Apelul către liderii de grupuri parlamentare pentru declararea neconstituționalității Legii securității cibernetice

21.12.2014
Print Friendly, PDF & Email

Către:

Domnul Marian Neacșu, Liderul Grupului Parlamentar al Partidului Social Democrat din Camera Deputaților

Domnul Adrian Scutaru, Liderul Grupului Parlamentar al Partidului Național Liberal din Camera Deputaților

Domnul Gheorghe Tinel, Liderul Grupului Parlamentar al Partidului Democrat Liberal din Camera Deputaților

Domnul Dumitru Niculescu, Liderul Grupului Parlamentar al Partidului Poporului din Camera Deputaților

Domnul Mate Andras-Levente, Liderul Grupului Parlamentar al Uniunii Democrate Maghiare din România din Camera Deputaților

Domnul Varujan Pambuccian, Liderul Grupului Parlamentar al minorităților naționale din Camera Deputaților

Domnul Bogdan Ciucă, Liderul Grupului Parlamentar Liberal Conservator din Camera Deputaților

Către Domnul Ilie Sârbu, Liderul Grupului Parlamentar al Partidului Social Democrat din Senat

Domnul Puiu Hașotti, Liderul Grupului Parlamentar al Partidului Național din Senat

Domnul Dumitru Oprea, Liderul Grupului Parlamentar al Partidului Democrat-Liberal din Senat

Domnul Dumitru Pelican, Liderul Grupului Parlamentar Liberal Conservator din Senat

Domnul Marko BeIa, Liderul Grupului Parlamentar al Uniunii Democrate Maghiare din România din Senat

 

Stimați domni,

Mai multe organizații ale societății civile vă solicită ca, în calitatea dumneavoastră de lider de grup parlamentar, să întreprindeți toate demersurie pentru a sesiza Curtea Constituțională a României cu privire la Legea privind securitatea cibernetică a României (număr de înregistrare la Senat L580/2014), întrucât aceasta are probleme fundamentale de concepție, propunând o serie de măsuri cu efect limitativ asupra dreptului la viață privată în zona digitală și încalcă în mod evident reglementările europene discutate astăzi pe subiectul securității informației.

Legea contravine din multe puncte de vedere și propunerii de Directivă NIS (Network & Information Security) care pornește de la scopul protecției datelor personale ale cetățenilor și nu de la crearea de noi atribuții pentru serviciile secrete.

În timp ce Directiva NIS are drept scop protejarea sistemelor informatice și a datelor informatice ale cetățenilor, Legea, în forma adoptată, reprezintă un cec în alb care poate fi folosit de serviciile de informații pentru a controla orice persoană de drept privat (SRL, SA, PFA, ONG) care deține un sistem informatic (adică orice calculator sau smartphone). Potențialul pentru abuzuri este, astfel, enorm. Acesta decurge din nenumăratele ambiguități prezente în lege, începând de la definirea vagă a „deținătorilor de sisteme informatice” și continuând cu obligațiile ce le revin celor care cad sub incidența legii.

În ordinea gravității/neconstituționalității lor, vă enumerăm câteva articole din legea securității cibernetice, articole care subminează grav dreptul la viață privată al cetățenilor:

  • Articolul 17 – Toți deținătorii de sisteme cibernetice (adică toate persoanele juridice care au un calculator (vezi subiecții legii în art 2) trebuie să „permită accesul la date” autorităților stipulate în lege (SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO și ANCOM). Accesul se face la simpla „solicitare motivată”, în condițiile în care astăzi, conform Codului de procedură penală, orice acces la sistemele informatice (unde sunt stocate datele informatice) se poate face doar cu autorizarea unui judecător.  Mai mult, accesul la datele de trafic este momentan imposibil pentru organele legal abilitate tocmai deoarece Curtea Constituțională a considerat, prin decizia 440/2014, că un atare acces nu respectă principiile respectării vieții private. Astfel, considerăm că articolul 17 este vădit neconstituțional.
  • Articolul 16 – Toți deținătorii de sisteme cibernetice, indiferent de mărime, tipul de date colectate sau importanța lor pentru ecosistemul cibernetic, vor fi obligați să aplice politici de securitate cibernetică, să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Aceasta înseamnă cheltuieli de audituri de securitate estimate la minim 1500 de euro/an investiți în securitate informatică pentru orice persoană de drept privat.
  • Articolul 10 – Serviciul Român de Informații este desemnat autoritate națională în domeniul securității cibernetice, calitate în care asigură coordonarea tehnică, organizarea și executarea activităților ce privesc securitatea cibernetică a României. În vreme ce Uniunea Europeană propune în directiva NIS ca instituțiile care se ocupă de domeniul securității cibernetice să fie „organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”, Parlamentul României acordă acces nelimitat și nesupravegheat la toate datele informatice deținute de persoane de drept public și privat unei institutii – SRI – care nu îndeplinește niciuna din condițiile de mai sus.

Proiectul de lege privind securitatea cibernetică a fost discutat superficial în vara acestui an, moment în care organizațiile semnatare au propus o serie de modificări la articolele ce încalcă flagrant drepturile fundamentale ale omului.

În pofida acestor puncte de vedere, legea a fost adoptată tacit (deci fără niciun fel de dezbatere) de Camera Deputaților în luna septembrie, iar vineri, 19 decembrie, a fost aprobată și de Senat,  într-o procedură suspect de rapidă, după ce, cu două zile înainte, Comisia de apărare audiase exclusiv punctele de vedere ale serviciilor de informații.

Punctele de vedere ale societății civile nu au fost luate în seamă, ele nefigurând nici măcar pe site-ul Senatului, la secțiunea dedicată opiniilor cu privire la lege, deși au fost trimise în termenul legal. Există soluții legislative simple (de ex. accesul la datele informatice să se facă doar în condițiile Codului de procedură penală și obligațiile de audit informatic să fie doar către Infrastructurile Cibernetice de Interes Național) pentru cei care doresc o reală securitate informatică în România și nu un regim de control absolut de tip securistic.

Organizațiile semnatare vă cer să sesizați Curtea Constituțională privind neconstituționalitatea Legii securității cibernetice a României.

Vă amintim că, în 2014, Curtea Constituțională a României a mai constatat neconstituționalitatea Legii Big Brother și a Legii cartelelor prepay și a Wi-Fi-ului cu buletinul. Acestea erau acte normative în ton cu recent adoptata lege a securității cibernetice și care încălcau grav dreptul la viață privată și protecția datelor personale, instituind un regim de supraveghere informatică total nedemocratic, sub pretextul protejării securității naționale.

Faptul că în această vară Curtea Constituțională a declarat neconstituționale două legi care, în esență, încălcau aceleași drepturi ca și legea la care ne referim, constitutie un motiv suplimentar serios pentru o dezbatere reală a implicațiilor Legii securității cibernetice și, într-un cadru mai larg, a echilibrului dintre drepturile individuale și securitatea națională pe care România trebuie sa îl asigure prin sistemul său de legi.

Semnatari:

Maria-Nicoleta Andreescu, Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH)

Bogdan Manolea, Asociaţia pentru Tehnologie şi Internet (ApTI)

Mircea Toma, ActiveWatch

Ioana Avădani, Centrul pentru Jurnalism Independent (CJI)

Ștefan Cândea, Centrul Român pentru Jurnalism de Investigație (CRJI)

Vasile Crăciunescu, Geo-spatial.org

Tiberiu Turbureanu, Fundația Ceata

Oana Preda, Centrul de Resurse pentru Participare Publică

Mihail Bumbeș, Miliția Spirituală

Toma Pătrașcu, Asociația Secular Umanistă din România (ASUR)

Gabriel Petrescu, Director Executiv, Fundația pentru o Societate Deschisă

Cătălin Hegheș, Director Executiv  – Asociația Pentru Minți Pertinente AMPER

Ionuț Oprea, Asociația IAB România (Interactive Advertising Bureau)