Opinie separată incendiară de la CCR despre Legea securității cibernetice: Serviciile pot restrânge, arbitrar și abuziv, dreptul la viața intimă familială și private, anunță jurnalul.ro.

Controversata lege cu privire la securitatea cibernetică a României, inițiată de Guvernul Ciucă și adoptată, pe repede-înainte, de Parlamentul României și care, într-un mod inexplicabil, a trecut de controlul majorității Plenului Curții Constituționale, este aspru criticată chiar de doi dintre cei nouă judecători ai CCR. Magistrații Attila Varga și Gheorghe Stan au redactat o Opinie separată, întinsă pe zeci de pagini, în care arată că absolut toate criticile de neconstituționalitate ridicate de Avocatul Poporului și de grupul parlamentar al USR trebuiau admise.

Din documentul celor doi judecători reiese că legea este scrisă atât de prost, încât devin subiecți activi ai măsurilor prevăzute de securitatea cibernetică absolut toți cetățenii de rând care utilizează un sistem informatic. Mai mult, legea este neclară, imprevizibilă și impune unele obligații sau interdicții cu privire la o serie de termene care nu sunt definite în niciun act normativ din România. Exemple, în acest sens, sunt sintagmele „interesul național”, „amenințări de tip hibrid”, „entități statale sau nonstatale”, „campanii de propagandă și dezinformare”, nereglementate în niciun text de lege existent în acest moment și care nu sunt deloc definite în noua lege votată.

Attila Varga și Gheorghe Stan concluzionează că, astfel, organele specializate în culegerea de informații vor putea intruziona în mod arbitrar și abuziv în viața intimă, familială și privată a oricărui cetățean, deoarece absolut orice persoană a devenit destinatarul legii în cauză. Contrar opiniei majoritare din Curtea Constituțională, care a respins, prin Decizia nr. 70 din 28 februarie 2023, toate excepțiile de neconstituționalitate ridicate de Avocatul Poporului și de un grup format din 57 de parlamentari ai Opoziției cu privire la Legea privind securitatea cibernetică a României, doi judecători CCR explică, pe zeci de pagini, de ce aceste excepții de neconstituționalitate trebuiau să fie admise și de ce legea este cu adevărat toxică. Astfel, în dezacord cu opinia majoritară, magistrații Varga Attila și Gheorghe Stan consideră că „obiecțiile de neconstituționalitate (…) trebuiau admise și trebuia constatată neconstituționalitatea dispozițiilor criticate.

Primul punct analizat este articolul 3, alineat 1, litera „c” din această lege, care conține „rețelele și sistemele informatice deținute, organizate, administrate sau utilizate de autorități și instituții ale administrației publice centrale și locale, precum și de persoane fizice și juridice care furnizează servicii publice ori de interes public”. Potrivit acestei opinii separate, legea se adresează mai multor categorii de destinatari. Pe lângă autoritățile din domeniul apărării, securității naționale, justiției, ea se referă și la persoanele fizice și juridice de drept privat, dar și persoanele fizice și juridice care dețin, organizează, administrează sau utilizează sisteme informatice și care furnizează servicii publice ori „de interes public”.

Cei doi judecători arată că, potrivit articolului 21 din Codul civil, persoana fizică este definită ca „omul, privit individual, ca titular de drepturi și obligații civile”, subliniind că modalitatea de reglementare a acestor dispoziții „arată că legiuitorul a înțeles să includă în categoria destinatarilor legii toate persoanele fizice, toate persoanele juridice de drept public și privat care utilizează rețele și sisteme informatice”. 

Orice persoană fizică este vizată de această lege 

„Textul se adresează tuturor persoanelor fizice, persoanelor juridice de drept public, societăților în nume colectiv, societăților în comandită simplă, societăților pe acțiuni, societăților în comandită pe acțiuni, societăților cu răspundere limitată, persoanelor fizice autorizate, întreprinderilor individuale sau întreprinderilor familiale”, se arată în documentul citat. Iar, întrucât textul de lege prevede ca destinatari acele persoane fizice și juridice care furnizează servicii publice ori de interes public, „era esențial să stabilească înțelesul noțiunii de «serviciu public» și de «serviciu de interes public»”.

„Serviciul de interes public nu beneficiază de o definiție legală”, arată judecătorii Attila Varga și Gheorghe Stan, care adaugă că „având în vedere aceste aspecte, metoda de reglementare a destinatarilor legii este realizată într-o modalitate deficitară, prin includerea unei sfere extrem de largi de aplicare, ceea ce contravine articolului 1, alineat 5 din Constituție, care consacră principiul legalității”.

Obligați să scoată bani din buzunar pentru a respecta noile norme

Autorii sesizării de neconstituționalitate au criticat, de asemenea, lipsa unor determinări clare ale legii cu privire la destinatarii concreți ai acesteia. Cei doi judecători confirmă, în actul redactat, că, în lipsa acestei determinări, „Guvernul își va exercita funcția legală de adoptare a unei hotărâri pentru organizarea executării legii, în mod defectuos”. Iar concluzia este aceea că dispozițiile articolului 52, alineat 1 din aceeași lege încalcă, de asemenea, articolul 1, alineat 5 din Constituție, care consacră principiul clarității și previzibilității legii.

Plenul Curții a respins și sesizările de neconstituționalitate cu privire la articolele 21 alineat 1, 22, 24, 28, 37 și 41 din aceeași lege, care impun persoanelor fizice și juridice o serie de sarcini oneroase, cu impact semnificativ asupra acestora. Cei doi judecători, care nu sunt de acord cu opinia majoritară, consideră că aceste persoane sunt nevoite să suporte din bugetele proprii cheltuielile necesare îndeplinirii unor obligații.

Astfel, se constată că se impune „obligația de a notifica incidentele de securitate cibernetică prin intermediul PNRISC, de îndată, dar nu mai mult de 48 de ore de la constatarea incidentului”. Sau „obligația de a asigura reziliența în spațiul cibernetic prin constituirea și antrenarea echipelor de răspuns la incidente de securitate cibernetică”; „asigurarea de resurse umane specializate pentru dezvoltarea de strategii, norme, politici, proceduri, analize de risc, planuri și măsuri de control tehnic privind apărarea și securitatea cibernetică”; „constituirea și operarea centrelor operaționale de securitate”; „constituirea unei rezerve de resurse și capabilități întrunite de securitate cibernetică, care să cunoască anticipat amenințările cibernetice”; „finanțarea și dezvoltarea capabilităților de securitate și apărare cibernetică, inclusiv din perspectiva cercetării, dezvoltării, inovării și digitalizării în domeniu și tehnologiilor emergente”; „dezvoltarea nivelului de maturitate atins de capabilitățile de securitate cibernetică în cadrul exercițiilor organizate la nivel național și internațional”.  

Măsuri disproporționate 

Conform opiniei separate, aceste dispoziții legale „prezintă un grad mare de generalitate, obligațiile vizând totalitatea deținătorilor de infrastructuri cibernetice, constând în sisteme informatice, aplicații aferente, rețele și servicii de comunicații electronice, indiferent de importanța acestora, care să poată viza interesul național sau doar un interes de grup ori chiar particular”.

Judecătorii mai arată că „aceste prevederi impun sarcini disproporționate asupra micilor operatori, fără ca cerințele să fie proporționate cu riscurile la care sunt expuse rețeaua sau sistemul informatic în cauză, fiind aplicabile inclusiv asupra acelor rețele și sisteme informatice cu importanță nesemnificativă din punct de vedere al interesului general”, motiv pentru care „aceste dispoziții din lege încalcă prevederile Constituției, deoarece nu respectă cerințele de previzibilitate, stabilitate și certitudine”. 

Liber la interceptarea și înregistrarea oricărei comunicații electronice, pe baza unor acțiuni nedefinite de legislație 

Cele mai grave aspecte ale legii, chiar și mai grave decât cele reținute până acum în această opinie separată, privesc însă capitolul din legea adoptată de Parlament prin care se completează Legea 51/1991, privind securitatea națională a României.

Spre exemplu, judecătorii Attila Varga și Gheorghe Stan constată că, la articolul 4, a fost introdusă o nouă literă, „n”, care stabilește „amenințări cibernetice sau atacuri cibernetice asupra infrastructurilor informatice și de comunicații de interes național”. „În ceea ce privește sintagma «infrastructuri informatice și de comunicații de interes național», observăm că legiuitorul nu a configurat înțelesul termenilor utilizați. (…) În sens comun, prin infrastructură se înțelege acel ansamblu de metode, dispozitive sau obiecte care sunt utilizate împreună pentru a putea fi posibilă furnizarea unui serviciu. Rezultă că expresia are în vedere atât infrastructuri cu relevanță la nivel național, cât și infrastructuri cu relevanță la nivel local sau de unitate. Astfel, în categoria infrastructură informatică sunt cuprinse toate acele ansambluri care au caracteristicile unei infrastructuri informatice, indiferent de deținătorul acestora și de relevanța lor”, scriu judecătorii.

Mai mult, aceștia atrag atenția că „în ceea ce privește expresia «interes național», aceasta nu este definită de legislație” și că „CCR a decis deja că legiuitorul trebuie să reglementeze cu atenție sfera elementelor a căror afectare determină existența unei amenințări la adresa securității naționale, acestea în condițiile imposibilității definirii obiective, trebuind să poată fi cel puțin determinate prin stabilirea elementelor componente”. „În acest mod, limitele de aplicare a dispoziției legale nu pot fi cunoscute de destinatarii normei (…). Dispozițiile legale nu instituie reguli clare, pentru a oferi destinatarilor o indicație adecvată cu privire la circumstanțele care determină existența unei amenințări la adresa securității naționale”, mai susțin cei doi. 

„Amenințări de tip hibrid”, „entități statale sau nonstatale” – noțiuni nereglementate legal 

Pe lângă litera „n”, s-a mai adăugat o literă „o”, care conține „acțiuni, inacțiuni sau stări de fapt cu consecințe la nivel național, regional sau global care afectează reziliența statului în raport cu riscurile și amenințările de tip hibrid”.

Judecătorii CCR care nu s-au aliniat opiniei majoritare arată că „expresia «amenințări de tip hibrid» nu beneficiază de o definiție în textul legii, nefiind găsită, de altfel, vreo definiție în niciun alt act normativ”. Aceștia arată că, potrivit DEX, noțiunea are semnificația de „provenit din încrucișarea a doi indivizi de specii, soiuri, de genuri sau de rase diferite, alcătuită din elemente disparate, lipsite de armonie”.

După litera „o”, s-a introdus o literă „p”, cuprinzând „acțiuni derulate de către o entitate statală sau nonstatală, prin realizarea, în spațiul cibernetic, a unor campanii de propagandă sau dezinformare, de natură a afecta ordinea constituțională”. „În cazul expresiilor «entitate statală», «entitate nonstatală», «campanii de propagandă» și «campanii de dezinformare», legiuitorul nu a reglementat vreo definiție legală și nici nu a adoptat vreo dispoziție în legătură cu acestea, pe baza căreia să se poată discerne eventualele caracteristici ale acestor termeni”, mai precizează cei doi judecători. 

Secretul corespondenței, practic, nu mai există 

Această opinie separată se încheie într-o nuanță mai mult decât aspră: „având în vedere aceste aspecte, potrivit articolului 13, litera «f» din Legea 51/1991, în situațiile prevăzute, organele cu atribuții în domeniul securității naționale pot să efectueze activități specifice culegerii de informații care presupun restrângerea exercițiului unor drepturi și libertăți fundamentale ale omului, inclusiv interceptarea și înregistrarea comunicațiilor electronice, efectuate sub orice formă”.

„Or, având în vedere caracterul intruziv al activităților specifice culegerii de informații, Curtea a constatat că este obligatoriu ca acestea să se realizeze într-un cadru normativ clar, precis și previzibil, atât pentru persoana care este supusă acestei măsuri, cât și pentru organele de urmărire penală și pentru instanțele de judecată. În caz contrar, s-ar ajunge la posibilitatea încălcării într-un mod aleatoriu și abuziv a drepturilor fundamentale, esențiale într-un stat de drept, privind viața intimă, familială și privată, precum și secretul corespondenței”.

Sursa: jurnalul.ro