Legea privind securitatea cibernetică a României a fost supusă controlului de constituționalitate înainte de promulgare în urma sesizării Curții Constituționale a României de către un număr de 69 de deputați. Prin decizia din data de 21 ianuarie 2015, Curtea Constituțională a admis obiecția de neconstituționalitate și a constatat că Legea securității cibernetice este neconstituțională în integralitatea sa. Deși decizia încă nu a fost publicată în Monitorul Oficial, ea a apărut pe site-ul Curții Constituționale, principalele constatări și motive fiind prezentate mai jos.
Cu titlu preliminar, trebuie precizat că obiecția de neconstituționalitate a vizat încălcarea următoarelor prevederi legale și constituționale:
- Art. 1 alin. (3), (4) din Constituție privind statul de drept și obligația respectării Constituției și a legilor;
- Art. 6 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative și art. 1 alin. (5) din Constituție consacrând principiul legalității;
- Art. 26 alin. (1) din Constituție privind viața intimă, familială și privată;
- Art. 23 alin. (1) din Constituție privind inviolabilitatea libertății individuale și a siguranței persoanei și art. 28 din Constituție referitor la secretul corespondenței;
- Art. 148 alin. (2) din Constituție privitor la prioritatea tratatelor constitutive ale Uniunii Europene, precum şi a celorlalte reglementări comunitare cu caracter obligator faţă de dispozițiile contrare din legile interne.
La rândul său, Curtea a constatat o serie de încălcări ale Constituției prin prevederile Legii securității cibernetice, acestea privind chiar mai multe dispoziții decât cele indicate în obiecția de neconstituționalitate.
1. Avizul Consiliului Suprem de Apărare a Țării („CSAT”)
Legea securității cibernetice a fost adoptată cu încălcarea prevederilor constituționale ale art. 1 alin.(5) privind principiul legalității și ale art. 119 referitoare la atribuțiile CSAT, întrucât inițiatorul acestei legi nu a respectat obligația legală de a solicita avizul CSAT în cadrul procedurii legislative. Domeniul Legii securității cibernetice cuprinde securitatea națională a României, astfel că proiectul inițiat de Guvern trebuia avizat de CSAT, potrivit art. 4 lit.d) pct.1 din Legea nr. 415/2002 privind organizarea și funcționarea CSAT.
2. Desemnarea Serviciului Român de Informații („SRI”) ca autoritate națională în domeniul securității cibernetice
Prin art. 10 alin. (1) din Legea securității cibernetice, SRI este desemnat ca autoritate națională în domeniul securității cibernetice, asigurând coordonarea tehnică a Consiliului Operativ de Securitate Cibernetică și a organizării și executării activităților care privesc securitatea cibernetică a României prin Centrul Național de Securitate Cibernetică („CNSC”), departament funcționând în subordinea SRI.
Astfel, potrivit Legii securității cibernetice, toate persoanele juridice de drept public sau privat care dețin sau administrează infrastructuri cibernetice de interes național („ICIN”) sunt obligate să transmită cu celeritate datele privind starea de securitate cibernetică la nivelul acestora către CNSC.
Analizând aceste prevederi din prisma respectării dreptului la viață intimă, familială și privată, a secretului corespondenței și a dreptului la protecția datelor cu caracter personal, prin desemnarea unei autorități care desfășoară activități în domeniul informațiilor și a unei structuri militare din subordinea acesteia ca autorități cu atribuții în domeniul securității cibernetice, Legea securității cibernetice nu oferă garanțiile necesare respectării drepturilor fundamentale anterior precizate. Ori, statul de drept consacră o serie de garanții, inclusiv jurisdicționale, care să asigure respectarea drepturilor și libertăților cetățenilor prin autolimitarea statului, respectiv încadrarea autorităților publice în coordonatele dreptului.
De asemenea, Curtea invocă și proiectul Directivei NIS (Network and Information Security) care prevede ca autoritățile competente și punctele unice de contact național în domeniul securității rețelelor și a sistemelor informatice să fie reprezentate de organisme civile, care să funcționeze integral pe baza controlului democratic și nu autorități cu atribuții administrativ-militare.
Prin urmare, aceste prevederi încalcă art. 1 alin. (3) și (5) din Constituție referitoare la statul de drept și principiul legalității, precum și art. 26 și art. 28 din Constituție privind viața intimă, familială și privată, respectiv secretul corespondenței.
3. Sfera de incidență a normelor cuprinse în Legea securității cibernetice
Prin art. 2 a Legii securității cibernetice, sunt incluse în sfera de incidență a legii utilizatorii de infrastructuri cibernetice, deci toate persoanele juridice care utilizează rețele și servicii de comunicații electronice, fără ca legea să stabilească precis sensul noțiunii de „utilizator”.
Astfel, întrucât sfera de incidență a normelor cuprinse în actul suspus obiecției de neconstituționalitate nu este delimitată în mod neechivoc, Curtea apreciază că acesta nu are un caracter precis și previzibil, încălcându-se art. 1 alin. (5) din Constituție privind principiul legalității.
4. Accesul la datele deținătorilor de infrastructuri cibernetice
Prin art. 17 alin. (1) lit. a), Legea securității cibernetice instituie responsabilitatea deținătorilor de infrastructuri cibernetice de a acorda sprijinul necesar, la solicitarea motivată a SRI, Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Oficiului Registrului Național al Informațiilor Secrete de Stat, Serviciului de Protecție și Pază, Centrului Național de Răspuns la Incidente de Securitate Cibernetică („CERT-RO”) și Autorității Naţionale pentru Administrare şi Reglementare în Comunicaţii („ANCOM”), în îndeplinirea atribuțiilor ce le revin acestora și de a permite accesul reprezentanților desemnați în acest scop la datele deținute, relevante în contextul solicitării.
Având în vedere că această lege nu precizează tipul de date la care se permite accesul și nici modalitatea în care se realizează accesul, Curtea observă că astfel de date pot include și date cu caracter personal, inclusiv date care privesc viața privată a persoanelor utilizatoare, născând premisele unor aplicări discreționare din partea autorităților competente. De altfel, accesul la un sistem informatic în scopul obținerii de date constituie una dintre metodele speciale de supraveghere sau cercetare potrivit art. 138 alin. (13) din Codul de procedură penală, măsuri care pot fi dispuse de judecător sau, în anumite condiții, de către procuror. Legea securității cibernetice nu stabilește că accesul autorităților naționale la datele stocate este condiționat de controlul prealabil efectuat de o instanță judecătorească și nici nu prevede criterii obiective care să limiteze numărul de persoane care au acces la astfel de date.
Într-o atare situație, măsurile prevăzute de legea supusă controlului constituțional nu au caracter precis și previzibil și nici nu creează garanții corespunzătoare privind respectarea drepturilor la viață intimă, familială și privată și la secretul corespondenței. Curtea constată încălcarea prevederilor constituționale ale art. 1 alin. (5), art. 26, art. 28 și art. 53.
5. Lista deținătorilor de ICIN
Legea securității cibernetice stabilește criteriile în funcție de care se realizează selecția ICIN și a deținătorilor ICIN prin trimiterea la acte normative cu forță juridică inferioară legii, identificarea ICIN realizându-se pe baza unei metodologii elaborate de SRI și de Ministerul pentru Societatea Informațională, în baza unei proceduri neprevăzute de lege, netransparente, susceptibilă de a fi calificată arbitrară. Astfel, dispozițiile art. 19 alin. (1) și (3) din Legea securității cibernetice încalcă art. 1 alin. (5) din Constituție privind principiul legalității, întrucât nu respectă cerințele de previzibilitate, stabilitate și certitudine.
6. Obligațiile deținătorilor de ICIN
Persoanele care dețin ICIN au obligația să permită efectuarea de auditări de securitate cibernetică realizate de SRI sau de către furnizori de servicii de securitate cibernetică, cu excepția SRI, Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Oficiului Registrului Național al Informațiilor Secrete de Stat, Serviciului de Telecomunicații speciale și Serviciului de Protecție și Pază. Curtea constată ca nejustificată această exceptare, în condițiile în care și autoritățile mai sus menționate sunt deținătoare de ICIN și sunt susceptibile de a face obiectul unor atacuri informatice. De asemenea, legea criticată creează posibilitatea ca SRI să se afle concomitent în poziția solicitantului de audit, a celui care efectuează auditul, a celui căruia i se comunică rezultatul auditului și a celui care constată eventuala contravenție.
Legea securității cibernetice prevede obligația de a notifica imediat autoritățile desemnate cu privire la riscurile și incidentele cibernetice, dar fără a stabili cu exactitate circumstanțele, conținutul notificării, inclusiv tipul datelor cu caracter personal ce urmează a fi furnizate. De asemenea, legiuitorul deleagă atribuția sa de legiferare Ministerului pentru Societatea informațională, ANCOM sau autorităților desemnate care vor stabili elementele privind notificarea. Astfel, trimiterea la acte administrative, cu o forță juridică inferioară legii, într-un domeniu critic pentru securitatea națională, cu impact asupra drepturilor și libertăților fundamentale ale cetățenilor, încalcă prevederile constituționale cuprinse în art. 1 alin. (5) privind principiul legalității. Art. 20 alin.(1) lit. c) și h) coroborat cu art. 20 alin. (2) contravin de asemenea dispozițiilor constituționale cuprinse în art. 1 alin. (3), art. 26 și art. 28.
7. Contestarea actelor administrative în justiție
Curtea constată că Legea securității cibernetice omite să reglementeze posibilitatea subiecților cărora le este destinată legea, în sarcina cărora au fost instituite obligații și responsabilități, de a contesta în justiție actele administrative prin care li s-au afectat drepturi, libertăți sau interese legitime. Acest lucru contravine art. 1 alin. (3) și (5), art. 21 din Constituție, cât și a art. 6 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale („CEDO”), referitor la dreptul la judecată și la un proces echitabil.
8. Competențe de monitorizare și control
Legiuitorul atribuie competențe de monitorizare și control al aplicării prevederilor legale din domeniul securității cibernetice Camerei Deputaților, Senatului, Administrației Prezidențiale, Secretariatului General al Guvernului și CSAT, dar fără a le cuprinde în lista autorităților competente în domeniul securității cibernetice de la art. 10 alin. (1) și (2), acest lucru denotând inconsecvență și generând confuzie cu privire la regimul juridic aplicabil acestor instituții. La o primă vedere, instituțiile mai sus enumerate, pe de-o parte, par a se supune obligațiilor de auditare de securitate cibernetică ori de notificare cu privire la riscurile cibernetice, iar pe de altă parte, își vor aplica lor însele sancțiuni ca urmare a constatării contravențiilor. Așadar, prin astfel de reglementări se ignoră principiul separației puterilor în stat, prevăzut de art. 1 alin. (4) din Constituție și principiul legalității consacrat de art. 1 alin. (5) din Constituție.
9. Procedurile de monitorizare, control și privind constatarea și sancționarea contravențiilor
Reglementările din Legea securității cibernetice privitoare la constatarea contravențiilor și aplicarea sancțiunilor omit identificarea autorităților competente să constate și să aplice contravențiile săvârșite, și prevăd sancționarea anumitor autorități și instituții pentru nerespectarea unor obligații de la care sunt exceptate prin aceeași lege. Așadar, astfel de reglementări nu sunt suficient de clare și precise pentru a putea fi aplicate.
Drept urmare, legea criticată nu stabilește cu claritate procedurile de monitorizare și control, respectiv privind constatarea și sancționarea contravențiilor, afectând garanțiile constituționale prevăzute de art. 1 alin. (5) privind supremația Constituției și a legilor, art. 21 alin. (3) și art. 6 din CEDO privind dreptul la un proces echitabil.
10. Modalitățile de efectuare a activității de monitorizare și control
În cadrul activității de monitorizare și control, Legea securității cibernetice prevede dreptul persoanelor desemnate de autoritățile competente de a solicita declarații sau orice documente necesare pentru efectuarea controlului, de a face inspecții, inclusiv inopinate, la orice instalație, structură, incintă sau infrastructură, destinate ICN.
Curtea a apreciat că legea criticată nu reglementează garanții care să permită o protecție eficientă împotriva riscurilor de abuz și față de orice accesare și utilizare ilicită a datelor cu caracter personal, astfel că sunt încălcate prevederile constituționale din art. 1 alin. (5), art. 26, art. 28 și art. 53 din Constituție.
Pe lângă toate aceste aspecte punctuale de neconstituționalitate, Curtea apreciază că întregul act normativ prezintă deficiențe în ceea ce privește normele de tehnică legislativă, coerența, claritatea, previzibilitatea, aducând atingere art. 1 alin. (5) din Constituție privind principiul legalității.
UPDATE: Decizia Curții Constituționale nr. 17/2015 asupra admiterii obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României a fost publicată în Monitorul Oficial al României, Partea I, nr. 79 din data de 30 ianuarie 2015.