Premium
Curtea Constituţională a României dezbate, miercuri, sesizarea depusă de USR şi Forţa Dreptei privind legea securităţii cibernetice.
"Am atras atenţia încă de la începutul verii, când au fost prezentate proiectele legilor securităţii naţionale, că actuala coaliţie, în frunte cu preşedintele Iohannis, ameninţă libertăţile civile fundamentale ale românilor. Legea securităţii cibernetice, adoptată într-un dispreţ total faţă de principiile şi instituţiile democratice, confirmă ceea ce spuneam şi reprezintă un nou derapaj politic. Nu poţi să obligi sute de mii de furnizorii de servicii tehnice de securitate cibernetică să-şi toarne clienţii şi să ofere pe tavă, fără mandat de la judecător, date şi informaţii private ale acestora. Dreptul la viaţă privată şi libertate de exprimare sunt apărate de Constituţie şi nu putem asista pasivi la această nouă încercare a serviciilor de a intra cu bocancii în vieţile românilor", a declarat preşedintele USR, Cătălin Drulă, citat într-un comunicat de presă.
Conform USR, legea adoptată de PSD-PNL-UDMR pe "repede-înainte" încalcă prevederile constituţionale privind dreptul la viaţă privată şi libertatea de exprimare.
"Sesizarea de către victima unui incident de securitate cibernetică a Platformei Naţionale pentru Raportarea Incidentelor de Securitate Cibernetică (PNRISC) pare a fi benefică, deoarece respectiva platformă este special destinată rezolvării unor astfel de incidente. Dar, din cauza definirii neclare în lege a noţiunii de incident de securitate cibernetică, se poate ajunge la situaţia în care pentru o simplă virusare sau pentru o aparentă virusare (o nefuncţionare normală) a unui laptop orice persoană care are o activitate ce poate fi considerată - de către cine? - ca fiind de interes public să fie obligată să sesizeze PNRISC şi, implicit, să pună laptopul la dispoziţia specialiştilor PNRISC, cu toate datele şi informaţiile cu caracter personal conţinute de acel dispozitiv", se explică în comunicatul citat.
În opinia USR, este vorba despre "o intruziune importantă" în viaţa privată a persoanei, iar deţinătorul laptopului "nu poate opta dacă sesizează sau nu PNRISC, existând obligaţia legală strictă, sancţionată sever cu amendă contravenţională, de a se adresa PNRISC şi, implicit, de a pune la dispoziţia unor terţi o multitudine de date şi informaţii privind viaţa privată".
Totodată, explică USR, articolul din lege care obligă furnizorii de servicii tehnice de securitate cibernetică să pună la dispoziţia autorităţilor date şi informaţii privind incidente, respectiv ameninţări, riscuri sau vulnerabilităţi reia o propunere dintr-un act normativ declarat deja neconstituţional.
"Concret, creează o obligaţie de delaţiune unei categorii de profesionişti care, în mod normal, ar avea obligaţii de confidenţialitate stricte faţă de proprii clienţi. În plus, obligaţia vine fără existenţa unui mandat judecătoresc, fără autorizare expresă", transmite USR.
Potrivit acestui partid, legea nu este corelată cu obligaţiile asumate de România în momentul aderării la Uniunea Europeană şi cu prevederile Tratatului privind funcţionarea UE.
"Practic, avem de-a face cu o extindere a Legii 362/2018 privind asigurarea unui nivel comun ridicat de securitate a reţelelor şi sistemelor informatice de la câteva sectoare critice şi aproximativ 700 de firme şi autorităţi mici şi mari la probabil câteva sute de mii de persoane juridice, aspect considerat excesiv de către legislaţia UE", se susţine în comunicat.
USR mai acuză faptul că legea încalcă prevederile Constituţiei referitoare la principiul securităţii juridice, previzibilităţii şi clarităţii normelor, în condiţiile în care subiecţii actului normativ şi obligaţiile impuse lor sunt "vagi" şi "neclare".
Drept la replică al Ministerului Digitalizării:
Reiterăm faptul că nu există nicio prevedere în Legea securității și apărării cibernetice prin care să se permită statului accesarea telefonului mobil sau a laptopului unei persoane.
Art. 3 din Lege prevede, în mod clar și limitativ, rețelele și sistemele informatice cărora li se aplică prevederile Legii, urmând a se enumera, pe parcursul actului legislativ, setul de drepturi și obligații ale respectivelor subiecte de drept. Obligațiile care sunt incubate acestor subiecte nu se referă nici la stocarea de date cu caracter personal al cetățenilor, nici la accesul fără mandat judecătoresc într-un sistem informatic și nici la alte proceduri intruzive în viața privată a cetățeanului.
Sistemele de notificare prevăzute la art. 21, 22, respectiv la art. 25 nu presupun colectarea de date de conținut, nu presupun extragerea unilaterală și fără autorizare de date și informații de pe un sistem informatic, iar autoritățile care gestionează incidentele de securitate cibernetică semnalate sunt atât operatori de date cu caracter personal (prin efectul legislației privind datele cu caracter personal), cât și autorități cu atribuții expres prevăzute în domeniul securității cibernetice (nepermițându-se crearea de confuziuni de atribuții/ conflicte de competență care să afecteze viața privată a cetățenilor).
Datele vizate de această lege sunt jurnalele sistemelor de stocare, prelucrare şi transmitere a datelor (log-uri), date tehnice sau date de configurare ale sistemelor informatice şi nu includ mesaje ori alte date de conținut.
În situația în care se constată că se impun investigații aprofundate asupra datelor de conținut, accesul la acestea şi orice alte activități care vizează restrângerea unor drepturi şi libertăți se realizează cu respectarea prevederilor legale în vigoare, respectiv în baza unui act de autorizare eliberat de judecător, potrivit legii (Legea nr.51/1991 privind securitatea națională a României, în cazul în care cauza o constituie o problemă de securitate națională, sau Legea nr. 135/2010 privind Codul de procedură penală, dacă problema vizează săvârșirea de infracțiuni informatice sau alte infracțiuni).
De aceea, subliniem faptul că, în acest context, accesul autorităților competente privește „datele deţinute” de către deținătorul de infrastructură cibernetică, relevante în contextul solicitării şi nu „accesul la un sistem informatic” care, așa cum am arătat anterior, se poate face doar în baza unui mandat de securitate naţională, sau mandat de supraveghere tehnică, după caz.
Prin această lege se instituie o conduită participativă a deținătorilor de infrastructuri cibernetice la efortul instituțiilor specializate ale statului de a preveni şi investiga acțiunile
în spațiul cibernetic de natură să afecteze securitatea rețelelor şi infrastructurilor informatice şi, pe cale de consecință, securitatea cibernetică a României.
Mai mult natura infrastructurilor protejate este similară celor prevăzute de actul normativ sus-menționat, acestea reprezentând elemente, sisteme sau componente ale acestora, aflate pe teritoriul național şi care, potrivit specificului, sunt esențiale pentru menținerea funcțiilor vitale ale societății, a sănătății, siguranței, securității, bunăstării sociale ori economice a persoanelor şi a cărui perturbare sau distrugere ar avea un impact semnificativ la nivel național ca urmare a incapacității de a menține respectivele funcții.
Articolul 25 din Lege prevede expres că, prin solicitările formulate de autoritățile prevăzute la art. 10 nu se urmărește obținerea și colectarea de date de conținut, rămânând de interes doar informațiile care pot atesta existența, natura și cauzele unui atac cibernetic.
Autoritățile prevăzute la art. 10 sunt desemnate, prin puterea legii, cu atribuții partajate în domeniul securității cibernetice, conform competenței lor administrative, fiind îndrituite a solicita și primi date privind incidentele de securitate cibernetică doar în limitele atribuțiilor lor legale.
Aceleași autorități dețin deja calitatea de operatori de date cu caracter personal, fiind obligate ca, în scopul prelucrării unor astfel de date adiacente notificărilor și informațiilor privind vulnerabilitățile, riscurile și amenințările, să respecte REGULAMENT nr. 679 din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal şi privind libera circulație a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecția datelor).
Solicitarea de informații privind incidentele de securitate cibernetică reprezintă o formă de colaborare loială între stat, pe de-o parte, și furnizorii de servicii tehnice de securitate cibernetică, pe de altă parte, în scopul furnizării de către stat de asistență și sprijin gratuit pentru prevenirea și combaterea atacurilor cibernetice, scopul final fiind protejarea rețelelor și sistemelor informatice ale persoanelor fizice și juridice, a dreptului de proprietate (fizică și intelectuală), precum și a datelor, imaginilor și altor informații legate de viața privată a persoanelor și stocate pe astfel de rețele și sisteme informatice.
În contextul dificil al războiului de la graniță și al intensificării zilnice a atacurilor cibernetice rusești și din zona Orientului Mijlociu și Asiei Centrale, la adresa infrastructurilor informatice ale statului român, este important ca cetățenii români să știe că Legea securității cibernetice nu reglementează restrângeri de drepturi și libertăți fundamentale de natura intruziunii fără mandat și în mod arbitrar în sistemele și rețelele informatice ale românilor. Legea securității cibernetice rămâne doar să reglementeze un sistem de colaborare interinstituțională care să prevină și să combată eficient atacurile cibernetice. Orice restrângere a exercițiului unor drepturi și libertăți fundamentale pentru rațiuni de securitate cibernetică se poate face numai în limitele cadrului legal (procesual penal și de securitate națională) deja existent. Orice altă activitate de aceasta natură ar constitui infracțiune și se pedepsește conform prevederilor Codului penal.
