Data Privacy Blog » viața privată

Facebook, obligată să înceteze urmărirea belgienilor

Andreea Lisievici — Mon, 30 Nov 2015 07:01:17 +0000

Pe 9 noiembrie 2015, o instanță belgiană de prim grad a obligat Facebook (mai exact Facebook Inc., Facebook Ireland Limited şi Facebook Belgium SPRL), sub sancțiunea unei amenzi usturătoare – 250.000 Euro pe zi, să înceteze profilarea prin cookie-uri și social plug-ins a cetățenilor belgieni care nu sunt utilizatori Facebook.

Decizia vine ca urmare a recomandării emise de autoritatea de supraveghere din Belgia pe 13 mai 2015, care conținea o serie de solicitări adresate Facebook cu scopul de a asigura o transparență mai ridicată în ceea ce privește folosirea cookie-urilor și a stopa practica profilării extinse a utilizatorilor și chiar non-utilizatorilor prin cookie-uri (datr) și social plug-ins. Autoritatea a menționat faptul că neimplementarea solicitărilor va fi considerată o încălcare a legii belgiene.

Facebook nu a dat curs solicitărilor, mai ales pe fondul respingerii competenței autorităților din alte state decât Irlanda de a-i reglementa activitatea în Uniunea Europeană, astfel că autoritatea belgiană de supraveghere a inițiat o ordonanță președințială prin care a solicitat întreruperea imediată a încălcării legii de către Facebook.

Instanța a considerat că este competentă să se pronunțe asupra litigiului, contrar apărării Facebook, citând precedentul Google Spain. Urgența măsurii a fost considerată îndeplinită întrucât încălcarea privește drepturi fundamentale, care sunt întotdeauna urgente. De asemenea, încălcarea nu privește drepturile unei singure persoane, ci drepturile unui grup imens, și în plus, datele prelucrate pot avea caracter sensibil. Instanța a constatat că IP-ul și identificatorul unic stocat de Facebook pe terminalul utilizatorilor sunt date cu caracter personal, contrar apărării Facebook că acestea ar identifica doar terminalul.

Pe fond instanța a reținut, asemenea autorității de supraveghere, că Facebook încalcă legea prin întinderea profilării practicate cu privire la persoanele care nu sunt utilizatori ai rețelei sociale, indiferent de scopul în care ar fi prelucrate aceste date. Mai exact, instanța a precizat că Facebook nu poate invoca niciunul din posibilele temeiuri legale pentru prelucrarea prin cookie-uri și social plug-ins a datelor personale ale non-utilizatorilor Facebook, întrucât nu a fost obținut consimțământul acestora şi nici nu există vreun contract cu acestea; mai mult nu există vreo obligație legală de a prelucra aceste date, iar interesul Facebook de a asigura securitatea rețelei nu trece testul proporționalității în comparație cu dreptul fundamental la viață privată a persoanelor fără cont Facebook.

Mai mult, instanța a stabilit că prelucrarea datelor non-utilizatorilor reţelei sociale nu este legală, întrucât aceasta are loc înainte ca cei în cauză să se poată informa complet cu privire la serviciile oferite de Facebook, și chiar împotriva faptului că refuză aceste servicii.

În ceea ce privește nevoia de a asigura securitatea, invocată de Facebook drept motiv pentru prelucrarea cookie-ului de tracking datr, instanța a precizat că „până și un „neinițiat în internet” înțelege că prelucrarea sistematică a cookie-ului datr în sine este insuficientă pentru a combate atacurile menționate de Facebook, deoarece infractorii pot foarte simplu să ocolească acest cookie prin software care blochează instalarea cookie-urilor”. În plus, decizia menționează că există metode mai puțin intruzive de a asigura securitatea, ceea ce înseamnă că prelucrarea datelor persoanelor care nu deţin un cont Facebook este disproporționată.

Facebook a declarat că va ataca hotărârea instanţei belgiene, însă acest lucru nu atrage suspendarea automată a executării deciziei.

Despre protecția datelor cu caracter personal și dreptul la viață privată – interviu cu Andreea Lisievici

Țuca Zbârcea & Asociații — Thu, 23 Jul 2015 08:20:46 +0000

Interviu cu Andreea Lisievici, Managing Associate al Țuca Zbârcea & Asociații, publicat de Universul Juridic

Nicolae Cîrstea: Doamna Lisievici, profitând de pretextul pe care apariția lucrării dvs PROTECȚIA DATELOR CU CARACTER PERSONAL ȘI DREPTUL LA VIAȚĂ PRIVATĂ ni-l oferă, aș vrea să vă rog, înainte de toate, să ne devoalați măcar în parte CV-ul dvs și modul cum ați ajuns să vă specializați în „protecția datelor și dreptul la viață privată”.

Andreea Lisievici: Sunt avocat de 9 ani (din care 8 în cadrul Țuca Zbârcea & Asociații), iar înainte de Facultatea de Drept am absolvit un liceu de informatică. Poate și din acest motiv am păstrat un interes destul de ridicat pentru lumea IT, iar domeniul juridic al protecției datelor cu caracter personal a fost o consecință firească fiind printre puținele zone de reglementare care ating în mod direct și necesar lumea tehnologiei (cloud computing, cookies, aplicații mobile, smart metering etc.). Chiar dacă în activitatea profesională nu mă ocup doar de protecția datelor cu caracter personal, în domeniul acesta nu simt că muncesc cu adevărat, tocmai pentru că mi se pare atât de interesant.

Nicolae Cîrstea: Din discuțiile noastre anterioare mi-am dat seama că este un domeniu în care mai degrabă organizațiile fac pași importanți pentru ca activitatea lor să corespundă normelor legale. Cât de prezentă este și unde/cum se aplică această preocupare pentru „protecția datelor” în viața companiilor și în aceea a persoanelor fizice?

Andreea Lisievici: Este adevărat, în primul rând operatorii de date cu caracter personal – atât companii, cât și instituții publice – sunt cei interesați să asigure că prelucrările de date pe care le fac sunt conforme cu prevederile legii. Acest lucru poate să însemne o gamă largă de preocupări în funcție de tipul prelucrării (de exemplu, prelucrarea datelor informatice generate de angajați, plasarea de cookies, folosirea dronelor, CCTV, aplicații mobile de sănătate etc.), însă chestiunile comune se rezumă la identificarea datelor, scopului, mijloacelor și întinderii prelucrării, urmate apoi de stabilirea temeiului legal, de redactarea documentelor necesare (politici interne, notificarea de prelucrare destinată persoanelor vizate) și, nu în ultimul rând, de depunerea notificării de prelucrare pe site-ul autorității de supraveghere. Trebuie spus că orice persoană este, de fapt, un operator de date cu caracter personal, pentru că oricine, fie companie, fie persoană fizică, are măcar un set de date de contact ale unor persoane fizice – cu alte cuvinte prelucrează aceste date cu caracter personal. Asta nu înseamnă și că toată lumea trebuie să depună notificarea aferentă, pentru că există o serie de excepții de la această cerință, între care cele mai des operabile sunt prelucrarea în scop de gestiune economico-financiară și administrativă și evidența datelor de contact (prevăzute în Decizia nr. 100/2007 privind stabilirea cazurilor în care nu este necesară notificarea prelucrării unor date cu caracter personal).

Nicolae Cîrstea: Reglementările în domeniu vin în special pe filieră europeană/a Uniunii Europene în procesul de absorbție a legislației specifice în dreptul intern. Cum se situează România din acest punct de vedere? Suntem „la zi” cu transpunerea în dreptul intern a legislației specifice? Dar cu respectarea/implementarea acesteia.

Andreea Lisievici: Protecția datelor cu caracter personal este un domeniu în principiu armonizat la nivelul Uniunii, ceea ce înseamnă că există o serie de acte europene care ar trebui să asigure o reglementare uniformă, care însă lasă unele aspecte pentru reglementarea națională. În momentul de față reglementarea europeană este asigurată de directive, care au fost transpuse în legislația națională de fiecare stat membru – inclusiv România. Totuși, acest lucru s-a dovedit insuficient, în prezent existând o varietate de implementări naționale ale aceleiași reglementări europene. De exemplu, situațiile în care se face notificarea de prelucrare – în unele state nu se face deloc; modul în care se face notificarea – în funcție de scop, sau în funcție de baza de date constituită; incidența autorizării în cazul transferului de date în temeiul Safe Harbor – în unele state este aplicabilă, în altele nu cum este cazul României etc. Acesta este unul din motivele pentru care reglementarea va fi reformată prin adoptarea unui regulament european, însă chiar și acesta lasă unele aspecte la latitudinea statelor membre.
Din păcate, în România activitatea normativă a autorității de supraveghere este scăzută în comparație cu alte state membre. Având în vedere interesul în creștere pentru cerințele și drepturile decurgând din legislația datelor cu caracter personal, este de dorit ca implicarea autorității prin emiterea unor acte de interpretare ori de aplicare în cazul unor situații specifice să crească. Tocmai de aceea la nivelul AmCham am lucrat la începutul anului la o propunere de ghid cu privire la cloud computing^{^[1]}, care a fost supus analizei autorității. Abordări similare sunt totuși necesare în multe alte nișe.

Nicolae Cîrstea: Până unde poate merge/până unde pot fi incidente normele din domeniu privind viața privată și protecția datelor cu caracter personal? Ne puteți da câteva exemple de situații unde se aplică/se poate aplica această legislație?

Andreea Lisievici: Răspunsul simplu ar fi că există o componentă de date cu caracter personal aproape peste tot: în achizițiile de societăți sau de afaceri, în externalizarea unor servicii, în publicitatea comportamentală și profilarea online, în indexarea unor informații de pe internet, în afișarea rezultatelor la diverse concursuri și examene, în filmarea cu un GoPro pe șosea, stradă sau pârtie de schi, chiar în simpla deținere a unor contacte în telefonul propriu, ca să nu mai spun de situația aplicațiilor de Facebook care solicită lista prietenilor.

Nicolae Cîrstea: Din răspunsul dvs îmi dau seama că sunt zone cu care lucrăm fiecare dintre noi zi de zi, dar de care nu suntem neapărat conștienți că ar trebui să respecte reglementări specifice. Suntem – ca și companii și persoane care operăm/trăim în Romania – conștienți de aceste reglementări?

Andreea Lisievici: În ultimii ani am văzut o conștientizare și o preocupare tot mai mare pentru respectarea condițiilor în care se prelucrează datele cu caracter personal. Din fericire, atât autoritățile de protecție la nivel național, cât și Grupul de Lucru Art. 29 pun accent din ce în ce mai mare pe obligația de informare, astfel încât persoanele vizate de prelucrare să afle, în termeni simpli și clari, ce date li se cer și în ce scop. Cu toate acestea, există multe zone gri care necesită analiză de la caz la caz.
Ultimele sondaje chiar la nivelul Uniunii Europene arată că persoanele devin din ce în ce mai conștiente de faptul că datele lor cu caracter personal sunt folosite, fiind interesate de întinderea, scopul și durata în care acest lucru are loc. Potrivit eurobarometrului cu privire la protecția datelor dat publicității în iunie 2015^{^[2]}, 71% din respondenții români au declarat că sunt îngrijorați de faptul că datele lor pot fi folosite într-un alt scop decât cel pentru care au fost colectate, fără a fi informați, iar 30% au declarat că nu cred că dețin niciun control asupra informațiilor pe care le furnizează online. Totuși, 54% au declarat că furnizarea datelor personale nu este o problema majoră, iar 44% au declarat că nu sunt deranjați de furnizarea informațiilor personale în schimbul serviciilor gratuite.

Nicolae Cîrstea: Care este entitatea statală care reglementează această zonă? Au fost aplicate sancțiuni pentru nerespectarea legislației?

Andreea Lisievici: Autoritatea în domeniu este Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). În iunie Autoritatea tocmai a sărbătorit 10 ani de existență, întrucât până în 2005 competența aparținea Avocatului Poporului.
Sancțiuni sunt, bineînțeles. Chiar recent Autoritatea a făcut o investigație tematică privind utilizarea modulelor cookies și a aplicat amenzi în cuantum total de 68.500 lei pentru lipsa acordului utilizatorului pentru cookie-urile plasate de diverse site-uri și nefurnizarea informațiilor anterior exprimării acordului privind scopul general al procesării informațiilor stocate, durata de viață, ce informații sunt stocate și accesate precum și permiterea stocării și/sau accesului unor terți la informațiile stocate în echipamentul terminal al utilizatorului [art. 13 alin. (1) lit. i) din Legea nr. 506/2004]. Spre deosebire, în tot anul 2013 au fost aplicate amenzi în cuantum de 134.500 de lei.

Nicolae Cîrstea: Care sunt sancțiunile/amenzile aplicate și cuantumul lor? Sunt procese/decizii definitive în România sau în străinătate pe acest segment?

Andreea Lisievici: Din ce am observat în comunicatele Autorității, cea mai mare sancțiune (făcută publică) este în cuantum de 15.000 de lei, și a fost aplicată unui operator persoană fizică care prelucra date prin intermediul site-ului www.clientineseriosi.ro, prin care punea la dispoziția terților, inclusiv a utilizatorilor de Internet, date aparținând unor persoane fizice considerate a fi clienți rău-platnici ai diverselor entități, fără să poată face dovada colectării informațiilor personale cu bună-credință și cu respectarea principiilor de legitimitate a prelucrării datelor, în contextul colectării și ulterior dezvăluirii datelor pe Internet și către terți, fără consimțământul expres al persoanelor vizate și fără respectarea dreptului lor de informare prealabilă. Sancțiunea a avut în vedere, în plus, omisiunea de a notifica prelucrarea, precum și neîndeplinirea obligațiilor de confidențialitate. Pe lângă amendă a fost dispusă încetarea prelucrării datelor cu caracter personal și ștergerea acestora.
De-a lungul timpului sancțiunile nu au privit doar entități private. Dimpotrivă, Autoritatea a sancționat chiar și instituții publice – Direcția Generală Regională a Finanțelor Publice Brașov a fost sancționată pentru că nu a luat măsurile necesare pentru a împiedica pierderea sau accesul neautorizat la datele cu caracter personal pe care le gestionează; Primăria Gherghești (județul Vaslui) a fost sancționată pentru neîndeplinirea obligațiilor determinate de folosirea unui sistem de supraveghere video; Consiliul Superior al Magistraturii a fost sancționat pentru încălcarea dreptului de intervenție al unui magistrat în raporturile cu CSM, întrucât acesta nu a răspuns cererii magistratului de ștergere a datelor sale personale (referiri la trăsături de personalitate și comportament) din Raportul Inspecției judiciare, postat pe site-ul CSM, în condițiile în care dezvăluirea publică a respectivului raport este de natură să aducă atingere vieții private a persoanei respective; Direcția Sanitar Veterinară și Pentru Siguranța Alimentelor Botoșani a fost sancționată pentru prelucrarea nelegală a datelor cu caracter personal, întrucât au fost dezvăluite date cu caracter personal ale unui petent fără acordul acestuia și a fost nerespectat dreptul de intervenție întrucât nu s-a transmis un răspuns petentului în termenul legal de 15 zile; ș.a.
În ceea ce privește litigiile în domeniu, acestea privesc contestarea deciziilor de sancționare emise de Autoritate. În general, sancțiunile dispuse de Autoritate au fost menținute de instanțe.

Nicolae Cîrstea: La Țuca, Zbârcea și Asociații am văzut că ați avut inițiativa organizării unor mese rotunde. Ce v-ați propus când ați programat acest eveniment și ce participanți au onorat invitația?

Andreea Lisievici: Am organizat deja un seminar dedicat protecției datelor cu caracter personal în data de 16 iunie. Fiind primul, nivelul lui nu a fost foarte avansat, ci ne-am axat pe prezentarea obligațiilor și a unor bune practici în diverse domenii (accesul la datele generate de angajați, spam, cloud computing etc.). Ne-am dorit un eveniment la care participanții să poată interveni și să avem discuții deschise, astfel că numărul de locuri a fost strict limitat la 25. Din acest motiv există deja o listă de așteptare cu cei care doresc să fie prezenți la edițiile viitoare ale seminarului. Participanții au reprezentat companii private, atât românești cât și internaționale, din varii sectoare ale industriei, de la societăți active în domeniul energiei, la companii farma, FMCG, IT&C, instituții financiar-bancare și companii de asigurări, evenimentul fiind gândit ca unul de business, adresat operatorilor de date.
Trebuie să spun că seminarul s-a dovedit a fi peste așteptări – participanții au fost foarte activi și au împărtășit inclusiv din activitatea lor, au pus întrebări foarte practice, iar experiența, per ansamblu, a fost una extrem de plăcută.

Nicolae Cîrstea: Care au fost concluziile? Discuțiile/dezbaterile au relevat un interes pentru acest domeniu? Aveți în vedere să reluați acest eveniment?

Andreea Lisievici: Concluzia principală a fost că există o nevoie în creștere de informare și consultanță în domeniul datelor cu caracter personal, fiindcă apar tot mai multe situații practice al căror regim juridic este neclar ori interpretabil, iar companiile diligente caută să stabilească ori să urmeze o bună practică în domeniu. Vom încerca să repetăm evenimentul, având în vedere atât solicitările exprese în acest sens, cât și sugestiile tematice făcute de participanții anteriori. Cu siguranță este mai dificil să punem în acord programul tuturor celor 5 speakeri decât să găsim auditori interesați de domeniul datelor cu caracter personal.

Nicolae Cîrstea: Creșterea interesului pentru protecția datelor cu caracter personal/protecția vieții private se datorează internetului și motoarelor de căutare, rețetelor sociale etc. care activează în interiorul acestuia (internetului)? Care este impactul internetului din acest punct de vedere?

Andreea Lisievici: În prezent asistăm la multiplicarea și intensificarea problematicii datelor cu caracter personal tocmai datorită faptului că internetul devine o utilitate, iar tehnologia cunoaște o zonă de dezvoltare cu totul nouă – Internet of things. Asistăm la conectarea a tot mai multe „lucruri” – telefoane, mașini, case, sisteme de măsurare, cloud computing, social media etc., toate implicând și transmiterea de date cu caracter personal. În momentul de față o simplă navigare pe internet presupune oferirea unor date care pot conduce, indirect și eventual treptat, la identificarea unei persoane. În materia aplicațiilor mobile este deja o realitate că aplicațiile gratuite solicită o sumedenie de date personale tocmai ca un fel de „plată”, iar un număr mare de utilizatori bifează că sunt de acord cu politica de folosire a datelor fără ca, în realitate, s-o citească.
În materie de încredere este interesant de observat că, potrivit eurobarometrului, serviciile online (motoare de căutare, rețele online, webmail) se bucură de cea mai mică încredere – doar 24%, ceea ce înseamnă că aici mai este foarte mult de lucru pentru câștigarea încrederii publicului. Cum serviciile online în sensul cel mai larg, de internet of things, nu fac decât să se amplifice și ramifice, efortul va trebui să privească deopotrivă latura normativă (unde Uniunea este într-un stadiu destul de avansat în ce privește reforma directivei cu privire la prelucrarea datelor personale), latura de implementare (unde va fi nevoie din ce în ce mai mult de implicarea autorității de reglementare), cât și latura de educare și de informare, atât a publicului cât și a operatorilor (parte unde încercăm să participăm și noi).

Nicolae Cîrstea: Vă mulțumesc pentru disponibilitatea dvs de a împărtăși cu noi idei despre un segment existent și anterior pe care însă creșterea internetului l-a făcut să-l conștientizăm mai mult!

Andreea Lisievici: Și eu vă mulțumesc!

^{^[1]} http://www.amcham.ro/UserFiles/committeePaper/Ghid%20Cloud%20Computing_Final-EN_05151246.pdf.
^{^[2]} http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_fact_ro_ro.pdf.

Consiliul ONU pentru Drepturile Omului a numit un raportor special cu privire la dreptul la viaţă privată

Țuca Zbârcea & Asociații — Fri, 17 Apr 2015 10:45:25 +0000

În data de 24 martie 2015, Consiliul pentru Drepturile Omului al Organizației Națiunilor Unite a adoptat o rezoluţie prin care a înfiinţat o nouă funcţie – cea de raportor special privind dreptul la viață privată, cu un mandat de trei ani.

Scopul raportorului special este promovarea și protejarea dreptului la viață privată la nivel global, în susţinerea articolului 12 din Declarația Universală a Drepturilor Omului și a articolului 17 din Pactul internațional cu privire la drepturile civile și politice. Persoana care va deţine funcţia de Raportor special urmează a fi numită în luna iunie 2015.

Sarcinile Raportorului vor include:

Colectarea de informații cu privire la evoluțiile internaționale în materia dreptului la viaţă privată, inclusiv provocări decurgând din folosirea noilor tehnologii;
Transmiterea de recomandări Consiliului cu privire la promovarea unei mai bune protecții a vieții private în fața creșterii provocărilor în era digitală;
Raportarea cu privire la orice încălcări ale dreptului la viață privată prevăzut la articolul 12 din Declarația Universală a Drepturilor Omului și articolul 17 din Pactul internațional cu privire la drepturile civile și politice;
Primirea și răspunsul la informațiile culese de ONU și toate agențiile sale;
Participarea și contribuția la orice conferințe internaționale relevante; și
Transmiterea unui raport anual către Consiliu și Adunarea Generală.

Este pentru prima dată în istoria ONU când un expert independent este însărcinat să monitorizeze şi să investigheze problematica vieţii private şi presupusele încălcări ale acestui drept de către statele lumii, arătând preocuparea sporită a ONU în domeniul protecţiei vieţii private. De altfel, înfiinţarea acestei noi funcţii vine după ce anul trecut ONU a publicat raportul The Right to Privacy in the Digital Age, în care subliniază impactul negativ al supravegherii în masă asupra dreptului la viață privată. Deloc surprinzător, rezoluţia a fost promovată de Germania şi Brazilia, ţări ale căror lideri au fost implicaţi în presupuse supravegheri de către NSA, fiind apoi susţinută de peste 60 de alte ţări, dar şi de peste 90 de ONG-uri.

Drept urmare, este sigur că activitatea Raportorul special va fi una importantă, auspiciile ONU asigurându-i o veritabilă calitate de lider la nivel global în domeniul privacy, cu o vizibilitate mult mai largă decât, de exemplu, Grupul de Lucru Articolul 29 din Europa sau alte organisme similare.

Motivarea deciziei de neconstituționalitate a Legii securității cibernetice

Mihaela Truică — Thu, 29 Jan 2015 16:19:32 +0000

Legea privind securitatea cibernetică a României a fost supusă controlului de constituționalitate înainte de promulgare în urma sesizării Curții Constituționale a României de către un număr de 69 de deputați. Prin decizia din data de 21 ianuarie 2015, Curtea Constituțională a admis obiecția de neconstituționalitate și a constatat că Legea securității cibernetice este neconstituțională în integralitatea sa. Deși decizia încă nu a fost publicată în Monitorul Oficial, ea a apărut pe site-ul Curții Constituționale, principalele constatări și motive fiind prezentate mai jos.

Cu titlu preliminar, trebuie precizat că obiecția de neconstituționalitate a vizat încălcarea următoarelor prevederi legale și constituționale:

Art. 1 alin. (3), (4) din Constituție privind statul de drept și obligația respectării Constituției și a legilor;
Art. 6 din Legea nr. 24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative și art. 1 alin. (5) din Constituție consacrând principiul legalității;
Art. 26 alin. (1) din Constituție privind viața intimă, familială și privată;
Art. 23 alin. (1) din Constituție privind inviolabilitatea libertății individuale și a siguranței persoanei și art. 28 din Constituție referitor la secretul corespondenței;
Art. 148 alin. (2) din Constituție privitor la prioritatea tratatelor constitutive ale Uniunii Europene, precum şi a celorlalte reglementări comunitare cu caracter obligator faţă de dispozițiile contrare din legile interne.

La rândul său, Curtea a constatat o serie de încălcări ale Constituției prin prevederile Legii securității cibernetice, acestea privind chiar mai multe dispoziții decât cele indicate în obiecția de neconstituționalitate.

1. Avizul Consiliului Suprem de Apărare a Țării („CSAT”)

Legea securității cibernetice a fost adoptată cu încălcarea prevederilor constituționale ale art. 1 alin.(5) privind principiul legalității și ale art. 119 referitoare la atribuțiile CSAT, întrucât inițiatorul acestei legi nu a respectat obligația legală de a solicita avizul CSAT în cadrul procedurii legislative. Domeniul Legii securității cibernetice cuprinde securitatea națională a României, astfel că proiectul inițiat de Guvern trebuia avizat de CSAT, potrivit art. 4 lit.d) pct.1 din Legea nr. 415/2002 privind organizarea și funcționarea CSAT.

2. Desemnarea Serviciului Român de Informații („SRI”) ca autoritate națională în domeniul securității cibernetice

Prin art. 10 alin. (1) din Legea securității cibernetice, SRI este desemnat ca autoritate națională în domeniul securității cibernetice, asigurând coordonarea tehnică a Consiliului Operativ de Securitate Cibernetică și a organizării și executării activităților care privesc securitatea cibernetică a României prin Centrul Național de Securitate Cibernetică („CNSC”), departament funcționând în subordinea SRI.

Astfel, potrivit Legii securității cibernetice, toate persoanele juridice de drept public sau privat care dețin sau administrează infrastructuri cibernetice de interes național („ICIN”) sunt obligate să transmită cu celeritate datele privind starea de securitate cibernetică la nivelul acestora către CNSC.

Analizând aceste prevederi din prisma respectării dreptului la viață intimă, familială și privată, a secretului corespondenței și a dreptului la protecția datelor cu caracter personal, prin desemnarea unei autorități care desfășoară activități în domeniul informațiilor și a unei structuri militare din subordinea acesteia ca autorități cu atribuții în domeniul securității cibernetice, Legea securității cibernetice nu oferă garanțiile necesare respectării drepturilor fundamentale anterior precizate. Ori, statul de drept consacră o serie de garanții, inclusiv jurisdicționale, care să asigure respectarea drepturilor și libertăților cetățenilor prin autolimitarea statului, respectiv încadrarea autorităților publice în coordonatele dreptului.

De asemenea, Curtea invocă și proiectul Directivei NIS (Network and Information Security) care prevede ca autoritățile competente și punctele unice de contact național în domeniul securității rețelelor și a sistemelor informatice să fie reprezentate de organisme civile, care să funcționeze integral pe baza controlului democratic și nu autorități cu atribuții administrativ-militare.

Prin urmare, aceste prevederi încalcă art. 1 alin. (3) și (5) din Constituție referitoare la statul de drept și principiul legalității, precum și art. 26 și art. 28 din Constituție privind viața intimă, familială și privată, respectiv secretul corespondenței.

3. Sfera de incidență a normelor cuprinse în Legea securității cibernetice

Prin art. 2 a Legii securității cibernetice, sunt incluse în sfera de incidență a legii utilizatorii de infrastructuri cibernetice, deci toate persoanele juridice care utilizează rețele și servicii de comunicații electronice, fără ca legea să stabilească precis sensul noțiunii de „utilizator”.

Astfel, întrucât sfera de incidență a normelor cuprinse în actul suspus obiecției de neconstituționalitate nu este delimitată în mod neechivoc, Curtea apreciază că acesta nu are un caracter precis și previzibil, încălcându-se art. 1 alin. (5) din Constituție privind principiul legalității.

4. Accesul la datele deținătorilor de infrastructuri cibernetice

Prin art. 17 alin. (1) lit. a), Legea securității cibernetice instituie responsabilitatea deținătorilor de infrastructuri cibernetice de a acorda sprijinul necesar, la solicitarea motivată a SRI, Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Oficiului Registrului Național al Informațiilor Secrete de Stat, Serviciului de Protecție și Pază, Centrului Național de Răspuns la Incidente de Securitate Cibernetică („CERT-RO”) și Autorității Naţionale pentru Administrare şi Reglementare în Comunicaţii („ANCOM”), în îndeplinirea atribuțiilor ce le revin acestora și de a permite accesul reprezentanților desemnați în acest scop la datele deținute, relevante în contextul solicitării.

Având în vedere că această lege nu precizează tipul de date la care se permite accesul și nici modalitatea în care se realizează accesul, Curtea observă că astfel de date pot include și date cu caracter personal, inclusiv date care privesc viața privată a persoanelor utilizatoare, născând premisele unor aplicări discreționare din partea autorităților competente. De altfel, accesul la un sistem informatic în scopul obținerii de date constituie una dintre metodele speciale de supraveghere sau cercetare potrivit art. 138 alin. (13) din Codul de procedură penală, măsuri care pot fi dispuse de judecător sau, în anumite condiții, de către procuror. Legea securității cibernetice nu stabilește că accesul autorităților naționale la datele stocate este condiționat de controlul prealabil efectuat de o instanță judecătorească și nici nu prevede criterii obiective care să limiteze numărul de persoane care au acces la astfel de date.

Într-o atare situație, măsurile prevăzute de legea supusă controlului constituțional nu au caracter precis și previzibil și nici nu creează garanții corespunzătoare privind respectarea drepturilor la viață intimă, familială și privată și la secretul corespondenței. Curtea constată încălcarea prevederilor constituționale ale art. 1 alin. (5), art. 26, art. 28 și art. 53.

5. Lista deținătorilor de ICIN

Legea securității cibernetice stabilește criteriile în funcție de care se realizează selecția ICIN și a deținătorilor ICIN prin trimiterea la acte normative cu forță juridică inferioară legii, identificarea ICIN realizându-se pe baza unei metodologii elaborate de SRI și de Ministerul pentru Societatea Informațională, în baza unei proceduri neprevăzute de lege, netransparente, susceptibilă de a fi calificată arbitrară. Astfel, dispozițiile art. 19 alin. (1) și (3) din Legea securității cibernetice încalcă art. 1 alin. (5) din Constituție privind principiul legalității, întrucât nu respectă cerințele de previzibilitate, stabilitate și certitudine.

6. Obligațiile deținătorilor de ICIN

Persoanele care dețin ICIN au obligația să permită efectuarea de auditări de securitate cibernetică realizate de SRI sau de către furnizori de servicii de securitate cibernetică, cu excepția SRI, Ministerului Apărării Naționale, Ministerului Afacerilor Interne, Oficiului Registrului Național al Informațiilor Secrete de Stat, Serviciului de Telecomunicații speciale și Serviciului de Protecție și Pază. Curtea constată ca nejustificată această exceptare, în condițiile în care și autoritățile mai sus menționate sunt deținătoare de ICIN și sunt susceptibile de a face obiectul unor atacuri informatice. De asemenea, legea criticată creează posibilitatea ca SRI să se afle concomitent în poziția solicitantului de audit, a celui care efectuează auditul, a celui căruia i se comunică rezultatul auditului și a celui care constată eventuala contravenție.

Legea securității cibernetice prevede obligația de a notifica imediat autoritățile desemnate cu privire la riscurile și incidentele cibernetice, dar fără a stabili cu exactitate circumstanțele, conținutul notificării, inclusiv tipul datelor cu caracter personal ce urmează a fi furnizate. De asemenea, legiuitorul deleagă atribuția sa de legiferare Ministerului pentru Societatea informațională, ANCOM sau autorităților desemnate care vor stabili elementele privind notificarea. Astfel, trimiterea la acte administrative, cu o forță juridică inferioară legii, într-un domeniu critic pentru securitatea națională, cu impact asupra drepturilor și libertăților fundamentale ale cetățenilor, încalcă prevederile constituționale cuprinse în art. 1 alin. (5) privind principiul legalității. Art. 20 alin.(1) lit. c) și h) coroborat cu art. 20 alin. (2) contravin de asemenea dispozițiilor constituționale cuprinse în art. 1 alin. (3), art. 26 și art. 28.

7. Contestarea actelor administrative în justiție

Curtea constată că Legea securității cibernetice omite să reglementeze posibilitatea subiecților cărora le este destinată legea, în sarcina cărora au fost instituite obligații și responsabilități, de a contesta în justiție actele administrative prin care li s-au afectat drepturi, libertăți sau interese legitime. Acest lucru contravine art. 1 alin. (3) și (5), art. 21 din Constituție, cât și a art. 6 din Convenția pentru apărarea drepturilor omului și a libertăților fundamentale („CEDO”), referitor la dreptul la judecată și la un proces echitabil.

8. Competențe de monitorizare și control

Legiuitorul atribuie competențe de monitorizare și control al aplicării prevederilor legale din domeniul securității cibernetice Camerei Deputaților, Senatului, Administrației Prezidențiale, Secretariatului General al Guvernului și CSAT, dar fără a le cuprinde în lista autorităților competente în domeniul securității cibernetice de la art. 10 alin. (1) și (2), acest lucru denotând inconsecvență și generând confuzie cu privire la regimul juridic aplicabil acestor instituții. La o primă vedere, instituțiile mai sus enumerate, pe de-o parte, par a se supune obligațiilor de auditare de securitate cibernetică ori de notificare cu privire la riscurile cibernetice, iar pe de altă parte, își vor aplica lor însele sancțiuni ca urmare a constatării contravențiilor. Așadar, prin astfel de reglementări se ignoră principiul separației puterilor în stat, prevăzut de art. 1 alin. (4) din Constituție și principiul legalității consacrat de art. 1 alin. (5) din Constituție.

9. Procedurile de monitorizare, control și privind constatarea și sancționarea contravențiilor

Reglementările din Legea securității cibernetice privitoare la constatarea contravențiilor și aplicarea sancțiunilor omit identificarea autorităților competente să constate și să aplice contravențiile săvârșite, și prevăd sancționarea anumitor autorități și instituții pentru nerespectarea unor obligații de la care sunt exceptate prin aceeași lege. Așadar, astfel de reglementări nu sunt suficient de clare și precise pentru a putea fi aplicate.

Drept urmare, legea criticată nu stabilește cu claritate procedurile de monitorizare și control, respectiv privind constatarea și sancționarea contravențiilor, afectând garanțiile constituționale prevăzute de art. 1 alin. (5) privind supremația Constituției și a legilor, art. 21 alin. (3) și art. 6 din CEDO privind dreptul la un proces echitabil.

10. Modalitățile de efectuare a activității de monitorizare și control

În cadrul activității de monitorizare și control, Legea securității cibernetice prevede dreptul persoanelor desemnate de autoritățile competente de a solicita declarații sau orice documente necesare pentru efectuarea controlului, de a face inspecții, inclusiv inopinate, la orice instalație, structură, incintă sau infrastructură, destinate ICN.

Curtea a apreciat că legea criticată nu reglementează garanții care să permită o protecție eficientă împotriva riscurilor de abuz și față de orice accesare și utilizare ilicită a datelor cu caracter personal, astfel că sunt încălcate prevederile constituționale din art. 1 alin. (5), art. 26, art. 28 și art. 53 din Constituție.

Pe lângă toate aceste aspecte punctuale de neconstituționalitate, Curtea apreciază că întregul act normativ prezintă deficiențe în ceea ce privește normele de tehnică legislativă, coerența, claritatea, previzibilitatea, aducând atingere art. 1 alin. (5) din Constituție privind principiul legalității.

UPDATE: Decizia Curții Constituționale nr. 17/2015 asupra admiterii obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României a fost publicată în Monitorul Oficial al României, Partea I, nr. 79 din data de 30 ianuarie 2015.

Legea securității cibernetice este neconstituțională

Andreea Lisievici — Wed, 21 Jan 2015 15:14:17 +0000

În data de 21 ianuarie 2015 Curtea Constituțională a analizat în cadrul controlului anterior promulgării, obiecția de neconstituționalitate a prevederilor Legii privind securitatea cibernetică a României. Curtea a constatat astfel că Legea privind securitatea cibernetică este neconstituțională, în ansamblul ei.

Astfel, potrivit comunicatului de presă, Curtea Constituțională a reținut că întregul act normativ încalcă următoarele articole din Constituție:

1 alin. (5) din Constituție, care consacră principiul legalității, este încălcat prin deficiențele sub aspectul respectării normelor de tehnică legislativă, coerență, claritate și previzibilitate;
119, referitoare la atribuțiile C.S.A.T, este încălcat prin lipsa avizului Consiliului Suprem de Apărare a Tarii;
1 alin.(3), (4) și (5) referitoare la principiul statului de drept, principiul separației puterilor în stat, respectiv principiul legalității;
21 alin.(1) și (3) referitor la accesul liber la justiție și dreptul la un proces echitabil;
26 privind viața intimă, familială și privată;
28 referitor la secretul corespondenței;
53 privind restrângerea exercițiului unor drepturi sau al unor libertăți.

Prevederi punctuale din Legea securității cibernetice care încalcă Constituția sunt:

definirea noțiunii de „deținători de infrastructuri cibernetice” (art.2);
desemnarea Serviciului Român de Informații ca autoritate națională în domeniul securității cibernetice (art.10);
lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite accesul reprezentanților autorităților competente la datele deținute, relevante în contextul solicitării (art.17);
lipsa reglementării prin lege a criteriilor în funcție de care se realizează selecția infrastructurilor cibernetice de interes național, cât și a modalității prin care se stabilesc acestea (art. 19);
autoritatea care efectuează auditarea de securitate cibernetică (art. 20 lit.c));
lipsa reglementării prin lege a circumstanțelor în care este necesară notificarea, precum și a conținutului acesteia (art. 20 lit.c));
lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autoritățile competente și care sunt susceptibile a prejudicia drepturi sau interese legitime (art. 16-23);
lipsa predictibilității normelor referitoare la procedurile de monitorizare și control, respectiv a celor privind constatarea și sancționarea contravențiilor (art. 27, 28, 30);
lipsa garanțiilor legale (autorizarea de către o instanță judecătorească) aferente respectării obligației deținătorilor de infrastructuri cibernetice de a permite autorităților competente să efectueze inspecții, inclusiv inopinate, la orice instalație, incintă sau infrastructură (art.27 alin. (2)).

Această decizie se alătură altor două decizii de neconstituționalitate pronunțate anul trecut, una cu privire la legea privind reținerea datelor de trafic, și cealaltă cu privire la cartelele pre-pay, ambele explicitate de Curte printr-o adresă din septembrie 2014.

În plus, decizia Curții Constituționale este în același spirit cu o recentă opinie a serviciului juridic al Parlamentului European (încă nepublicată oficial), în care se analizează consecinţele hotărârii Curţii de Justiţie în Cauzele C-293-12 şi C-594/12 și în cadrul căreia există o analiză general valabilă cu privire la condiţiile în care dreptul la viaţă privată poate fi limitat prin lege. Aceste condiţii includ:
a) actul normativ de limitare trebuie să prevadă măsuri clare şi precise pentru a limita interferenţa la ceea ce este „strict necesar”, în special prin introducerea unor „măsuri de protecţie minimale” şi „garanţii suficiente”
b) măsurile trebuie să fie limitate în timp iar legea să prevadă o perioadă după care datele obţinute să fie distruse.
c) respectarea principiului proporţionalităţii potrivit art. 52(1) din Carta Drepturilor Fundamentale UE, ceea ce implică (între altele):
i) Aplicarea accesului la date trebuie să fie justificată de existenţa unor suspiciuni fundamentate pe probe care leagă persoana vizată, direct sau indirect, de săvârşirea unor infracţiuni grave;
ii) Măsurile trebuie să fie restrânse la (i) o anumită perioadă de timp, zonă geografică sau cerc de persoane probabil a fi implicate, sau (ii) persoane care ar putea contribui la prevenirea, detectarea sau anchetarea infracţiunilor grave.
iii) Actul normativ trebuie să prevadă criterii obiective în funcţie de care să fie determinate limitele dreptului de acces la date şi utilizarea subsecventă;
iv) Accesul la date al autorităţilor competente trebuie supus unor condiţii substanţiale şi procedurale, având criterii obiective potrivit cărora numărul persoanelor autorizate să aibă acces la date este limitat la strictul necesar;
v) Accesul la date de către autorităţile competente trebuie supus controlului anterior efectuat de o instanţă sau de un organism administrativ independent.