Secţiuni » Arii de practică
BusinessAchiziţii publiceAfaceri transfrontaliereAsigurăriBankingConcurenţăConstrucţiiCorporateComercialCyberlawEnergieFiscalitateFuziuni & AchiziţiiGamblingHealth & PharmaInfrastructurăInsolvenţăMedia & publicitatePiaţa de capitalProprietate intelectualăTelecomTransporturi
ProtectiveData protectionDreptul familieiDreptul munciiDreptul sportuluiProtecţia consumatorilorProtecţia mediului
LitigationArbitrajContencios administrativContravenţiiDrept penalMediereProcedură civilăRecuperare creanţe
Materii principale: CyberlawDreptul Uniunii EuropeneDrept constituţionalDrept civilProcedură civilăDrept penalDreptul muncii
Cyberlaw
CărţiProfesionişti
SAVESCU & ASOCIATII
 

Legea privind securitatea cibernetică. NECONSTITUȚIONALITATE
02.02.2015 | JURIDICE.ro

JURIDICE - In Law We Trust

În Monitorul Oficial al României, Partea I, nr. 79 din data de 30 ianuarie 2015 a fost publicată Decizia Curții Constituționale nr. 17/2015 asupra admiterii obiecţiei de neconstituţionalitate a dispoziţiilor Legii privind securitatea cibernetică a României.

Obiecţia de neconstituţionalitate a dispoziţiilor Legii privind securitatea cibernetică a României a fost formulată de un număr de 69 de deputaţi.

Obiectul controlului de constituţionalitate, astfel cum rezultă din sesizarea formulată, îl constituie dispoziţiile Legii privind securitatea cibernetică a României.

Din analiza „Expunerii de motive”, secţiunea Consultări efectuate în vederea elaborării proiectului de act normativ, la rubrica Informaţii privind avizarea de către autorităţile competente, Curtea constată că Guvernul menţionează doar avizul Consiliului Legislativ.
Întrucât, în cadrul procedurii legislative, iniţiatorul nu a respectat obligaţia legală, conform căreia Consiliul Suprem de Apărare a Ţării avizează proiectele de acte normative iniţiate sau emise de Guvern privind securitatea naţională, Curtea constată că actul normativ a fost adoptat cu încălcarea prevederilor constituţionale ale art. 1 alin. (5) care consacră principiul legalităţii şi ale art. 119 referitoare la atribuţiile Consiliului Suprem de Apărare a Ţării.

Curtea reține că un element de noutate adus de legea criticată îl constituie desemnarea Serviciului Român de Informaţii ca autoritate naţională în domeniul securităţii cibernetice, calitate în care asigură organizarea şi executarea activităţilor care privesc securitatea cibernetică a României. În acest scop, în structura SRI funcţionează Centrul Naţional de Securitate Cibernetică (CNSC), care a fost constituit, organizat şi funcţionează deja în cadrul SRI, cu personal militar specializat, potrivit unor hotărâri ale Consiliului Suprem de Apărare a Ţării.
De asemenea, noua lege stabileşte obligaţia tuturor persoanelor juridice de drept public sau privat, deţinători de infrastructuri cibernetice de interes naţional (ICIN), de a transmite cu celeritate datele privind starea de securitate cibernetică la nivelul acestora către CNSC, conform competenţelor prevăzute de lege.

Curtea apreciază că, pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, înfiinţarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor şi reţelelor cibernetice, precum şi a informaţiei, care să constituie punctul de contact pentru relaţionarea cu organismele similare din străinătate, inclusiv al cooperării transfrontaliere la nivelul Uniunii Europene, trebuie să vizeze un organism civil, care să funcţioneze integral pe baza controlului democratic, iar nu o autoritate care desfăşoară activităţi în domeniul informaţiilor, al aplicării legii sau al apărării ori care să reprezinte o structură a vreunui organism care activează în aceste domenii.

În analiza Curţii, opţiunea pentru desemnarea în calitate de autoritate naţională în domeniul securităţii cibernetice a unui organism civil, iar nu a unei entităţi militare cu activitate în domeniul informaţiilor, se justifică prin necesitatea preîntâmpinării riscului de a deturna scopul legii securităţii cibernetice în sensul folosirii atribuţiilor conferite prin această lege de către serviciile de informaţii în scopul obţinerii de informaţii şi date cu consecinţa încălcării drepturilor constituţionale la viaţă intimă, familială şi privată şi la secretul corespondenţei. Or, tocmai acest lucru nu evită legea supusă controlului de constituţionalitate prin desemnarea SRI şi a structurii sale militarizate CNSC.

Examinând atribuţiile stabilite de actul normativ supus controlului, Curtea constată ca evidentă intenţia legiuitorului de a stabili în competenţa CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atât din mediul public, cât şi din cel privat. Or, în condiţiile în care Centrul Naţional de Securitate Cibernetică constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidenţă că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţă intimă, familială şi privată şi la secretul corespondenţei.

Ca urmare a celor de mai sus, Curtea constată că dispoziţiile art. 10 alin. (1) din legea supusă controlului încalcă prevederile constituţionale ale art. 1 alin. (3) şi (5) referitoare la statul de drept şi principiul legalităţii, precum şi cele ale art. 26 și art. 28 privind viaţă intimă, familială şi privată, respectiv secretul corespondenţei, din perspectiva lipsei garanţiilor necesare garantării acestor drepturi.

Curtea reţine că, potrivit noii legi, tuturor deţinătorilor de infrastructuri cibernetice le sunt aplicabile dispoziţiile care stabilesc obligația acestora de a acorda sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora, şi „să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării”.

Din perspectiva tipului de date la care se permite accesul, Curte reține că deşi legislaţia privind protecţia datelor cu caracter personal nu este menţionată în mod expres în lege, accesul la datele deţinute de persoanele care cad sub incidenţa legii nu exclude accesarea, prelucrarea şi utilizarea datelor cu caracter personal. Lipsa unei reglementări legale precise, care să determine cu exactitate sfera acelor date necesare identificării evenimentelor survenite în spaţiul cibernetic (ameninţări, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autorităţilor competente. Or, cadrul normativ într-un domeniu atât de sensibil trebuie să se realizeze într-o manieră clară, previzibilă şi lipsită de confuzie, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrariului sau a abuzului celor chemaţi să aplice dispoziţiile legale.

Din perspectiva modalităţii în care se realizează accesul, Curte reține că legea criticată se limitează la a preciza care sunt autorităţile care pot solicita accesul la datele deţinute pe baza formulării unei solicitări motivate, fără a reglementa modalitatea în care se realizează accesul efectiv la datele deţinute, aşa încât persoanele ale căror date au fost păstrate să beneficieze de garanţii suficiente care să le asigure protecţia împotriva abuzurilor şi a oricărui acces sau utilizări ilicite. Astfel, legea nu prevede criterii obiective care să limiteze la strictul necesar numărul de persoane care au acces şi pot utiliza ulterior datele păstrate şi nu stabileşte că accesul autorităţilor naţionale la datele stocate este condiţionat de controlul prealabil efectuat de către o instanţă judecătorească, care să limiteze acest acces şi utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmărit.

În concluzie, în condiţiile în care măsurile adoptate prin legea supusă controlului de constituţionalitate nu au un caracter precis şi previzibil, ingerinţa statului în exercitarea drepturilor constituţionale la viaţă intimă, familială şi privată şi la secretul corespondenţei, deşi prevăzută de lege, nu este formulată clar, riguros şi exhaustiv pentru a oferi încredere cetăţenilor, caracterul strict necesar într-o societate democratică nu este pe deplin justificat, iar proporţionalitatea măsurii nu este asigurată prin reglementarea unor garanţii corespunzătoare, Curte consideră că dispoziţiile art. 17 alin. (1) lit. a) din Legea privind securitatea cibernetică a României încalcă prevederile art. 1 alin. (5), art. 26, art. 28 și art. 53 din Constituţie.

Curtea reţine că atât criteriile în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional, cât şi modalitatea prin care se stabilesc acestea trebuie prevăzute de lege, iar actul normativ de reglementare primară trebuie să conţină o listă cât mai completă a domeniilor în care sunt incidente prevederile legale. Or, dispoziţiile legale în forma supusă controlului de constituţionalitate prezintă un grad mare de generalitate, obligaţiile vizând totalitatea deţinătorilor de infrastructuri cibernetice, constând în sisteme informatice, aplicaţii aferente, reţele şi servicii de comunicaţii electronice, indiferent de importanţa acestora care poate viza interesul naţional sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproporţionate asupra micilor operatori, cerinţele trebuie să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză şi nu trebuie aplicat deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punctul de vedere al interesului general.
Pentru motivele expuse mai sus, Curte apreciază că dispoziţiile Legii securităţii cibernetice a României încalcă prevederile art. 1 alin. (5) din Constituţie, întrucât nu respectă cerinţele de previzibilitate, stabilitate şi certitudine.

Potrivit dispoziţiilor noii legi, persoanele juridice de drept public sau privat care deţin ori au în responsabilitate ICIN au obligaţia să permită efectuarea unor auditări de securitate cibernetică la solicitarea motivată a autorităţilor competente. Auditările sunt realizate de SRI sau de către furnizori de servicii de securitate cibernetică. Cu alte cuvinte, întrucât SRI este autoritate naţională în domeniul securităţii cibernetice, deci autoritate competentă, potrivit legii, să solicite persoanelor juridice de drept public sau privat care deţin ori au în responsabilitate ICIN efectuarea unor auditări de securitate cibernetică, există posibilitatea reală ca această instituţie să se afle concomitent în poziţia solicitantului auditului, a celui care efectuează auditul, a celui căruia i se comunică rezultatul auditului şi, în fine, în poziţia celui care constată o eventuală contravenţie şi aplică sancţiunea. Or, o atare situaţie este inacceptabilă într-o societate guvernată de principiile statului de drept.

În acest sens, dispoziţiile legale sunt susceptibile de a genera o aplicare discreţionară, chiar abuzivă, a legii, fiind nepermis ca toate atribuţiile din domeniul reglementat să fie concentrate în sarcina unei singure instituţii. Curtea apreciază că auditul trebuie să fie efectuat de auditori interni sau de un organism calificat independent care să verifice conformitatea aplicării politicilor de securitate cibernetică la nivelul infrastructurilor cibernetice şi să transmită rezultatul evaluării efectuate autorităţii competente sau punctului unic de contact.

De asemenea, Curte reține că, potrivit art. 21 din Constituţie, orice persoană se poate adresa justiţiei pentru apărarea drepturilor, libertăţilor şi intereselor sale legitime.
Curtea constată că lipsa oricărei prevederi în conţinutul legii prin care să se asigure posibilitatea persoanei ale cărei drepturi, libertăţi sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispoziţiile Legii privind securitatea cibernetică a României de a se adresa unei instanţe judecătoreşti independente şi imparţiale contravine prevederilor art. 1 alin. (3) şi (5), art. 21, precum şi art. 6 din Convenţia pentru apărarea drepturilor omului şi a libertăţilor fundamentale.

Curte reține că monitorizarea şi controlul aplicării prevederilor legii criticate se asigură, potrivit competenţelor stabilite prin lege, de către Camera Deputaţilor şi Senat, Administraţia Prezidenţială, Guvern, CSAT, precum şi instituţiile şi autorităţile publice pentru infrastructurile cibernetice proprii sau aflate în responsabilitate, Serviciul Român de Informaţii pentru infrastructurile cibernetice proprii sau aflate în responsabilitate, precum şi pentru deţinătorii de ICIN persoane juridice de drept public, Ministerul pentru Societatea Informaţională, respectiv ANCOM, după caz, pentru deţinătorii de ICIN, persoane juridice de drept privat.

Sub acest aspect, Curte reține că dispoziţiile în temeiul cărora Parlamentul, Administraţia Prezidenţială, Secretariatul General al Guvernului şi CSAT devin agenţi constatatori ai săvârşirii de contravenţii şi dispun aplicarea de sancţiuni contravenţionale vădesc ignorarea principiilor de drept care guvernează un stat democratic, respectiv a principiului separaţiei puterilor în stat, prevăzut de art. 1 alin. (4) din Constituţie şi a principiului legalităţii, consacrat de art. 1 alin. (5). Astfel, în virtutea legii criticate, autoritatea legiuitoare, Administraţia Prezidenţială, Guvernul sau CSAT, autorităţi de rang constituţional ale căror atribuţii sunt expres prevăzute în Legea fundamentală, se subrogă în atribuţii care, potrivit OG nr. 2/2001 privind regimul juridic al contravenţiilor, revin în competenţa autorităţilor administraţiei publice centrale sau locale.

Curtea constată că întregul act normativ suferă de deficienţe sub aspectul respectării normelor de tehnică legislativă, a coerenţei, a clarităţii, a previzibilităţii, de natură a determina încălcarea principiului legalităţii, consacrat de art. 1 alin. (5) din Constituţie. Astfel, legea face trimiteri în mai multe cazuri la reglementarea unor aspecte esenţiale în economia domeniului reglementat la acte legislative secundare, precum hotărâri de Guvern, norme metodologice, ordine sau decizii ori „proceduri stabilite de comun acord”

Pentru toate argumentele prezentate, Curtea constată că Legea privind securitatea cibernetică a României este viciată în integralitatea ei.

În principal, pentru considerentele arătate, Curtea admite obiecţia de neconstituţionalitate şi constată că Legea privind securitatea cibernetică a României este neconstituţională, în ansamblul ei.

Aflaţi mai mult despre , , , ,

Puteţi publica şi dumneavoastră pe JURIDICE.ro. Publicăm chiar şi opinii cu care nu suntem de acord. Vă rugăm să vă familiarizaţi cu obiectivele şi valorile Societătii de Stiinţe Juridice, despre care puteti ciţi aici.
JURIDICE.ro este o platformă de exprimare. Publicarea nu semnifică asumarea de către noi a mesajului.

Pentru a publica vă rugăm să citiţi Condiţiile de publicare, Politica privind protecţia datelor cu caracter personal şi să ne scrieţi la adresa redactie@juridice.ro!









JURIDICE utilizează şi recomandă SmartBill

JURIDICE gratuit pentru studenţi

Securitatea electronică este importantă pentru avocaţi [Mesaj de conştientizare susţinut de FORTINET]

JURIDICE recomandă e-Consultanta, consultantul tău personal în finanţare


Lasă un răspuns

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.

Important: Descurajăm publicarea de comentarii defăimatoare. Vor fi validate doar comentariile care respectă Politica JURIDICE.ro şi Condiţiile de publicare.