Retrospectivă – 1 an de la decizia Curții Constituționale împotriva legii securității cibernetice

Acum 1 an de zile, pe 21 ianuarie 2015, Curtea Constituțională a decis că legea securității cibernetice este neconstituțională în totalitatea ei.

Ce s-a întâmplat de atunci?

La nivel național, Imediat după decizia CCR, Iohannis a luat “măsuri pentru mai multă transparență“. Pe formă, acestea s-au tradus printr-o simulare de proces democratic, iar pe fond adoptarea unor modificări la legea 506/2004 privind dreptul la viață privată în domeniul comunicațiilor electronice. Aceste modificări obligă furnizorii de servicii electronice să dea datele de trafic și de localizare, pe care oricum le stochează, către autoritățile competente, pe baza unui mandat judecătoresc.

Chiar dacă amendamentele adoptate nu fac parte din seria tipică de încercări Big Brother (pentru că nu impun obligația generală de a stoca date de trafic), și nu reprezintă măsuri imediate de supraveghere în masă, sunt cu siguranță niște măsuri ce ar fi putut fi foarte ușor îmbunătățite.

La nivel european, propunerea de directivă Network Information Security (NIS) a fost recent agreată de către instituțiile europene și va fi în curand publicată în Monitorul Oficial. Statele membre vor avea la dispoziție 21 de luni pentru implementarea directivei. Textul final al directivei poate fi consultat aici: http://www.consilium.europa.eu/en/press/press-releases/2015/12/pdf/st15229-re02_en15_pdf/

Ce putem învăță din Decizia Curții Constituționale nr. 17/2015 împotriva legii securității cibernetice?

Decizia aduce foarte multe puncte importante în discuție, așa că o să transpunem pe scurt câteva din cele mai importante principii de reținut – pentru implementarea directivei NIS sau pentru orice altă lege care aduce atingere drepturilor fundamentale.

1. Accesul la date nu se poate realiza fără mandat judecătoresc

Simplu. N-ai mandat, nu ai acces – exact ce spune și art. 152 din Codul de procedură penală (para. 62 și 63 din decizie).

Și, mai mult, accesul la date nu exclude accesul și prelucrarea de date cu caracter personal. Ori dacă nici nu ai clar specificat ce tip de date vrei să accesezi, nici nu specifici care este relevanța acestor date, se lasă loc generos de abuz din partea autorităților (para. 59 din decizie). Iar de aceea este nevoie de control judecătoresc.

Plus, încă dintr-o decizie anterioară, Curtea a decis, în linie cu analiza Curții de Justiție a Uniunii Europene, că datele de trafic, deși au un profund caracter tehnic, sunt reţinute în scopul furnizării informaţiilor cu privire la persoană şi viaţa sa privată.

Deci, chiar dacă accesul la date nu se aplică şi conţinutului comunicării sau informaţiilor consultate în timpul utilizării unei reţele de comunicaţii electronice, celelalte date reţinute, având ca scop identificarea apelantului şi a apelatului, respectiv a utilizatorului şi a destinatarului unei informaţii comunicate pe cale electronică, a sursei, destinaţiei, datei, orei şi duratei unei comunicări, a tipului de comunicare, a echipamentului de comunicaţie sau a dispozitivelor folosite de utilizator, a locaţiei echipamentului de comunicaţii mobile [...], sunt de natură să prejudicieze manifestarea liberă a dreptului la comunicare sau la exprimare. În concret, datele avute în vedere conduc la concluzii foarte precise privind viaţa privată a persoanelor ale căror date au fost păstrate, concluzii ce pot viza obiceiurile din viaţa cotidiană, locurile de şedere permanentă sau temporară, deplasările zilnice sau alte deplasări, activităţile desfăşurate, relaţiile sociale ale acestor persoane şi mediile sociale frecventate de ele. Or, o atare limitare a exerciţiului dreptului la viaţă intimă, familială şi privată şi la secretul corespondenţei, precum şi a libertăţii de exprimare trebuie să aibă loc într-o manieră clară, previzibilă şi lipsită de echivoc, astfel încât să fie îndepărtată, pe cât posibil, eventualitatea arbitrarului sau a abuzului autorităţilor în acest domeniu”. (para. 56 din decizia 440/2014)

2. Instituțiile care se ocupă de domeniul securității cibernetice trebuie să fie organisme civile, sub controlul cetățenilor

- nicidecum SRI, MAI, MApN etc – vezi para. 48 din decizie

De ce? Tot Curtea explică faptul că atunci când o instituție este desemnată a avea atribuții în domeniul securității cibernetice, dar acea instituție se află sub control direct militar-administrativ, o asemenea entitate NU îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţă intimă, familială şi privată şi la secretul corespondenţei (para. 51 din decizie).

În analiza Curţii, opţiunea pentru desemnarea în calitate de autoritate naţională în domeniul securităţii cibernetice a unui organism civil, iar nu a unei entităţi militare cu activitate în domeniul informaţiilor, se justifică prin necesitatea preîntâmpinării riscului de a deturna scopul legii securităţii cibernetice în sensul folosirii atribuţiilor conferite prin această lege de către serviciile de informaţii în scopul obţinerii de informaţii şi date cu consecinţa încălcării drepturilor constituţionale la viaţă intimă, familială şi privată şi la secretul corespondenţei. (para 50 din decizie)

Directiva NIS nu menționează exact ce tip de autoritate poate prelua astfel de funcții, dar precizează că acea autoritate trebuie să aibă competențe depline atât în sectoarele listate (energie, transport, sistemul bancar și financiar, sănătate, apă și infrastructuri digitale – anexa II), cât și în domeniul serviciilor digitale precum platforme de comercializare online, motoare de căutare si cloud computing – anexa III. Statele membre pot desemna o autoritate deja existentă sau pot înființa una nouă.

3. Principiile pe care trebuie să le respecte o lege care aduce atingere drepturilor fundamentale

  • măsurile unei legi trebuie să aibă un caracter precis şi previzibil
  • amestecul statului în exercitarea drepturilor constituţionale la viaţă intimă, familială şi privată şi la secretul corespondenţei, să fie formulate clar, riguros şi exhaustiv pentru a oferi încredere cetăţenilor
  • măsurile care aduc atingere drepturilor fundamentale să fie justificate și strict necesare într-o societate democratică
  • iar măsurile intruzive să fie contraponderate de reglementarea unor garanţii corespunzătoare

Deci, pe scurt, o lege trebuie să respecte criteriile de previzibilitate, stabilitate şi certitudine.

4. Adresele IP pot fi date cu caracter personal – para. 75 din decizie

Curtea explică faptul că atunci când se trimit notificări cu privire la riscurile şi incidentele cibernetice, acestea pot include inclusiv date cu caracter personal (de tipul adreselor IP).

Asta înseamnă că autorităţilor competente în domeniul securităţii reţelelor şi informaţiei li se va permite să colecteze şi să prelucreze date cu caracter personal în cadrul unui incident de securitate doar dacă este strict necesar pentru atingerea obiectivelor de interes public urmărite de lege, cu respectarea principiului proporţionalităţii.

Iar legea trebuie să prevadă garanţii ce asigură protecţia efectivă a datelor prelucrate de autorităţi. Plus, legea trebuie să includă și obligaţia de notificare a cazurilor de încălcare a protecţiei datelor cu caracter personal de către autorități.

Pentru toate acestea mulțumim Curții Constituționale pentru analiza impecabilă și…pentru ce va să vie, să se țină cont.

3 Comments

  1. Acru

    Din actuala formă a Legii 506/2004 a dispărut obligaţia procurorului de a înştiinţa persoana ale cărei date au fost accesate, dacă în cauză s-a dispus o soluţie de clasare sau de renunţare la urmărirea penală. Cu alte cuvinte, oricine poate fi obiectul supravegherii pentru o perioadă nedelimitată, fără a avea ştiinţă despre asta.

    Apoi, a dispărut şi delimitarea infracţiunilor pt. care se poate cere mandat. Cu alte cuvinte, legea permite accesarea datelor chiar în cele mai banale cazuri, care nu prezintă pericol social deosebit. De exemplu, pentru infracţiuni “triviale” de genul ultrajului, distrugerii sau tulburării de posesie ori a ordinii şi liniştii publice.

    În conlcuzie, la un an după decizia CCR, avem o lege mai intruzivă, cu şi mai puţine garanţii pentru viaţa privată decât aveam înainte, cu unica excepţie a obligativităţii existenţei unui mandat judecătoresc.

    Dacă greşesc, vă rog să mă corectaţi.

    Reply
  2. Pingback: Legea securității cibernetice – varianta 2. Sau cum (nu) am sărbătorit Ziua Internațională a Protecției Datelor Personale | Date personale si viata privata

  3. bogdan

    @Acru

    Nu gresiti pe fondul celor 2 obiectiuni majore (desi nici versiunea initiala a legii 506/2004 nu avea aceasta obligatie a procurorului, iar obligatia inca exista pentru interceptarea continutului comunicatiilor), dar nu am fi de acord cu concluzia.

    Asta pentru ca pe legea veche, exista o obligatie de supraveghere generalizata pentru toti operatorii – sa pastreze o categorie larga de date de trafic pt 6 luni. Pe cand pe legea noua nu doar ca nu exista aceasta obligatie, dar datele pot fi tinute doar cata vreme sunt dovedite ca necesare pentru scopul operatorului (nu a autoritatilor de aplicare a legii).
    Mai mult, pe legea veche era un spectru larg de institutii din domeniul securitatii ce aveau acces la date (fara mandat), pe cand pe legea noua este clar ca trebuie mandat, iar autoritatilor pot fi doar cee prevazute de codul penal.

    Asta nu inseamna ca e o lege buna – am scris de mai multe ori cu privire la limitele si erorile acesteia – https://privacy.apti.ro/tag/proiect-lege-acces-date/

    Reply

Leave a Comment

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>