De ce a trântit CCR Legea securităţii cibernetice

Curtea Constituţională a arătat că SRI nu este îndreptăţit să coordoneze securitatea cibernetică şi a criticat faptul că pot fi obţinute informaţii fără mandat judecătoresc

Curtea Constituţională a prezentat motivele pentru care a respins Legea securităţii cibernetice, ultima din pachetul legilor Big Brother. Din start, magistraţii CCR spun că securitatea cibernmetică a României nu trebuie coordonată de un organism militar, cum e Serviciul Român de Informaţii (SRI), aşa cum cerea legea trecută în grabă de Parlament, ci de o organizaţie civilă, nemilitarizată.

„Pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înfiinţarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor şi reţelelor cibernetice trebuie să vizeze un organism civil, care să funcţioneze integral pe baza controlului democratic, iar nu o autoritate care desfăşoară activităţi în domeniul informaţiilor, al aplicării legii sau al apărării“, se arată în motivarea CCR, care a fost publicată la numai câteva zile după ce Curtea a anunţat simpla decizie de respingere. De obicei, CCR publică motivarea unei decizii într-un interval de aproximativ 30 de zile.

De asemenea, CCR a mai criticat faptul că Legea securităţii cibernetice oferă puteri foarte mari SRI, instituţie care, practic, culegea informaţii, făcea verificări şi, în plus, tot SRI constata contravenţii şi aplica sancţiuni. „Există posibilitatea reală ca SRI să se afle concomitent în poziţia solicitantului auditului, a celui care efectuează auditul, a celui căruia i se comunică rezultatul auditului şi, în fine, în poziţia celui care constată o eventuală contravenţie şi aplică sancţiunea. Or, o atare situaţie este inacceptabilă într-o societate guvernată de principiile statului de drept“, susţint magistraţii CCR.

Codul Penal, eludat
Judecătorii consituţionalişti au alocat un spaţiu larg şi mult-discutatului articol 17 din lege, care urma să permită accesul reprezentanţilor SRI sau a altor servicii de securitate „la datele deţinute, relevante în contextul solicitării“. Practic, magistraţii arată că ofiţerii nu pot extrage cu penseta doar date ce pun în pericol securitatea României, fără a avea, inevitabil, acces şi la date intime. „Având în vedere că infrastructurile cibernetice constau în sisteme informatice care facilitează stocarea şi transferul de date, apare ca fiind evident că tipul de date cuprinse în aceste sisteme sunt inclusiv date care privesc viaţa privată a persoanelor utilizatoare“, spun magistraţii, după care continuă: „Prevederea în temeiul căreia accesul se realizează cu privire la «datele deţinute, relevante în contextul solicitării» permite interpretarea potrivit căreia autorităţilor desemnate de lege trebuie să li se permită accesul la oricare din datele stocate în aceste infrastructuri cibernetice, dacă autorităţile apreciază că respectivele date prezintă relevanţă“, susţin magistraţii CCR.

„Legea suferă deficienţe“
În acest sens, judecătorii amintesc faptul că „accesul la un sistem informatic în scopul obţinerii de date“ este reglementat de Codul Penal, însă măsura poate fi dispusă doar de către un judecător sau de către procuror, pentru o durată de maximum 48 de ore. Astfel, maguistraţii CCR atrag atenţia că Legea securităţii cibernetice, ce le permite ofiţerilor de informaţii să verifice informaţii fără mandate judecătoresc, ocoleşte Codul Penal. „Legea nu stabileşte că accesul autorităţilor naţionale la datele stocate este condiţionat de controlul prealabil efectuat de către o instanţă judecătorească, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit“, arată magistraţii.

În plus, Curtea arată că legea nu are avizul CSAT – deşi este o lege din domeniul siguranţei naţionale -  şi permite ca unele reglemntări să fie făcute ulterior, prin hotărâri de guvern sau prin norme metodologice, mecansime inferioare unei legi în sine. În final, magistraţii arată că legea a fost scrisă pe genunchi. „Întregul act normativ suferă de deficienţe sub aspectul respectării normelor de tehnică legislativă, a coerenţei, a clarităţii, a previzibilităţii, de natură a determina încălcarea principiului legalităţii“, încheie Curtea.