Apelul către președinte pentru declararea neconstituționalității Legii securității cibernetice

21.12.2014
Print Friendly, PDF & Email

Către domnul Klaus Iohannis, Președintele României

Stimate domnule președinte,

 

Mai multe organizații ale societății civile vă solicită să vă aplecați asupra Legii privind securitatea cibernetică a României, adoptată de Parlamentul României vineri, 19 decembrie 2014 (număr de înregistrare la Senat L580/2014). Legea, în forma adoptată, are probleme fundamentale de concepție, propunând o serie de măsuri cu efect limitativ asupra dreptului la viață privată în zona digitală și încalcă în mod evident reglementările europene discutate astăzi pe subiectul securității informației. Facem precizarea că, înainte să ne adresăm domniei voastre am solicitat tuturor instutuțiilor abilitate (grupurilor parlamentare, Înaltei Curți de Casație și Justiție, Avocatului Poporului) să își exercite atribuțiile legale cu privire la controlul de constituționalitate a priori sesizând Curtea Constituțională a României în acest caz.  Dacă instituțiile enumerate nu vor sesiza Curtea Constituțională vă rugăm să nu promulgați Legea securității cibernetice și să sesizați Curtea Constituțională privind neconstituționalitatea acesteia sau să o trimiteți înapoi Parlamentului pentru o reexaminare.

Vă prezentăm în cele ce urmează motivele solicitării noastre.

Legea contravine din multe puncte de vedere și propunerii de Directivă NIS (Network & Information Security) care pornește de la scopul protecției datelor personale ale cetățenilor și nu de la crearea de noi atribuții pentru serviciile secrete.

În timp ce Directiva NIS are drept scop protejarea sistemelor informatice și a datelor informatice ale cetățenilor, Legea, în forma adoptată, reprezintă un cec în alb care poate fi folosit de serviciile de informații pentru a controla orice persoană de drept privat (SRL, SA, PFA, ONG) care deține un sistem informatic (adica orice calculator sau smartphone). Potențialul pentru abuzuri este, astfel, enorm. Acesta decurge din nenumăratele ambiguități prezente în lege, începând de la definirea vagă a „deținătorilor de sisteme informatice” și continuând cu obligațiile ce le revin celor care cad sub incidența legii.

În ordinea gravității/neconstituționalității lor, vă enumerăm câteva articole din legea securității cibernetice, articole care subminează grav dreptul la viață privată al cetățenilor:

  • Articolul 17 – Toți deținătorii de sisteme cibernetice (adică toate persoanele juridice care au un calculator (vezi subiecții legii în art 2) trebuie să „permită accesul la date” autorităților stipulate în lege (SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO și ANCOM). Accesul se face la simpla „solicitare motivată”, în condițiile în care astăzi, conform Codului de procedură penală, orice acces la sistemele informatice (unde sunt stocate datele informatice) se poate face doar cu autorizarea unui judecător.  Mai mult, accesul la datele de trafic este momentan imposibil pentru organele legal abilitate tocmai deoarece Curtea Constituțională a considerat, prin decizia 440/2014, că un atare acces  nu respectă principiile respectării vieții private. Astfel, considerăm că articolul 17 este vădit neconstituțional.
  • Articolul 16 – Toți deținătorii de sisteme cibernetice, indiferent de mărime, tipul de date colectate sau importanța lor pentru ecosistemul cibernetic,  vor fi obligați să aplice politici de securitate cibernetică, să identifice şi să implementeze măsurile tehnice şi organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Aceasta înseamnă cheltuieli cu audituri de securitate estimate la minim 1500 de euro/an investiți în securitate informatică pentru orice persoană de drept privat.
  • Articolul 10 – Serviciul Român de Informații este desemnat autoritate națională în domeniul securității cibernetice, calitate în care asigură coordonarea tehnică, organizarea și executarea activităților ce privesc securitatea cibernetică a României. În vreme ce Uniunea Europeană propune în directiva NIS ca instituțiile care se ocupă de domeniul securității cibernetice să fie „organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”, Parlamentul României acordă acces nelimitat și nesupravegheat la toate datele informatice deținute de persoane de drept public și privat unei institutii – SRI – care nu îndeplinește niciuna din condițiile de mai sus.

Proiectul de lege privind securitatea cibernetică a fost discutat superficial în vara acestui an, moment în care organizațiile semnatare au propus o serie de modificări la articolele ce încalcă flagrant drepturile fundamentale ale omului.

În pofida acestor puncte de vedere, legea a fost adoptată tacit (deci fără niciun fel de dezbatere) de Camera Deputaților în luna septembrie, iar vineri, 19 decembrie, a fost aprobată și de Senat,  într-o procedură suspect de rapidă, după ce, cu două zile înainte, Comisia de apărare audiase exclusiv punctele de vedere ale serviciilor de informații.

Punctele de vedere ale societății civile nu au fost luate în seamă, ele nefigurând nici măcar pe site-ul Senatului, la secțiunea dedicată opiniilor cu privire la lege, deși au fost trimise în termenul legal. Există soluții legislative simple (de ex. accesul la datele informatice să se facă doar în condițiile Codului de procedură penală și obligațiile de audit informatic să fie doar către Infrastructurile Cibernetice de Interes Național) pentru cei care doresc o reală securitate informatică în România și nu un regim de control absolut de tip securistic.

Organizațiile semnatare vă cer, Domnule Președinte, să nu promulgați Legea securității cibernetice și să sesizați Curtea Constituțională privind neconstituționalitatea acesteia sau să o trimiteți înapoi Parlamentului pentru o dezbatere reală.

Vă amintim că, în 2014, Curtea Constituțională a României a mai constatat neconstituționalitatea Legii Big Brother și a Legii cartelelor prepay și Wi-Fi cu buletinul. Acestea erau acte normative în ton cu recent adoptata lege a securității cibernetice și care încălcau grav dreptul la viață privată și protecția datelor personale, instituind un regim de supraveghere informatică total nedemocratic, sub pretextul protejării securității naționale.

Faptul că în această vară Curtea Constituțională a declarat neconstituționale două legi care, în esență, încălcau aceleași drepturi ca și legea ce v-a fost trimisă spre promulgare, constitutie un motiv suplimentar serios pentru o dezbatere reală a implicațiilor Legii securității cibernetice și, într-un cadru mai larg, a echilibrului dintre drepturile individuale și securitatea națională pe care România trebuie sa îl asigure prin sistemul său de legi.

Semnatari:

Maria-Nicoleta Andreescu, Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH)

Bogdan Manolea, Asociaţia pentru Tehnologie şi Internet (ApTI)

Mircea Toma, ActiveWatch

Ioana Avădani, Centrul pentru Jurnalism Independent (CJI)

Ștefan Cândea, Centrul Român pentru Jurnalism de Investigație (CRJI)

Vasile Crăciunescu, Geo-spatial.org

Tiberiu Turbureanu, Fundația Ceata

Oana Preda, Centrul de Resurse pentru Participare Publică

Mihail Bumbeș, Miliția Spirituală

Toma Pătrașcu, Asociația Secular Umanistă din România (ASUR)

Gabriel Petrescu, Director Executiv, Fundația pentru o Societate Deschisă

Cătălin Hegheș, Director Executiv  – Asociația Pentru Minți Pertinente AMPER

Ionuț Oprea, Asociația IAB România (Interactive Advertising Bureau)