De ce a cazut Legea securitatii cibernetice. Motivarea Curtii Constitutionale
Curtea Constitutionala a publicat pe site motivarea deciziei prin care judecatorii au respins Legea Securitatii Cibernetice, in ansamblu ei. Decizia a fost luata cu majoritate de voturi. Curtea constata ca legea nu excludea accesarea datelor personale si deschidea posibilitatea unor abuzuri din partea autoritatilor, ca accesul se putea face fara mandat judecatoresc, lipsind garantia unei protectii a datelor impotriva riscurilor de abuz si incalcand astfel drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si ca SRI nu ar trebui sa fie autoritatea nationala in domeniul securitatii cibernetice. In plus, legea facea trimiteri catre acte administrative, cu o forta juridica inferioara, nu reglementa posibilitatea subiectilor carora le era destinata legea de a contesta in justitie actele administrative si incalca si principiul separatiei puterilor in stat.
Descarca de aici textul integral al Deciziei Curtii Costitutionale pe Legea securitatii cibernetice
Decizia si Motivarea Curtii Constitutionale din 21 Ianuarie 2015 asupra Legii privind Securitatea Ciberneti…
- Principalele informatii din motivarea Curtii Constitutionale:
Curtea Constitutionala subliniaza intai de toate ca la data solutionarii cauzei deduse judecatii Curtii Constitutionale, nu exista la nivelul Uniunii Europene un act normativ in vigoare cu privire la securitatea cibernetica. Curtea precizeaza ca la nivelul UE a fost initiata procedura legislativa ordinara de adoptare a unei directive privind masuri de asigurare a unui nivel comun ridicat de securitate a retelelor si a informatiei in Uniune – Directiva NIS (Network and Information Security) dar ca este inca in dezbatere.
- Curtea prezinta cateva prevederi din propunerea de Directiva UE:
„potrivit ‘Expunerii de motive’ a directivei, necesitatea adoptarii actului normativ european consta, pe de o parte, in asigurarea rezilientei si stabilitatii retelelor si a sistemelor informatice, care sunt esentiale pentru definitivarea pietei digitale unice si pentru buna functionare a pietei interne si, pe de alta parte, in asigurarea unei capacitati si unei pregatiri similare la nivelul statelor membre de natura sa ofere o securitate globala a retelelor si a informatiei in cadrul sistemelor interconectate.
Directiva propusa vizeaza urmatoarele obiective: in primul rand, solicita tuturor statelor membre sa se asigure ca este instituit un nivel minim de capacitati nationale prin infiintarea autoritatilor competente in materie de retele si sisteme informatice, sa creeze echipe de interventie in caz de urgenta informatica (Computer Emergency Response Teams-CERT) si sa adopte strategii nationale privind securitatea cibernetica si planurile nationale de cooperare in domeniul vizat; in al doilea rand, autoritatile nationale competente trebuie sa coopereze in cadrul unei retele.
Curtea Constitutionala retine considerentul 41 al preambulului directivei care prevede ca: ‘Prezenta directiva respecta drepturile fundamentale si principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, in special dreptul la respectarea vietii private si a secretului comunicatiilor, dreptul la protectia datelor cu caracter personal,libertatea de a desfasura o activitate comerciala, dreptul de proprietate, dreptul la o cale de atac eficienta in fata unei instante judecatoresti si dreptul de a fi ascultat.Prezenta directiva trebuie pusa in aplicare in conformitate cu aceste drepturi si principii.
- Comparand propunerea Directivei europene cu Legea Securitatii cibernetice, Curtea Constitutionala enumera urmatoarele probleme:
Propunerea de Directiva UE prevede ca „autoritatile competente si punctele unice de contact ar trebui sa fie organisme civile, care sa functioneze integral pe baza controlului democratic, si care nu ar trebui sa desfasoare activitati in domeniul informatiilor, al aplicarii legii sau al apararii si nici sa fie legate organizational in vreun fel de organismele active in aceste domenii”.
In propunerea de Directiva NIS nu se prevede dreptul autoritatilor desemnate de a accesa, la solicitarea motivata, datele stocate in retelele si sistemele informatice, asa cum prevede art.17 alin.(1) lit.a) din legea supusa controlului de constitutionalitate, ci doar obligatia de notificare a riscurilor si incidentelor cibernetice (art.14) si de a se supune auditarii pentru detinatorii de infrastructuri critice (art.15).
- Guvernul avea obligatia de a solicita avizul CSAT atunci cand a elaborat proiectul Legii privind securitatea cibernetica a Romaniei
Curtea mai arata apoi ca „in temeiul dispozitiilor legale, Guvernul avea obligatia de a solicita avizul Consiliului Suprem de Aparare a Tarii atunci cand a elaborat proiectul Legii privind securitatea cibernetica a Romaniei.
- „Pentru argumentele expuse, intrucat in cadrul procedurii legislative, initiatorul nu a respectat obligatia legala, conform careia Consiliul Suprem de Aparare a Tarii avizeaza proiectele de acte normative initiate sau emise de Guvern privind securitatea nationala, Curtea constata ca actul normativ a fost adoptat cu incalcarea prevederilor constitutionale ale art.1 alin.(5) care consacra principiul legalitatii, si ale art.119 referitoare la atributiile Consiliului Suprem de Aparare a Tarii„
De ce nu ar trebui sa fie SRI – autoritatea nationala in domeniul securitatii cibernetice
„In analiza Curtii, optiunea pentru desemnarea in calitate de autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prin necesitatea preintampinarii riscului de a de turna scopul legii securitatii cibernetice in sensul folosirii atributiilor conferite prin aceasta lege de catre serviciile de informatii in scopul obtinerii de informatii si date cu consecinta incalcarii drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, tocmai acest lucru nu evita legea supusa controlului de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC.
Astfel, examinand atributiile stabilite de actul normativ supus controlului, apare cu evidenta intentia legiuitorului de a stabili in competenta CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atat din mediul public, cat si din cel privat. Or, in conditiile in care Centrul National de Securitate Cibernetica constituie o structura militara, in cadrul unui serviciu de informatii, subordonata ierarhic conducerii acestei institutii, deci sub un control direct militar- administrativ, apare cu evidenta ca o atare entitate nu indeplineste conditiile cu privire la garantiile necesare respectarii drepturilor fundamentale referitoare la viata intima, familiala si privata si la secretul corespondentei”.
(…)
Pentru toate aceste argumente, Curtea constata ca dispozitiile art.10 alin.(1) din legea supusa controlului incalca prevederile constitutionale ale art.1 alin.(3) si (5) referitoare la statul de drept si principiul legalitatii, precum si cele ale art.26 si art.28 privind viata intima, familiala si privata, respectiv secretul corespondentei, din perspectiva lipsei garantiilor necesare garantarii acestor drepturi”.
- Legea securitatii cibernetice nu exclude accesarea, prelucrarea si utilizarea datelor cu caracter personal si deschide posibilitatea unor abuzuri din partea autoritatilor
Curtea subliniaza apoi ca „desi legislatia privind protectia datelor cu caracter personal nu este mentionata in mod expres in lege, accesul la datele detinute de persoanele care cad sub incidenta legii, nu exclude accesarea, prelucrarea si utilizarea datelor cu caracter personal. De asemenea, avand in vedere ca infrastructurile cibernetice constau in sisteme informatice, in retele si servicii de comunicatii electronice, care faciliteaza stocarea si transferul de date, apare ca fiind evident ca tipul de date cuprinse in aceste sisteme si retele sunt inclusiv date care privesc viata privata a persoanelor utilizatoare.
Prevederea in temeiul careia accesul se realizeaza cu privire la ‘datele detinute, relevante in contextul solicitarii’ permite interpretarea potrivit careia autoritatilor desemnate de lege trebuie sa li se permita accesul la oricare din datele stocate in aceste infrastructuri cibernetice, daca autoritatile apreciaza ca respectivele date prezinta relevanta. Se remarca, astfel, caracterul nepredictibil al reglementarii, atat sub aspectul tipului de date accesate, cat si al evaluarii relevantei datelor solicitate, de natura sa creeze premisele unor aplicari discretionare de catre autoritatile enumerate in ipoteza normei.
Astfel, datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare si transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de continut. Lipsa unei reglementari legale precise, care sa determine cu exactitate sfera acelor date necesare identificarii evenimentelor survenite in spatiul cibernetic (amenintari, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autoritatilor competente”.
- Accesul la date nu este supus autorizarii sau aprobarii instantei judecatoresti, lipsind garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz
Curtea Constitutionala atrage apoi atentia ca „solicitarile de acces la datele retinute in vederea utilizarii lor in scopul prevazut de lege, formulate de catre organele de stat desemnate autoritati in domeniul securitatii cibernetice pentru domeniile lor de activitate, nu sunt supuse autorizarii sau aprobarii instantei judecatoresti, lipsind astfel garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz precum si impotriva oricarui acces si a oricarei utilizari ilicite a acestor date.
Aceasta imprejurare este de natura a constitui o ingerinta in drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si, prin urmare, contravine dispozitiilor constitutionale care consacra si protejeaza aceste drepturi. (..)
In concluzie, in conditiile in care masurile adoptate prin legea supusa controlului de constitutionalitate nu au un caracter precis si previzibil, ingerinta statului in exercitarea drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei, desi prevazuta de lege, nu este formulata clar, riguros si exhaustiv pentru a oferi incredere cetatenilor, caracterul strict necesar intr-o societate democratica nu este pe deplin justificat, iar proportionalitatea masurii nu este asigurata prin reglementarea unor garantii corespunzatoare, consideram ca dispozitiile art.17 alin.(1) lit.a) din Legea privind securitatea cibernetica a Romaniei incalca prevederile art.1 alin.(5), art.26, art.28, si art.53 din Constitutie„.
- Legea facea trimiteri catre acte administrative, cu o forta juridica inferioara legii, cu impact asupra drepturilor si libertatilor fundamentale ale cetatenilor
„Curtea constata ca legiuitorul deleaga atributia sa de legiferare Ministerului pentru Societatea Informationala, ANCOM sau autoritatilor desemnate, in conditiile legii, in domeniul securitatii cibernetice, care vor stabili ‘cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, care se aproba prin ordine sau decizii emise in termen de 90 de zile de la intrarea in vigoare a legii, de conducatorii autoritatilor sau institutiilor publice respective, publicate in Monitorul Oficial al Romaniei, Partea I’.
Trimiterea la acte administrative, cu o forta juridica inferioara legii, intr-un domeniu critic pentru securitatea nationala, cu impact asupra drepturilor si libertatilor fundamentale ale cetatenilor, incalca prevederile constitutionale cuprinse in art.1 alin.(5) referitoare la principiul legalitatii”.
- Legea nu reglementa posibilitatea subiectilor carora le era destinata legea de a contesta in justitie actele administrative
„Curtea retine ca aceasta omite sa reglementeze posibilitatea subiectilor carora le este destinata legea, in sarcina carora au fost instituite obligatii si responsabilitati, de a contesta in justitie actele administrative incheiate cu privire la indeplinirea acestor obligatii si care sunt susceptibile a prejudicia un drept sau un interes legitim. (…)
Curtea constata ca lipsa oricarei prevederi in continutul legii prin care sa se asigure posibilitatea persoanei ale carei drepturi, libertati sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispozitiile Legii privind securitatea cibernetica a Romaniei de a se adresa unei instante judecatoresti independente si impartiale contravine prevederilor art.1 alin.(3) si (5), art.21, precum si art.6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale”.
- Legea securitatii cibernetice incalca prinncipiul separatiei puterilor in stat
„Din interpretarea coroborata a dispozitiilor art.20 alin.(1) cu cele ale art.21 alin.(1) lit.a), rezulta ca, pe de o parte, Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT au obligatia, de exemplu, de a permite efectuarea unor auditari de securitate cibernetica efectuate de SRI sau de a notifica CNSC cu privire la riscurile si incidentele cibernetice, pe de alta parte, ele vor monitoriza si controla respectarea acestor obligatii, iar, in cazul neindeplinirii dispozitiilor legale, potrivit art. 28 coroborat cu art. 30 lit.c) din lege, autoritatile isi vor aplica lor insele sanctiuni, ca urmare a constatarii contraventiilor Curtea constata, asadar, ca legiuitorul eludeaza principiile de drept potrivit carora controlul trebuie efectuat de o entitate independenta, exterioara autoritatii controlate, iar prin normele edictate face iluzorie respectarea obligatiilor referitoare la securitatea cibernetica.
Mai mult, dispozitiile in temeiul carora Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT devin agenti constatatori ai savarsirii de contraventii si dispun aplicarea de sanctiuni contraventionale vadesc ignorarea principiilor de drept care guverneaza un stat democratic, respectiv a principiului separatiei puterilor in stat, prevazut de art.1 alin.(4) din Constitutie si a principiului legalitatii, consacrat de art.1 alin.(5)”.
Pentru toate argumentele prezentate, Curtea constata ca Legea privind securitatea cibernetica a Romaniei este viciata in integralitatea ei, astfel ca obiectia de neconstitutionalitate urmeaza a fi admisa si constatata neconstitutionalitatea actului normativ, in ansamblul sau.