnizorii de retele publice de comunicatii electronice sau de servicii de comunicatii electronice destinate publicului este Autoritatea Nationala pentru Administrare si Reglementare in Comunicatii, denumita ANCOM [art. 13 alin. (2)], institutie infiintata prin Ordonanta de urgenta Guvernului nr. 22/2009.
44. Un element de noutate adus de legea criticata, prin art. 10 alin. (1), il constituie desemnarea Serviciului Roman de Informatii ca autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica (CNSC), care a fost constituit, organizat si functioneaza deja in cadrul SRI, cu personal militar specializat, potrivit unor hotarari ale Consiliului Suprem de Aparare a Tarii. Autoritatile si institutiile publice din componenta COSC deleaga un reprezentant in cadrul CNSC. Potrivit art. 11 din lege, principalele atributii ale CNSC vizeaza actiuni in scopul cunoasterii, prevenirii, protectiei, reactiei si managementului consecintelor amenintarilor si atacurilor cibernetice; asigurarea schimbului de date si informatii intre autoritatile si institutiile publice componente ale SNSC; analiza si integrarea datelor si informatiilor obtinute de autoritatile si institutiile publice componente ale SNSC, in scopul stabilirii, intreprinderii sau propunerii masurilor ce se impun pentru asigurarea securitatii cibernetice; asigurarea colectarii si identificarii evenimentelor survenite in spatiul cibernetic; primirea notificarilor facute de persoanele juridice de drept public care detin sau administreaza infrastructuri cibernetice de interes national (ICIN); in caz de atac cibernetic, asigurarea colectarii si evaluarea datelor si informatiilor cu privire la incident, propunerea sau luarea de masuri reactive de prima urgenta pentru asigurarea integritatii datelor si remedierea situatiei de fapt, informarea organelor competente pentru investigare si cercetare sau, dupa caz, sesizarea organelor de urmarire penala.
45. De asemenea, art. 15 alin. (8) din lege stabileste obligatia tuturor persoanelor juridice de drept public sau privat detinatori de ICIN de a transmite cu celeritate datele privind starea de securitate cibernetica la nivelul acestora catre CNSC, conform competentelor prevazute de lege.
46. Cu privire la desemnarea SRI, recte CNSC, ca autoritate nationala in domeniul securitatii cibernetice, autorii criticilor de neconstitutionalitate sustin ca legiuitorul acorda acces nelimitat si nesupravegheat la toate datele informatice detinute de persoane de drept public si privat unei institutii care nu indeplineste conditia referitoare la un organism civil, supus controlului democratic.
47. In analiza de constitutionalitate, Curtea porneste de la premisa ca strategia de securitate cibernetica si legea privind securitatea cibernetica au un rol important in asigurarea securitatii nationale a Romaniei, pe de o parte, si a protectiei persoanei fata de riscurile la adresa vietii private si a protectiei datelor cu caracter personal in mediul online, pe de alta parte. Cu privire la aceste aspecte analizate coroborat, prin Hotararea din 6 septembrie 1978, pronuntata in Cauza Klass si altii impotriva Germaniei, Curtea Europeana a Drepturilor Omului a apreciat ca „Societatile democratice sunt amenintate in prezent de modalitati complexe de spionaj si de terorism, astfel ca statul trebuie sa fie capabil, pentru a combate eficient aceste amenintari, sa supravegheze in mod secret elementele subversive care opereaza pe teritoriul sau” (paragraful 42). Cu toate acestea, Curtea, constienta de pericolul, inerent masurilor de supraveghere secreta, „de a submina, chiar de a distruge democratia sub motivul apararii acesteia, afirma ca statele nu pot lua, in numele combaterii spionajului si terorismului, orice masura pe care acestea o considera adecvata” (paragraful 49).
48. In aceasta lumina, Curtea Constitutionala trebuie sa verifice daca reglementarea domeniului vizat concorda cu respectarea dreptului la viata intima, familiala si privata, cu inviolabilitatea secretului corespondentei, cu dreptul la protectia datelor cu caracter personal, valori fundamentale care ar trebui sa reprezinte principii directoare ale politicii de securitate cibernetica la nivel national, si sa se asigure ca legislatia adoptata nu conduce la masuri care ar constitui interferente neconstitutionale cu drepturile mentionate. Asa fiind, Curtea apreciaza ca, pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, infiintarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor si retelelor cibernetice, precum si a informatiei, care sa constituie punctul de contact pentru relationarea cu organismele similare din strainatate [asa cum prevede art. 10 alin. (4) din lege], inclusiv al cooperarii transfrontaliere la nivelul Uniunii Europene, trebuie sa vizeze un organism civil, care sa functioneze integral pe baza controlului democratic, iar nu o autoritate care desfasoara activitati in domeniul informatiilor, al aplicarii legii sau al apararii ori care sa reprezinte o structura a vreunui organism care activeaza in aceste domenii.
49. In ceea ce priveste dispozitiile art. 1 alin. (3), teza intai din Constitutie, care consacra principiul statului de drept, Curtea a retinut in jurisprudenta sa (a se vedea Decizia nr. 70 din 18 aprilie 2000, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 334 din 19 iulie 2000) ca exigentele acestuia privesc scopurile majore ale activitatii statale, prefigurate in ceea ce indeobste este numit ca fiind domnia legii, sintagma ce implica subordonarea statului fata de drept, asigurarea acelor mijloace care sa permita dreptului sa cenzureze optiunile politice si, in acest cadru, sa pondereze eventualele tendinte abuzive, discretionare, ale structurilor etatice. Statul de drept asigura suprematia Constitutiei, corelarea legilor si tuturor actelor normative cu aceasta, existenta regimului de separatie a puterilor publice, care trebuie sa actioneze in limitele legii, si anume in limitele unei legi ce exprima vointa generala. Statul de drept consacra o serie de garantii, inclusiv jurisdictionale, care sa asigure respectarea drepturilor si libertatilor cetatenilor prin autolimitarea statului, respectiv incadrarea autoritatilor publice in coordonatele dreptului.
50. In analiza Curtii, optiunea pentru desemnarea in calitate de autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prin necesitatea preintampinarii riscului de a deturna scopul legii securitatii cibernetice in sensul folosirii atributiilor conferite prin aceasta lege de catre serviciile de informatii in scopul obtinerii de informatii si date cu consecinta incalcarii drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, tocmai acest lucru nu evita legea supusa controlului de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC.
51. Astfel, examinand atributiile stabilite de actul normativ supus controlului, apare cu evidenta intentia legiuitorului de a stabili in competenta CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atat din mediul public, cat si din cel privat. Or, in conditiile in care Centrul National de Securitate Cibernetica constituie o structura militara, in cadrul unui serviciu de informatii, subordonata ierarhic conducerii acestei institutii, deci sub un control direct militar-administrativ, apare cu evidenta ca o atare entitate nu indeplineste conditiile cu privire la garantiile necesare respectarii drepturilor fundamentale referitoare la viata intima, familiala si privata si la secretul corespondentei.
52. De asemenea, in conditiile in care autoritatea nationala desemnata deserveste drept punct unic de contact national in domeniul securitatii retelelor si al sistemelor informatice, asigurand relationarea cu organismele similare din cadrul Uniunii Europene, imprejurarea ca Romania desemneaza o autoritate care nu ar indeplini exigentele actului normativ european, aflat in curs de adoptare, pune sub semnul intrebarii atat o eventuala concordanta a reglementarii nationale cu cea de drept european, cat si cooperarea efectiva intre institutii care, desi au acelasi scop, nu se intemeiaza pe o structura organizatorica similara si nu functioneaza sub un control democratic.
53. Pentru toate aceste argumente, Curtea constata ca dispozitiile art. 10 alin. (1) din legea supusa controlului incalca prevederile constitutionale ale art. 1 alin. (3) si (5) referitoare la statul de drept si principiul legalitatii, precum si cele ale art. 26 si art. 28 privind viata intima, familiala si privata, respectiv secretul corespondentei, din perspectiva lipsei garantiilor necesare garantarii acestor drepturi.
54. Curtea observa ca dispozitiile art. 2 prevad sfera de incidenta a legii, sub aspectul destinatarilor sai, aratand ca persoanele juridice de drept public sau privat carora le sunt aplicabile prevederile legale, intitulati generic detinatori de infrastructuri cibernetice, sunt: proprietarii, administratorii, operatorii sau utilizatorii de infrastructuri cibernetice, definite la art. 5 lit. g) ca fiind infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice.
55. Definirea expresiei „detinatori de infrastructuri cibernetice” este deosebit de importanta, deoarece includerea in aceasta categorie implica pentru persoanele vizate obligatia de a respecta prevederile legii, pe de o parte, si justificarea pentru autoritatile desemnate de lege cu competente in domeniul securitatii cibernetice de a dispune masuri speciale in ceea ce le priveste.
56. Obligatiile care incumba destinatarilor legii vizeaza asigurarea rezilientei infrastructurilor cibernetice, respectiv capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic si de a reveni la starea de normalitate. Aceasta stare este mentinuta in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si nonrepudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private, din spatiul cibernetic. Includerea in sfera de incidenta a legii a utilizatorilor de infrastructuri cibernetice, deci a tuturor persoanelor juridice care utilizeaza retele si servicii de comunicatii electronice, ridica probleme legate de modul in care acestea pot sa isi indeplineasca obligatiile si responsabilitatile prevazute de lege, in conditiile in care nu sunt proprietari, administratori sau operatori ai infrastructurilor cibernetice pe care le utilizeaza, iar legea face vorbire in cuprinsul art. 16, despre infrastructuri cibernetice proprii sau aflate in responsabilitate. Mai mult, in masura in care obligatiile si responsabilitatile cad atat in sarcina proprietarilor, administratorilor sau operatorilor infrastructurilor cibernetice, cat si a utilizatorilor acestor infrastructuri, iar legea nu stabileste sensul notiunii de utilizator, rezulta ca obligatiile si responsabilitatile se exercita in mod concurent la nivelul fiecarui sistem sau fiecarei retele informatice. Spre exemplu, potrivit art. 16 alin. (1) lit. a) si b) din lege, atat proprietarul, cat si utilizatorul sunt obligati sa aplice politici de securitate, sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Insa, exista posibilitatea ca, uneori, politicile de securitate, masurile tehnice si, mai ales, cele organizatorice, considerate adecvate de cele doua entitati, sa nu coincida sau sa nu fie compatibile, astfel incat finalitatea urmarita de lege sa nu fie atinsa. Or, destinatarii legii trebuie sa aiba o reprezentare clara si corecta a normelor juridice aplicabile, astfel incat sa isi adapteze conduita si sa prevada consecintele ce decurg din nerespectarea acestora, lipsa unei reglementari predictibile in acest sens constituind premisa unei aplicari neunitare, discretionare, in activitatea de securizare cibernetica a Romaniei.
57. In concluzie, intrucat notiunile cu care opereaza legea nu delimiteaza in mod neechivoc sfera de incidenta a normelor cuprinse in actul supus controlului de constitutionalitate, Curtea retine ca acesta nu are un caracter precis si previzibil, si, prin urmare, dispozitiile art. 2 contravin art. 1 alin. (5) din Legea fundamentala.
58. Curtea retine ca tuturor detinatorilor de infrastructuri cibernetice le sunt aplicabile dispozitiile art. 16 (care stabilesc obligatiile ce le incumba) si ale art. 17 (care consacra responsabilitatile pe care acestia trebuie sa le indeplineasca). Printre responsabilitatile acestor persoane este si aceea de a acorda sprijinul necesar, la solicitarea motivata a Serviciului Roman de Informatii, Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Oficiului Registrului National al Informatiilor Secrete de Stat, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora, si „sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii”. Textul de lege impune o dubla analiza: prima, din perspectiva tipului de date la care se permite accesul, a doua, din perspectiva modalitatii in care se realizeaza accesul.
59. Cu privire la primul aspect, desi legislatia privind protectia datelor cu caracter personal nu este mentionata in mod expres in lege, accesul la datele detinute de persoanele care cad sub incidenta legii nu exclude accesarea, prelucrarea si utilizarea datelor cu caracter personal. De asemenea, avand in vedere ca infrastructurile cibernetice constau in sisteme informatice, in retele si servicii de comunicatii electronice, care faciliteaza stocarea si transferul de date, apare ca fiind evident ca tipul de date cuprinse in aceste sisteme si retele sunt inclusiv date care privesc viata privata a persoanelor utilizatoare. Prevederea in temeiul careia accesul se realizeaza cu privire la „datele detinute, relevante in contextul solicitarii” permite interpretarea potrivit careia autoritatilor desemnate de lege trebuie sa li se permita accesul la oricare din datele stocate in aceste infrastructuri cibernetice, daca autoritatile apreciaza ca respectivele date prezinta relevanta. Se remarca, astfel, caracterul nepredictibil al reglementarii, atat sub aspectul tipului de date accesate, cat si al evaluarii relevantei datelor solicitate, de natura sa creeze premisele unor aplicari discretionare de catre autoritatile enumerate in ipoteza normei. Astfel, datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare si transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de continut. Lipsa unei reglementari legale precise, care sa determine cu exactitate sfera acelor date necesare identificarii evenimentelor survenite in spatiul cibernetic (amenintari, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autoritatilor competente. Or, cadrul normativ intr-un domeniu atat de sensibil trebuie sa se realizeze intr-o maniera clara, previzibila si lipsita de confuzie, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrariului sau a abuzului celor chemati sa aplice dispozitiile legale.
60. Cu privire la aceste probleme, Curtea deja a decis intr-o maniera indubitabila, prin Decizia nr. 440 din 8 iulie 2014, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 653 din 4 septembrie 2014, statuand ca, „datele care fac obiectul reglementarii, desi au un caracter predominant tehnic, sunt retinute in scopul furnizarii informatiilor cu privire la persoana si viata sa privata. Chiar daca, potrivit art. 1 alin. (3) din lege, aceasta nu se aplica si continutului comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, celelalte date retinute, avand ca scop identificarea apelantului si a apelatului, respectiv a utilizatorului si a destinatarului unei informatii comunicate pe cale electronica, a sursei, destinatiei, datei, orei si duratei unei comunicari, a tipului de comunicare, a echipamentului de comunicatie sau a dispozitivelor folosite de utilizator, a locatiei echipamentului de comunicatii mobile, precum si a altor «date necesare» - nedefinite in lege -, sunt de natura sa prejudicieze manifestarea libera a dreptului la comunicare sau la exprimare. In concret, datele avute in vedere conduc la concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate, concluzii ce pot viza obiceiurile din viata cotidiana, locurile de sedere permanenta sau temporara, deplasarile zilnice sau alte deplasari, activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate de ele. Or, o atare limitare a exercitiului dreptului la viata intima, familiala si privata si la secretul corespondentei, precum si a libertatii de exprimare trebuie sa aiba loc intr-o maniera clara, previzibila si lipsita de echivoc, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrarului sau a abuzului autoritatilor in acest domeniu”. (paragraful 56).
61. De asemenea, Curtea de Justitie a Uniunii Europene a retinut, prin Hotararea din 8 aprilie 2014, pronuntata in cauzele conexate C-293/12 - Digital Rights Ireland Ltd impotriva Minister for Communications, Marine and Natural Resources si altii - si C-594/12 - Karntner Landesregierung si altii, ca datele ce fac obiectul reglementarii Directivei 2006/24/CE a Parlamentului European si a Consiliului din 15 martie 2006 privind pastrarea datelor generate sau prelucrate in legatura cu furnizarea serviciilor de comunicatii electronice accesibile publicului sau de retele de comunicatii publice si de modificare a Directivei 2002/58/CE, invalidate, conduc la concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate, concluzii ce pot viza obiceiurile din viata cotidiana, locurile de sedere permanenta sau temporara, deplasarile zilnice sau alte deplasari, activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate de ele (paragraful 27) si ca, in aceste conditii, chiar daca, potrivit art. 1 alin. (2) si art. 5 alin. (2) din Directiva 2006/24/CE, este interzisa pastrarea continutului comunicatiilor si al informatiilor consultate prin utilizarea unei retele de comunicatii electronice, pastrarea datelor in cauza poate afecta utilizarea de catre abonati sau de catre utilizatorii inregistrati a mijloacelor de comunicare prevazute de aceasta directiva si, in consecinta, libertatea lor de exprimare, garantata prin art. 11 din Carta (paragraful 28).
62. De altfel, accesul la date care vizeaza datele unei infrastructuri cibernetice [infrastructura definita de art. 5 lit. g) din lege ca fiind un sistem informatic, aplicatii aferente, retele si servicii de comunicatii electronice] in sensul legii supusa controlului de constitutionalitate se suprapune cu notiunea de „acces la un sistem informatic”, reglementata de art. 138 alin. (1) lit. b) si alin. (3) din Codul de procedura penala, care consta in „patrunderea intr-un sistem informatic sau mijloc de stocare a datelor informatice, fie direct, fie de la distanta, prin intermediul unor programe specializate ori prin intermediul unei retele, in scopul de a identifica probe”. De asemenea, in acelasi context, prin date detinute se intelege „datele informatice” reglementate de art. 138 alin. (5) din Codul de procedura penala, care sunt „orice reprezentare de fapte, informatii sau concepte, sub o forma adecvata prelucrarii intr-un sistem informatic, inclusiv un program capabil sa determine executarea unei functii de catre un sistem informatic”. Or, accesul la un sistem informatic in scopul obtinerii acestor date constituie una dintre metodele speciale de supraveghere sau cercetare potrivit art. 138 alin. (13) din Codul de procedura penala, masura care poate fi dispusa doar in conditiile art. 140 (de catre judecator) sau a art. 141 (de catre procuror, pentru o durata de maximum 48 de ore). De asemenea, datele relevante pot fi si cele generate sau prelucrate de catre furnizorii de retele publice de comunicatii electronice sau furnizorii de servicii de comunicatii electronice destinate publicului si retinute de catre acestia, insa si acestea pot fi obtinute doar cu autorizarea judecatorului, conform art. 152 din Codul de procedura penala.
63. Cu privire la cel de-al doilea aspect, legea criticata se limiteaza la a preciza care sunt autoritatile care pot solicita accesul la datele detinute pe baza formularii unei solicitari motivate, fara a reglementa modalitatea in care se realizeaza accesul efectiv la datele detinute, asa incat persoanele ale caror date au fost pastrate sa beneficieze de garantii suficiente care sa le asigure protectia impotriva abuzurilor si a oricarui acces sau utilizari ilicite. Astfel, legea nu prevede criterii obiective care sa limiteze la strictul necesar numarul de persoane care au acces si pot utiliza ulterior datele pastrate si nu stabileste ca accesul autoritatilor nationale la datele stocate este conditionat de controlul prealabil efectuat de catre o instanta judecatoreasca, care sa limiteze acest acces si utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmarit. Garantiile legale privind utilizarea in concret a datelor retinute nu sunt suficiente si adecvate pentru a indeparta teama ca drepturile personale, de natura intima, sunt violate, asa incat manifestarea acestora sa aiba loc intr-o maniera acceptabila (a se vedea in acest sens si Decizia nr. 440 din 3 mai 2012, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 527 din 30 iulie 2012, paragraful 57).
64. Solicitarile de acces la datele retinute in vederea utilizarii lor in scopul prevazut de lege, formulate de catre organele de stat desemnate autoritati in domeniul securitatii cibernetice pentru domeniile lor de activitate, nu sunt supuse autorizarii sau aprobarii instantei judecatoresti, lipsind astfel garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz, precum si impotriva oricarui acces si a oricarei utilizari ilicite a acestor date. Aceasta imprejurare este de natura a constitui o ingerinta in drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si, prin urmare, contravine dispozitiilor constitutionale care consacra si protejeaza aceste drepturi. Lipsa unor astfel de autorizari a fost criticata, printre altele, si de catre Curtea de Justitie a Uniunii Europene prin Hotararea din 8 aprilie 2014, aceasta lipsa echivaland cu insuficienta garantiilor procesuale necesare ocrotirii dreptului la viata privata si a celorlalte drepturi consacrate de art. 7 din Carta drepturilor si libertatilor fundamentale si a dreptului fundamental la protectia datelor cu caracter personal, consacrat de art. 8 din Carta (paragraful 62).
65. In concluzie, in conditiile in care masurile adoptate prin legea supusa controlului de constitutionalitate nu au un caracter precis si previzibil, ingerinta statului in exercitarea drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei, desi prevazuta de lege, nu este formulata clar, riguros si exhaustiv pentru a oferi incredere cetatenilor, caracterul strict necesar intr-o societate democratica nu este pe deplin justificat, iar proportionalitatea masurii nu este asigurata prin reglementarea unor garantii corespunzatoare, consideram ca dispozitiile art. 17 alin. (1) lit. a) din Legea privind securitatea cibernetica a Romaniei incalca prevederile art. 1 alin. (5), art. 26, art. 28 si art. 53 din Constitutie. Asadar, limitarea exercitiului acestor drepturi personale in considerarea unor drepturi colective si interese publice, ce vizeaza securitatea cibernetica, rupe justul echilibru care ar trebui sa existe intre interesele si drepturile individuale, pe de o parte, si cele ale societatii, pe de alta parte, legea criticata nereglementand garantii suficiente care sa permita asigurarea unei protectii eficiente a datelor fata de riscurile de abuz, precum si fata de orice accesare si utilizare ilicita a datelor cu caracter personal (ad similis, Decizia nr. 461 din 16 septembrie 2014, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 775 din 24 octombrie 2014, paragraful 44).
66. In continuarea analizei sale, Curtea observa ca, din coroborarea dispozitiilor art. 2 cu art. 19 si art. 20 din lege, rezulta ca, in cadrul detinatorilor de infrastructuri cibernetice, se creeaza o subcategorie - detinatorii de infrastructuri cibernetice de interes national (ICIN), care, potrivit art. 2 lit. h) din lege, reprezinta infrastructurile cibernetice care sustin servicii publice sau de interes public ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale sau prejudicii grave statului roman ori cetatenilor acestuia. Acestia sunt cuprinsi in Catalogul ICIN, intocmit de Ministerul pentru Societatea Informationala, cu consultarea COSC, la propunerea CNSC sau, dupa caz, a CERT-RO si a ANCOM. Potrivit art. 19 alin. (1), catalogul este aprobat prin hotarare a Guvernului. Identificarea ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metodologia elaborata de Serviciul Roman de Informatii si Ministerul pentru Societatea Informationala si este aprobata prin hotarare de Guvern.
67. Cu privire la aceste aspecte, Curtea apreciaza ca modalitatea prin care se stabilesc criteriile in functie de care se realizeaza selectia infrastructurilor cibernetice de interes national si, implicit, a detinatorilor ICIN nu respecta cerintele de previzibilitate, certitudine si transparenta. Astfel, trimiterea la o legislatie infralegala, respectiv hotarari de Guvern, acte normative caracterizate printr-un grad sporit de instabilitate, pentru reglementarea criteriilor in functie de care devin incidente obligatii in materia securitatii nationale incalca principiul constitutional al legalitatii, consacrat de art. 1 alin. (5) din Constitutie. Optiunea pentru o atare modalitate de reglementare apare cu atat mai nejustificata cu cat intr-o materie similara, cea a identificarii infrastructurilor critice nationale, Ordonanta de urgenta a Guvernului nr. 98/2010 stabileste in chiar continutul sau criteriile intersectoriale de identificare a ICN. Mai mult, prin anexa la actul normativ se aproba lista sectoarelor, subsectoarelor infrastructurii critice nationale/infrastructurii critice europene (ICN/ICE) si autoritatilor publice responsabile (energetic, tehnologia informatiei si comunicatii, alimentare cu apa, alimentatie, sanatate, securitate nationala, administratie, transporturi, industria chimica si nucleara, spatiu si cercetare). Or, in cazul Legii privind securitatea cibernetica, dispozitiile art. 19 fac trimitere la acte normative cu forta juridica inferioara legii, identificarea ICIN realizandu-se pe baza unei metodologii elaborate de Serviciul Roman de Informatii si de Ministerul pentru Societatea Informationala, in baza unei proceduri neprevazute de lege, netransparente, si deci, susceptibila de a fi calificata arbitrara.
68. Prin urmare, Curtea retine ca atat criteriile in functie de care se realizeaza selectia infrastructurilor cibernetice de interes national, cat si modalitatea prin care se stabilesc acestea trebuie prevazute de lege, iar actul normativ de reglementare primara trebuie sa contina o lista cat mai completa a domeniilor in care sunt incidente prevederile legale.
69. Pe de alta parte, Curtea apreciaza ca obligatiile ce decurg din Legea securitatii cibernetice a Romaniei trebuie sa fie aplicabile in exclusivitate persoanelor juridice de drept public sau privat detinatoare sau care au in responsabilitate ICIN (care includ, in baza legii, si administratiile publice), intrucat numai situatiile de pericol cu privire la o infrastructura de interes national pot avea implicatii asupra securitatii Romaniei, prin dimensiunea, dispersia si accesibilitatea unei astfel de infrastructuri, prin efectele economice, evaluate in functie de importanta pierderilor economice si/sau a degradarii produselor sau serviciilor, prin efectele asupra populatiei, evaluate in functie de impactul asupra increderii acesteia sau perturbarea vietii cotidiene, inclusiv prin pierderea unor servicii esentiale. Or, dispozitiile legale in forma supusa controlului de constitutionalitate prezinta un grad mare de generalitate, obligatiile vizand totalitatea detinatorilor de infrastructuri cibernetice, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice, indiferent de importanta acestora care poate viza interesul national sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproportionate asupra micilor operatori, cerintele trebuie sa fie proportionale cu riscurile la care sunt expuse reteaua sau sistemul informatic in cauza si nu trebuie aplicat detinatorilor de infrastructuri cibernetice cu importanta nesemnificativa din punctul de vedere al interesului general. Prin urmare, riscurile vor trebui identificate la nivelul entitatilor care activeaza in domenii esentiale/vitale pentru buna desfasurare a serviciilor publice nationale, care vor decide ce masuri trebuie adoptate pentru a atenua riscurile respective.
70. Pentru motivele expuse mai sus apreciem ca dispozitiile art. 19 alin. (1) si (3) din Legea securitatii cibernetice a Romaniei incalca prevederile art. 1 alin. (5) din Constitutie, intrucat nu respecta cerintele de previzibilitate, stabilitate si certitudine.
71. In continuare, Curtea retine ca dispozitiile art. 20 si art. 21 alin. (2) din legea criticata prevad obligatiile care incumba persoanelor juridice de drept public sau privat care detin sau au in responsabilitate ICIN, printre care sa efectueze anual auditari de securitate cibernetica ori sa permita efectuarea unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit prezentei legi, sa constituie structuri sau sa desemneze persoane responsabile cu prevenirea, identificarea si reactia la incidentele cibernetice, sa notifice imediat, dupa caz, CNSC, CERT-RO, ANCOM ori autoritatile desemnate, in conditiile legii, in domeniul securitatii cibernetice cu privire la riscurile si incidentele cibernetice care, prin efectul lor, pot aduce prejudicii de orice natura utilizatorilor sau beneficiarilor serviciilor lor. De asemenea, in cazul in care au fost notificate riscuri sau incidente cibernetice, detinatorii de ICIN au obligatia sa permita autoritatilor competente sa intervina pentru identificarea si analizarea cauzelor incidentelor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice, sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii.
72. Legea stabileste ca sunt exceptate de la aplicarea acestor dispozitii autoritatile prevazute la art. 10 alin. (1) si (2) din lege, respectiv Serviciul Roman de Informatii, Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor Secrete de Stat, Serviciul de Informatii Externe, Serviciul de Telecomunicatii Speciale si Serviciul de Protectie si Paza. Or, Curtea consideranejustificata aceasta exceptare in conditiile in care si autoritatile enumerate desfasoara activitati in domeniul securitatii nationale, sunt detinatoare de ICIN sau au in responsabilitate ICIN si sunt susceptibile a face obiectul unor atacuri cibernetice.
73. Potrivit dispozitiilor art. 20 alin. (1) lit. c) din lege, persoanele juridice de drept public sau privat care detin ori au in responsabilitate ICIN au obligatia sa permita efectuarea unor auditari de securitate cibernetica la solicitarea motivata a autoritatilor competente. Auditarile sunt realizate de SRI sau de catre furnizori de servicii de securitate cibernetica. Cu alte cuvinte, intrucat SRI este autoritate nationala in domeniul securitatii cibernetice, deci autoritate competenta, potrivit legii, sa solicite persoanelor juridice de drept public sau privat care detin ori au in responsabilitate ICIN efectuarea unor auditari de securitate cibernetica, exista posibilitatea reala ca aceasta institutie sa se afle concomitent in pozitia solicitantului auditului, a celui care efectueaza auditul, a celui caruia i se comunica rezultatul auditului si, in fine, in pozitia celui care constata o eventuala contraventie, potrivit art. 28 lit. e) din lege, si aplica sanctiunea, potrivit art. 30 lit. c) din lege. Or, o atare situatie este inacceptabila intr-o societate guvernata de principiile statului de drept. Dispozitiile legale sunt susceptibile de a genera o aplicare discretionara, chiar abuziva a legii, fiind nepermis ca toate atributiile din domeniul reglementat sa fie concentrate in sarcina unei singure institutii. Curtea apreciaza ca auditul trebuie sa fie efectuat de auditori interni sau de un organism calificat independent care sa verifice conformitatea aplicarii politicilor de securitate cibernetica la nivelul infrastructurilor cibernetice si sa transmita rezultatul evaluarii efectuate autoritatii competente sau punctului unic de contact.
74. Pornind de la definitia notiunii de „audit de securitate cibernetica”, prevazuta in art. 5 lit. d), care stabileste ca aceasta reprezinta o evaluare sistematica, detaliata, masurabila si tehnica a modului in care politicile de securitate cibernetica sunt aplicate la nivelul infrastructurilor cibernetice, precum si emiterea de recomandari pentru minimizarea riscurilor identificate, Curtea retine ca, in acceptiunea legii, aceasta auditare presupune doar o evaluare a politicilor de securitate cibernetica si nicidecum accesul la datele stocate in infrastructurile cibernetice.
75. In ceea ce priveste norma prevazuta de art. 20 alin. (1) lit. h), si anume obligatia de a notifica imediat, dupa caz, CNSC, CERT-RO, ANCOM sau autoritatile desemnate, in conditiile legii, in domeniul securitatii cibernetice cu privire la riscurile si incidentele cibernetice, Curtea considera ca aceasta ar trebui sa stabileasca cu exactitate circumstantele in care este necesara notificarea, precum si continutul notificarii, inclusiv tipurile de date cu caracter personal care ar trebui notificate, si, daca este cazul, in ce masura notificarea si documentele sale justificative vor include detalii privind datele cu caracter personal afectate de un incident specific de securitate (precum adresele IP). Este important sa se tina seama de faptul ca autoritatilor competente in domeniul securitatii retelelor si informatiei ar trebui sa li se permita sa colecteze si sa prelucreze date cu caracter personal in cadrul unui incident de securitate doar daca este strict necesar pentru atingerea obiectivelor de interes public urmarite de lege, cu respectarea principiului proportionalitatii. De asemenea, legea trebuie sa prevada garantii adecvate pentru a se asigura protectia efectiva a datelor prelucrate de autoritatile competente privind securitatea cibernetica si nu trebuie sa excluda obligatia de notificare a cazurilor de incalcare a protectiei datelor cu caracter personal in temeiul legislatiei aplicabile in materie, potrivit art. 21 si 22 din Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date. Analizand, insa, dispozitiile art. 20 alin. (2), Curtea constata ca legiuitorul deleaga atributia sa de legiferare Ministerului pentru Societatea Informationala, ANCOM sau autoritatilor desemnate, in conditiile legii, in domeniul securitatii cibernetice, care vor stabili „cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, care se aproba prin ordine sau decizii emise in termen de 90 de zile de la intrarea in vigoare a legii, de conducatorii autoritatilor sau institutiilor publice respective, publicate in Monitorul Oficial al Romaniei, Partea I”. Trimiterea la acte administrative, cu o forta juridica inferioara legii, intr-un domeniu critic pentru securitatea nationala, cu impact asupra drepturilor si libertatilor fundamentale ale cetatenilor, incalca prevederile constitutionale cuprinse in art. 1 alin. (5) referitoare la principiul legalitatii. O dispozitie legala trebuie sa fie precisa, neechivoca, sa instituie norme clare, previzibile, a caror aplicare sa nu permita arbitrariul sau abuzul. De asemenea, norma trebuie sa reglementeze in mod unitar, uniform, sa stabileasca cerinte minimale aplicabile tuturor destinatarilor sai. Or, atata vreme cat ordinele sau deciziile sunt emise de conducatorii autoritatilor sau institutiilor publice desemnate de lege, apare cu evidenta ca legea relativizeaza in mod nepermis reglementarea acestui domeniu, lasand la latitudinea fiecarei entitati stabilirea, in mod diferentiat, a unor masuri esentiale, precum cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc notificarea. Pe de alta parte, enumerand autoritatile care stabilesc aceste aspecte, legiuitorul omite chiar Consiliul Suprem de Aparare a Tarii, care potrivit art. 9 alin. (1) lit. f) din lege, aproba propunerile COSC privind cerintele minime de securitate cibernetica si politici de securitate cibernetica pentru autoritatile si institutiile publice prevazute la art. 10 alin. (1) si (2) din lege.
76. In concluzie, Curtea constata ca dispozitiile art. 20 alin. (1) lit. c) si lit. h) coroborate cu art. 20 alin. (2) sunt neconstitutionale, intrucat contravin prevederilor art. 1 alin. (3) si (5), art. 26 si art. 28 din Constitutie.
77. Din analiza legii, Curtea retine ca aceasta omite sa reglementeze posibilitatea subiectilor carora le este destinata legea, in sarcina carora au fost instituite obligatii si responsabilitati, de a contesta in justitie actele administrative incheiate cu privire la indeplinirea acestor obligatii si care sunt susceptibile a prejudicia un drept sau un interes legitim.
78. Potrivit art. 21 din Constitutie, orice persoana se poate adresa justitiei pentru apararea drepturilor, libertatilor si intereselor sale legitime. Prin Decizia nr. 1 din 8 februarie 1994, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 69 din 16 martie 1994, Curtea Constitutionala a statuat ca liberul acces la justitie presupune accesul la toate mijloacele procedurale prin care se infaptuieste actul de justitie. S-a considerat ca legiuitorul are competenta exclusiva de a stabili regulile de desfasurare a procesului in fata instantelor judecatoresti, astfel cum rezulta din art. 126 alin. (2) din Constitutie. Totodata, in jurisprudenta sa (Decizia nr. 71 din 15 ianuarie 2009, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 49 din 27 ianuarie 2009), Curtea a retinut ca liberul acces la justitie este pe deplin respectat ori de cate ori partea interesata, in vederea valorificarii unui drept sau interes legitim, a putut sa se adreseze cel putin o singura data unei instante nationale.
79. Pe de alta parte, potrivit art. 6 paragraful 1 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale, orice persoana are dreptul la judecarea in mod echitabil a cauzei sale, de catre o instanta independenta si impartiala, care va hotari asupra incalcarii drepturilor si obligatiilor sale cu caracter civil. Curtea Europeana a Drepturilor Omului a statuat in jurisprudenta sa, cu titlu general, ca art. 6 paragraful 1 din Conventie garanteaza oricarei persoane dreptul de a aduce in fata unei instante orice pretentie referitoare la drepturi si obligatii cu caracter civil (a se vedea Hotararea din 21 februarie 1975, pronuntata in Cauza Golder impotriva Marii Britanii, paragraful 36, si Hotararea din 20 decembrie 2011, pronuntata in Cauza Dokic impotriva Serbiei, paragraful 35). De asemenea, in Hotararea din 26 ianuarie 2006, pronuntata in Cauza Lungoci impotriva Romaniei, paragraful 36, publicata in Monitorul Oficial Romaniei, Partea I, nr. 588 din 7 iulie 2006, s-a aratat ca accesul liber la justitie implica prin natura sa o reglementare din partea statului si poate fi supus unor limitari, atat timp cat nu este atinsa substanta dreptului.
80. Romania este un stat de drept in care, potrivit art. 1 alin. (5) din Constitutie, „respectarea Constitutiei, a suprematiei sale si a legilor este obligatorie”. In conditiile in care art. 20 alin. (1) din Constitutie prevede ca dispozitiile constitutionale privind drepturile si libertatile cetatenilor vor fi interpretate si aplicate in concordanta cu Declaratia Universala a Drepturilor Omului, cu pactele si cu celelalte tratate la care Romania este parte, iar art. 21 din Constitutie consacra liberul acces la justitie, a carei exercitare, potrivit alin. (2), nicio lege nu o poate ingradi, Parlamentul are indatorirea de a legifera norme corespunzatoare pentru asigurarea reala a respectarii acestui drept, in lipsa caruia nu se poate concepe existenta statului de drept, prevazuta prin art. 1 alin. (3) din Constitutie. Fara indeplinirea acestei indatoriri, normele constitutionale mentionate ar avea un caracter pur declarativ, situatie inadmisibila pentru un stat care impartaseste valorile democratice ce fac parte din ordinea publica europeana, asa cum este prefigurat de Conventia Europeana a Drepturilor Omului si de Carta drepturilor fundamentale a Uniunii Europene (in acest sens, este si Decizia Curtii Constitutionale nr. 233 din 15 februarie 2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 340 din 17 mai 2011).
81. Avand in vedere aceste considerente de principiu, Curtea constata ca lipsa oricarei prevederi in continutul legii prin care sa se asigure posibilitatea persoanei ale carei drepturi, libertati sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispozitiile Legii privind securitatea cibernetica a Romaniei de a se adresa unei instante judecatoresti independente si impartiale contravine prevederilor art. 1 alin. (3) si (5), art. 21, precum si art. 6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale.
82. Potrivit dispozitiilor art. 27 alin. (1), monitorizarea si controlul aplicarii prevederilor legii criticate se asigura, potrivit competentelor stabilite prin lege, de catre Camera Deputatilor si Senat, Administratia Prezidentiala, Guvern, CSAT, precum si institutiile si autoritatile publice prevazute la art. 10 alin. (1) si (2), pentru infrastructurile cibernetice proprii sau aflate in responsabilitate, Serviciul Roman de Informatii pentru infrastructurile cibernetice proprii sau aflate in responsabilitate, precum si pentru detinatorii de ICIN persoane juridice de drept public, Ministerul pentru Societatea Informationala, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat.
83. Optiunea legiuitorului de a atribui competente de monitorizare si control al aplicarii prevederilor legale Camerei Deputatilor, Senatului, Administratiei Prezidentiale, Secretariatul General al Guvernului si CSAT-ului, in conditiile in care art. 10 alin. (1) si (2) stabileste autoritatile competente in domeniul securitatii cibernetice privind infrastructurile cibernetice proprii sau aflate in responsabilitate, fara a include in aceasta categorie autoritatile enumerate mai sus, acestea regasindu-se in intregul act normativ in categoria persoane juridice drept public, in sarcina carora incumba respectarea obligatiilor prevazute de lege, denota inconsecventa si genereaza confuzie cu privire la regimul juridic aplicabil acestor institutii. Din interpretarea coroborata a dispozitiilor art. 20 alin. (1) cu cele ale art. 21 alin. (1) lit. a) rezulta ca, pe de o parte, Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT au obligatia, de exemplu, de a permite efectuarea unor auditari de securitate cibernetica efectuate de SRI sau de a notifica CNSC cu privire la riscurile si incidentele cibernetice, pe de alta parte, ele vor monitoriza si controla respectarea acestor obligatii, iar, in cazul neindeplinirii dispozitiilor legale, potrivit art. 28 coroborat cu art. 30 lit. c) din lege, autoritatile isi vor aplica lor insele sanctiuni, ca urmare a constatarii contraventiilor. Curtea constata, asadar, ca legiuitorul eludeaza principiile de drept potrivit carora controlul trebuie efectuat de o entitate independenta, exterioara autoritatii controlate, iar prin normele edictate face iluzorie respectarea obligatiilor referitoare la securitatea cibernetica. Mai mult, dispozitiile in temeiul carora Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT devin agenti constatatori ai savarsirii de contraventii si dispun aplicarea de sanctiuni contraventionale vadesc ignorarea principiilor de drept care guverneaza un stat democratic, respectiv a principiului separatiei puterilor in stat, prevazut de art. 1 alin. (4) din Constitutie si a principiului legalitatii, consacrat de art. 1 alin. (5). Astfel, in virtutea legii criticate, autoritatea legiuitoare, Administratia Prezidentiala, Guvernul sau CSAT, autoritati de rang constitutional ale caror atributii sunt expres prevazute in Legea fundamentala, se subroga in atributii care, potrivit Ordonantei Guvernului nr. 2/2001 privind regimul juridic al contraventiilor (la care legea criticata face, de altfel, trimitere), revin in competenta autoritatilor administratiei publice centrale sau locale.
84. Pe de alta parte, Curtea observa ca legea supusa controlului nu stabileste competente de control si monitorizare fata de toti detinatorii de infrastructuri cibernetice, dispozitiile art. 27 alin. (1) stabilind aceste competente doar in ceea ce priveste persoanele juridice de drept public sau privat, detinatoare de ICIN. Or, in conditiile in care legea prevede, la art. 15, 16 si 17, obligatii si responsabilitati pentru toate persoanele juridice de drept public sau privat detinatoare de infrastructuri cibernetice, iar art. 28 lit.a), b), c) califica drept contraventii nerespectarea respectivelor obligatii, omisiunea legislativa cu privire la autoritatea competenta sa efectueze controlul detinatorilor de infrastructuri care nu sunt calificate ICIN viciaza constitutionalitatea textului legal cuprins in art. 27 alin. (1), din perspectiva art. 1 alin. (5) din Constitutie. Normele edictate in materie contraventionala, atat in ceea ce priveste fapta incriminata, cat si procedura de constatare si sanctionare a acesteia trebuie sa fie clare, precise, previzibile, astfel incat destinatarul lor sa isi poata conforma conduita prescriptiei legale.
85. De asemenea, Curtea retine ca dispozitiile art. 30 din lege contin prevederi referitoare la constatarea contraventiilor si aplicarea sanctiunilor. Curtea face o prima observatie cu privire la confuzia generata de textul legal ca urmare a necorelarii cu prevederile art. 28 care consacra contraventiile savarsite prin nerespectarea dispozitiilor legale. Astfel, Curtea identifica: omisiunea identificarii autoritatii competente sa constate si sa aplice sanctiunea pentru contraventiile prevazute de art. 28 lit.i) si j) savarsite de persoane juridice de drept privat; omisiunea identificarii autoritatii competente sa constate si sa aplice sanctiunea pentru contraventiile prevazute de art. 28 lit. a), i) si j) savarsite de persoane juridice de drept public; sanctionarea contraventionala reglementata de art. 30 lit. c) pentru nerespectarea unor obligatii de catre autoritatile si institutiile publice prevazute la art. 27 alin. (1) lit. a) din lege, cu privire la infrastructurile cibernetice proprii, obligatii de la care acestea erau exceptate, potrivit art. 20 alin. (1) teza a doua [contraventii prevazute de art. 28 lit. e)-h) din lege].
86. In jurisprudenta sa, Curtea Constitutionala a retinut in repetate randuri ca orice act normativ trebuie sa indeplineasca anumite conditii calitative, printre acestea numarandu-se previzibilitatea, ceea ce presupune ca acesta trebuie sa fie suficient de precis si clar pentru a putea fi aplicat (a se vedea, spre exemplu, Decizia nr. 189 din 2 martie 2006, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 307 din 5 aprilie 2006, Decizia nr. 903 din 6 iulie 2010, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 584 din 17 august 2010, sau Decizia nr. 26 din 18 ianuarie 2012, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 116 din 15 februarie 2012). In acelasi sens, Curtea Europeana a Drepturilor Omului a statuat ca legea trebuie, intr-adevar, sa fie accesibila justitiabilului si previzibila in ceea ce priveste efectele sale. Pentru ca legea sa satisfaca cerinta de previzibilitate, ea trebuie sa precizeze cu suficienta claritate intinderea si modalitatile de exercitare a puterii de apreciere a autoritatilor in domeniul respectiv, tinand cont de scopul legitim urmarit, pentru a oferi persoanei o protectie adecvata impotriva arbitrariului. In plus, nu poate fi considerata „lege” decat o norma enuntata cu suficienta precizie, pentru a permite cetateanului sa isi adapteze conduita in functie de aceasta; apeland la nevoie la consiliere de specialitate in materie, el trebuie sa fie capabil sa prevada, intr-o masura rezonabila, fata de circumstantele spetei, consecintele care ar putea rezulta dintr-o anumita fapta (a se vedea Hotararea din 4 mai 2000, pronuntata in Cauza Rotaru impotriva Romaniei, paragraful 52, si Hotararea din 25 ianuarie 2007, pronuntata in Cauza Sissanis impotriva Romaniei, paragraful 66).
87. Asa fiind, Curtea apreciaza ca imprecizia textelor de lege supuse controlului de constitutionalitate, constand in lipsa stabilirii cu suficienta claritate a procedurilor de monitorizare si control, respectiv a celor privind constatarea si sanctionarea contraventiilor, afecteaza, pe cale de consecinta, si garantiile constitutionale si conventionale care caracterizeaza dreptul la un proces echitabil, inclusiv componenta sa privind dreptul la aparare. De altfel, Curtea Europeana a Drepturilor Omului a retinut, in esenta, ca nerespectarea garantiilor fundamentale, care protejeaza presupusii autori ai unor fapte ilicite, in fata posibilelor abuzuri ale autoritatilor desemnate sa ii urmareasca si sa ii sanctioneze, reprezinta un aspect ce trebuie examinat in temeiul art. 6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale (a se vedea, spre exemplu, Hotararea din 4 octombrie 2007, pronuntata in Cauza Anghel impotriva Romaniei, paragraful 68).
88. Pentru ca dreptul la un proces echitabil sa nu ramana teoretic si iluzoriu, normele juridice trebuie sa fie clare, precise si explicite, astfel incat sa il poata avertiza in mod neechivoc pe destinatarul acestora asupra gravitatii consecintelor nerespectarii enunturilor legale pe care le cuprind. In lumina celor enuntate mai sus, Curtea retine ca, in mod evident, prevederile art. 27 alin. (1) si 30 din lege, caracterizate printr-o tehnica legislativa deficitara, nu intrunesc exigentele de claritate, precizie si previzibilitate si sunt astfel incompatibile cu principiul fundamental privind respectarea Constitutiei, a suprematiei sale si a legilor, prevazut de art. 1 alin. (5) din Constitutie si cu dreptul la un proces echitabil, prevazut de art. 21 alin. (3) din Constitutie, precum si de art. 6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale.
89. Potrivit dispozitiilor art. 27 alin. (2) din lege, in cadrul activitatii de monitorizare si control, persoanele desemnate de conducatorii autoritatilor prevazute la art. 27 alin. (1) au dreptul sa solicite declaratii sau orice documente necesare pentru efectuarea controlului, sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura, destinate ICIN, si sa primeasca, la cerere sau la fata locului, informatii sau justificari. Norma cuprinsa in art. 27 alin. (2) lit. b) care permite autoritatilor publice prevazute de art. 10 alin. (1) si (2) din lege sa faca inspectii la orice instalatie, incinta sau infrastructura destinata ICIN, aflata in responsabilitatea lor, presupune accesul la o anumita locatie, cu privire la anumite obiecte, sisteme informatice de stocare, prelucrare si transmitere a datelor, inclusiv a celor cu caracter personal, acces care pune in discutie protectia drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, in masura in care notiunile cu care legea opereaza (instalatii, incinte si infrastructuri) nu sunt in mod predictibil determinate, iar sfera datelor asupra carora se realizeaza controlul este incerta, Curtea apreciaza ca legea criticata nu reglementeaza garantii care sa permita o protectie eficienta impotriva riscurilor de abuz, precum si fata de orice accesare si utilizare ilicita a datelor cu caracter personal. In vreme ce notiunea de infrastructura cibernetica e definita prin lege, notiunea de instalatie folosita in textul de la art. 27 alin. (2) lit. b) poate reprezenta tot un sistem informatic ori o retea sau serviciu de comunicatii electronice, avand in vedere domeniul de reglementare al legii si definitiile cuprinse in aceasta, astfel ca accesul la aceste sisteme informatice nu poate fi permis decat cu autorizarea judecatorului. De asemenea, notiunea de incinta poate semnifica si locul unde se gasesc aceste sisteme informatice, caz in care Curtea retine ca sunt aplicabile dispozitiile privind perchezitia domiciliara prevazuta de art. 157-167 din Codul de procedura penala, in sensul ca aceasta masura nu poate fi dispusa decat de un judecator.
90. Fata de cele prezentate, trimiterea la „respectarea prevederilor legale in vigoare” este una confuza, intrucat nu sunt identificate ca fiind prevederi aplicabile nici dispozitiile Codului de procedura penala, indicate mai sus, si nici prevederile altor acte normative.
91. Prin urmare, considerentele deciziilor Curtii Constitutionale nr. 440/2014 si nr. 461/2014 sunt valabile mutatis mutandis, astfel ca argumentele expuse in prealabil cu privire la neconstitutionalitatea dispozitiilor art. 17 alin. (1) lit. a) din Legea privind securitatea cibernetica a Romaniei sunt pe deplin sustenabile si in ceea ce priveste dispozitiile art. 27 alin. (2) din lege. Asa fiind, Curtea conchide ca acestea incalca prevederile art. 1 alin. (5), art. 26, art. 28 si art. 53 din Constitutie.
92. Dincolo de aspectele punctuale a caror neconstitutionalitate a fost motivata supra, Curtea constata ca intregul act normativ sufera de deficiente sub aspectul respectarii normelor de tehnica legislativa, a coerentei, a claritatii, a previzibilitatii, de natura a determina incalcarea principiului legalitatii, consacrat de art. 1 alin. (5) din Constitutie. Astfel, legea face trimiteri in mai multe cazuri la reglementarea unor aspecte esentiale in economia domeniului reglementat la acte legislative secundare, precum hotarari de Guvern, norme metodologice, ordine sau decizii ori „proceduri stabilite de comun acord”. A se vedea in acest sens dispozitiile art. 15 alin. (2), art. 17 alin. (1) lit. b), art. 19 alin. (1) si (3), art. 20 alin. (2), art. 23 alin. (2), (5) si (6) si art. 30 lit. d) din lege.
93. De asemenea, cu exceptia cazurilor in care trimiterea vizeaza chiar legea securitatii cibernetice, situatie in care s-a folosit sintagma „prezenta lege”, legea foloseste in repetate randuri sintagmele „potrivit legii”, „conform competentelor prevazute de lege” sau „in conditiile legii”, fara a preciza concret la dispozitiile caror legi se face trimiterea. Aceasta situatie se regaseste in cuprinsul art. 7 alin. (1) lit. d), art. 10 alin. (2) si (5), art. 11 alin. (1) lit. j), art. 15 alin. (8), art. 19 alin. (6), art. 20 alin. (1) lit. h), art. 21 alin. (1), art. 21 alin. (2) lit. d), art. 27 alin. (1), art. 27 alin. (2) lit. b) din lege. Cu privire la aceste aspecte, Curtea mentioneaza ca, potrivit art. 39 alin. (1) - Referirea la alt act normativ, din Legea nr. 24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative, „referirea intr-un act normativ la alt act normativ se face prin precizarea categoriei juridice a acestuia, a numarului sau, a titlului si a datei publicarii acelui act sau numai a categoriei juridice si a numarului, daca astfel orice confuzie este exclusa.”
94. Pe de alta parte, Curtea constata ca dispozitiile art. 6 alin. (1), art. 8 alin. (1) si ale art. 10 alin. (1) teza a doua din lege consacra organisme/institutii/autoritati infiintate in baza unor acte normative anterioare, respectiv hotarari ale Guvernului (SNSC si COSC) sau hotarari ale Consiliului Suprem de Aparare a Tarii (CNSC), care au precedat aparitia actului de reglementare primara prin care se stabileste cadrul general de reglementare a domeniului securitatii cibernetice. Astfel, prin adoptarea lor se creeaza confuzie cu privire la stabilirea datei de la care aceste entitati iau fiinta si isi exercita competentele - data adoptarii hotararii de Guvern/hotararii CSAT sau data la care va intra in vigoare Legea securitatii cibernetice in Romania.
95. In ceea ce priveste aspectele referitoare la criteriile de claritate, precizie, previzibilitate si predictibilitate pe care un text de lege trebuie sa le indeplineasca, Curtea constata ca autoritatea legiuitoare, Parlamentul sau Guvernul, dupa caz, are obligatia de a edicta norme care sa respecte trasaturile mai sus aratate. Potrivit art. 8 alin. (4) teza intai din Legea nr. 24/2000, „textul legislativ trebuie sa fie formulat clar, fluent si inteligibil, fara dificultati sintactice si pasaje obscure sau echivoce”, iar potrivit art. 36 alin. (1) din aceeasi lege, „actele normative trebuie redactate intr-un limbaj si stil juridic specific normativ, concis, sobru, clar si precis, care sa excluda orice echivoc, cu respectarea stricta a regulilor gramaticale si de ortografie”.
96. Curtea constata ca prin reglementarea normelor de tehnica legislativa legiuitorul a impus o serie de criterii obligatorii pentru adoptarea oricarui act normativ, a caror respectare este necesara pentru a asigura sistematizarea, unificarea si coordonarea legislatiei, precum si continutul si forma juridica adecvate pentru fiecare act normativ. Astfel, respectarea acestor norme concura la asigurarea unei legislatii care respecta principiul securitatii raporturilor juridice, avand claritatea si previzibilitatea necesara.
97. Pentru toate argumentele prezentate, Curtea constata ca Legea privind securitatea cibernetica a Romaniei este viciata in integralitatea ei, astfel ca obiectia de neconstitutionalitate urmeaza a fi admisa si constatata neconstitutionalitatea actului normativ, in ansamblul sau.
98. In acord cu jurisprudenta sa, Curtea retine ca, in situatia determinata de constatarea neconstitutionalitatii legii in ansamblul sau, pronuntarea unei astfel de decizii are un efect definitiv cu privire la actul normativ, consecinta fiind incetarea procesului legislativ in privinta respectivei reglementari.
99. Pe de alta parte, in conditiile in care prevederile art. 61 alin. (1) din Constitutie stabilesc ca „Parlamentul este organul reprezentativ suprem al poporului roman si unica autoritate legiuitoare a tarii”, competenta de legiferare a acestuia cu privire la un anumit domeniu nu poate fi limitata daca legea astfel adoptata respecta exigentele Legii fundamentale. Prin urmare, optiunea legiuitorului de a legifera in materia in care Curtea Constitutionala a admis o sesizare de neconstitutionalitate cu privire la o lege in ansamblul sau presupune parcurgerea tuturor fazelor procesului legislativ prevazut de Constitutie si de regulamentele celor doua Camere ale Parlamentului (a se vedea in acest sens Decizia Curtii Constitutionale nr. 308 din 28 martie 2012, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 309 din 9 mai 2012).

100. Pentru considerentele aratate, in temeiul art. 146 lit. a) si al art. 147 alin. (4) din Constitutie, precum si al art. 11 alin. (1) lit. A.a), al art. 15 alin. (1) si al art. 18 alin. (2) din Legea nr. 47/1992, cu majoritate de voturi,

CURTEA CONSTITUTIONALA

In numele legii

DECIDE:

Admite obiectia de neconstitutionalitate si constata ca Legea privind securitatea cibernetica a Romaniei este neconstitutionala, in ansamblul ei.
Definitiva si general obligatorie.
Decizia se comunica Presedintelui Romaniei, presedintilor celor doua Camere ale Parlamentului si prim-ministrului si se publica in Monitorul Oficial al Romaniei, Partea I.
Pronuntata in sedinta din data de 21 ianuarie 2015.

PRESEDINTELE CURTII CONSTITUTIONALE, AUGUSTIN ZEGREAN
Magistrat-asistent-sef, Mihaela Senia Costinescu