Judecătorii CCR dau al treilea avertisment SRI: Legea Big Brother 2 este neconstituțională

Judecătorii Curții Constituționale au decis miercuri, cu majoritate de voturi, că legea privind securitatea cibernetică a României este neconstituțională „în ansamblul ei”. Curtea a găsit multe incoerențe și neclarități în lege. Cel mai controversat articol al legii, privind obligația firmelor deținătoare de infrastructuri cibernetice (servere, rețele) de a permite accesul la echipamente serviciilor secrete fără un mandat judecătoresc, a fost de asemenea respins de CCR, din cauza „lipsei garanțiilor legale (autorizarea de către o instanță judecătorească)”.

Aceasta este a treia lege care implică datele personale ale utilizatorilor de comunicații din România, care ar fi ajutat serviciile secrete în munca operativă, însă care pică la CCR din cauză că nu respectă drepturile și libertățile garantate de Constituția României. Anul trecut, judecătorii CCR au respins alte două legi: cea privind obligația furnizorilor de telefonie și internet de a reține 6 luni datele utilizatorilor și cea privind obligația de a solicita datele personale utilizatorilor de cartele telefonice prepay și de rețele wifi publice.

„Curtea a reținut că întregul act normativ suferă de deficiențe sub aspectul respectării normelor de tehnică legislativă, coerență, claritate, previzibilitate, precum și sub aspectul respectării procedurii legislative, prin lipsa avizului Consiliului Suprem de Apărare a Țării”, arată judecătorii CCR.

Judecătorii constituționali au mai constatat că mai multe prevederi ale legii nu respectă Constituția: definirea noțiunii de „deținători de infrastructuri cibernetice” (art.2 din lege), desemnarea Serviciului Român de Informații ca autoritate națională în domeniul securității cibernetice (art.10), lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite accesul reprezentanților autorităților competente la datele deținute, relevante în contextul solicitării (art.17), lipsa reglementării prin lege a criteriilor în funcție de care se realizează selecția infrastructurilor cibernetice de interes național, cât și a modalității prin care se stabilesc acestea (art.19), autoritatea care efectuează auditarea de securitate cibernetică (art.20 lit.c), lipsa reglementării prin lege a circumstanțelor în care este necesară notificarea, precum și a conținutului acesteia (art.20 lit.c), lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autoritățile competente și care sunt susceptibile a prejudicia drepturi sau interese legitime (art.16-23), lipsa predictibilității normelor referitoare la procedurile de monitorizare și control, respectiv a celor privind constatarea și sancționarea contravențiilor (art.27, 28, 30), lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite autorităților competente să efectueze inspecții, inclusiv inopinate, la orice instalație, incintă sau infrastructură (art.27 alin.(2).

De asemenea, Curtea a constatat încălcarea dispozițiilor constituționale cuprinse în art.1 alin.(3), (4) și (5) referitoare la principiul statului de drept, principiul separației puterilor în stat, respectiv principiul legalității, în art.21 alin.(1) și (3) referitor la accesul liber la justiție și dreptul la un proces echitabil, în art.26 privind viața intimă, familială și privată și în art.28 referitor la secretul corespondenței, din perspectiva lipsei garanțiilor necesare respectării acestor drepturi, precum și în art.53 privind restrângerea exercițiului unor drepturi sau al unor libertăți.

Gorghiu (PNL): „Hibele de fond ale legii sunt surmontabile”

„Pentru mine nu este o surpriză că CCR a declarat legea neconstituțională, nu pentru că PNL nu și-ar dori să nu existe garantată siguranța cetățenilor din România, nu că nu ținem cont de contextul internațional în care se află România astăzi, ci am făcut-o pentru că suntem convinși că putem asigura garanții și pentru dreptul la viață și pentru secretul corespondenței, putem oferi garanții constituționale pentru toate. Hibele de fond ale legii sunt surmontabile. Nu trebuie ca o lege de o asemenea amploare să fie discutată în acest moment emoțional”, a declarat Alina Gorghiu, co-președintele PNL, partid care a înaintat sesizarea la CCR.

Legea Big Brother 2 dădea dreptul SRI să acceseze serverele fără mandat judecătoresc

Legea securității cibernetice a României, adoptată de Parlament, prevede printre altele ca toți deținătorii de infrastructuri cibernetice (rețele de comunicații electronice și telefonice) să permită accesul la datele stocate, despre utilizatorii acestor rețele, serviciilor secrete și autorităților cu atribuții în siguranța națională. Aceste autorități nu au nevoie de un mandat emis de o instanță, așa cum se procedează de obicei în astfel de cazuri, ci doar de o „solicitare motivată”, despre care legea nu dă detalii. Legea este inițiată de Guvern, în condițiile în care anul trecut Curtea Constituțională a declarat neconstituționale prevederile a două legi, printre care și cea privind stocarea datelor utilizatorilor de rețele de comunicații, de către furnizori, pe o perioadă de 6 luni.

Prin această lege, serviciile secrete (SRI, SIE, STS, SPP), dar și Ministerul Apărării Naționale, Ministerul Afacerilor Interne, ORNISS, CERT-RO și ANCOM pot avea acces la datele deținute de furnizorii de servicii de internet și telefonie, doar în baza unei „solicitări motivate”.

Cel mai controversat articol din legea respectivă, numărul 17, stabilește că printre atribuțiile deținătorilor de infrastructuri cibernetice (termen definit vag în lege drept infrastructuri din domeniul tehnologiei informației și comunicații, constând în sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice) se numără și: „să acorde sprijinul necesar, la solicitarea motivată a SRI, MApN, MAI, Oficiului Registrului Național al Informațiilor Secrete de Stat, SIE, STS, SPP, CERT-RO și ANCOM, în îndeplinirea atribuțiilor de serviciu ce le revin acestora și să permită accesul reprezentanților desemnați în acest scop la datele deținute, relevante în contextul solicitării”.

Legea elimină astfel necesitatea unui mandat judecătoresc pe care aceste instituții trebuie să îl obțină în prezent pentru a avea acces la datele oricărui sistem informatic susceptibil că este implicat într-o activitate ilegală. De asemenea, legea nu specifică ce formă legală trebuie să aibă această solicitare și ce elemente trebuie să conțină și nici situațiile în care poate fi făcută.

Legea se aplică doar persoanelor juridice publice și private, nu și simplilor cetățeni care dețin un calculator sau o rețea.

Apărarea SRI: nemenționarea mandatului judecătoresc în lege, efect al principiului neredundanței

SRI a emis duminică un punct de vedere la criticile aduse în spațiul public acestei legi, spunând că accesul la echipamentele firmelor care dețin infrastructuri cibernetice se va face doar cu mandat de la un judecător. Cu toate acestea, acest lucru nu este specificat în lege.

Explicația Serviciului a fost că această specificație lipsește din lege, pentru că ea există deja în alte legi – Codul de Procedură Penală, legea siguranței naționale -, iar dacă ar fi fost introdusă și în legea de față, ar fi provocat redundanță legislativă, lucru contrar bunelor practici în tehnica legislației.

SRI a publicat de asemenea și un grafic care ilustrează cum ar funcționa o operațiune SRI în baza legii securității cibernetice.