În data de 21 ianuarie 2015 Curtea Constituțională a analizat în cadrul controlului anterior promulgării, obiecția de neconstituționalitate a prevederilor Legii privind securitatea cibernetică a României. Curtea a constatat astfel că Legea privind securitatea cibernetică este neconstituțională, în ansamblul ei.
Astfel, potrivit comunicatului de presă, Curtea Constituțională a reținut că întregul act normativ încalcă următoarele articole din Constituție:
- 1 alin. (5) din Constituție, care consacră principiul legalității, este încălcat prin deficiențele sub aspectul respectării normelor de tehnică legislativă, coerență, claritate și previzibilitate;
- 119, referitoare la atribuțiile C.S.A.T, este încălcat prin lipsa avizului Consiliului Suprem de Apărare a Tarii;
- 1 alin.(3), (4) și (5) referitoare la principiul statului de drept, principiul separației puterilor în stat, respectiv principiul legalității;
- 21 alin.(1) și (3) referitor la accesul liber la justiție și dreptul la un proces echitabil;
- 26 privind viața intimă, familială și privată;
- 28 referitor la secretul corespondenței;
- 53 privind restrângerea exercițiului unor drepturi sau al unor libertăți.
Prevederi punctuale din Legea securității cibernetice care încalcă Constituția sunt:
- definirea noțiunii de „deținători de infrastructuri cibernetice” (art.2);
- desemnarea Serviciului Român de Informații ca autoritate națională în domeniul securității cibernetice (art.10);
- lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite accesul reprezentanților autorităților competente la datele deținute, relevante în contextul solicitării (art.17);
- lipsa reglementării prin lege a criteriilor în funcție de care se realizează selecția infrastructurilor cibernetice de interes național, cât și a modalității prin care se stabilesc acestea (art. 19);
- autoritatea care efectuează auditarea de securitate cibernetică (art. 20 lit.c));
- lipsa reglementării prin lege a circumstanțelor în care este necesară notificarea, precum și a conținutului acesteia (art. 20 lit.c));
- lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autoritățile competente și care sunt susceptibile a prejudicia drepturi sau interese legitime (art. 16-23);
- lipsa predictibilității normelor referitoare la procedurile de monitorizare și control, respectiv a celor privind constatarea și sancționarea contravențiilor (art. 27, 28, 30);
- lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite autorităților competente să efectueze inspecții, inclusiv inopinate, la orice instalație, incintă sau infrastructură (art.27 alin. (2)).
Această decizie se alătură altor două decizii de neconstituționalitate pronunțate anul trecut, una cu privire la legea privind reținerea datelor de trafic, și cealaltă cu privire la cartelele pre-pay, ambele explicitate de Curte printr-o adresă din septembrie 2014.
În plus, decizia Curții Constituționale este în același spirit cu o recentă opinie a serviciului juridic al Parlamentului European (încă nepublicată oficial), în care se analizează consecinţele hotărârii Curţii de Justiţie în Cauzele C-293-12 şi C-594/12 și în cadrul căreia există o analiză general valabilă cu privire la condiţiile în care dreptul la viaţă privată poate fi limitat prin lege. Aceste condiţii includ:
a) actul normativ de limitare trebuie să prevadă măsuri clare şi precise pentru a limita interferenţa la ceea ce este „strict necesar”, în special prin introducerea unor „măsuri de protecţie minimale” şi „garanţii suficiente”
b) măsurile trebuie să fie limitate în timp iar legea să prevadă o perioadă după care datele obţinute să fie distruse.
c) respectarea principiului proporţionalităţii potrivit art. 52(1) din Carta Drepturilor Fundamentale UE, ceea ce implică (între altele):
i) Aplicarea accesului la date trebuie să fie justificată de existenţa unor suspiciuni fundamentate pe probe care leagă persoana vizată, direct sau indirect, de săvârşirea unor infracţiuni grave;
ii) Măsurile trebuie să fie restrânse la (i) o anumită perioadă de timp, zonă geografică sau cerc de persoane probabil a fi implicate, sau (ii) persoane care ar putea contribui la prevenirea, detectarea sau anchetarea infracţiunilor grave.
iii) Actul normativ trebuie să prevadă criterii obiective în funcţie de care să fie determinate limitele dreptului de acces la date şi utilizarea subsecventă;
iv) Accesul la date al autorităţilor competente trebuie supus unor condiţii substanţiale şi procedurale, având criterii obiective potrivit cărora numărul persoanelor autorizate să aibă acces la date este limitat la strictul necesar;
v) Accesul la date de către autorităţile competente trebuie supus controlului anterior efectuat de o instanţă sau de un organism administrativ independent.