Decizia si Motivarea Curtii Constitutionale din 21 Ianuarie 2015 asupra Legii privind Securitatea Ciberneti...

Principalele informatii din motivarea Curtii Constitutionale:

Curtea prezinta cateva prevederi din propunerea de Directiva UE:

Comparand propunerea Directivei europene cu Legea Securitatii cibernetice, Curtea Constitutionala enumera urmatoarele probleme:

Guvernul avea obligatia de a solicita avizul CSAT atunci cand a elaborat proiectul Legii privind securitatea cibernetica a Romaniei

"Pentru argumentele expuse, intrucat in cadrul procedurii legislative, initiatorul nu a respectat obligatia legala, conform careia Consiliul Suprem de Aparare a Tarii avizeaza proiectele de acte normative initiate sau emise de Guvern privind securitatea nationala, Curtea constata ca actul normativ a fost adoptat cu incalcarea prevederilor constitutionale ale art.1 alin.(5) care consacra principiul legalitatii, si ale art.119 referitoare la atributiile Consiliului Suprem de Aparare a Tarii"

Legea securitatii cibernetice nu exclude accesarea, prelucrarea si utilizarea datelor cu caracter personal si deschide posibilitatea unor abuzuri din partea autoritatilor

Accesul la date nu este supus autorizarii sau aprobarii instantei judecatoresti, lipsind garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz

Legea facea trimiteri catre acte administrative, cu o forta juridica inferioara legii, cu impact asupra drepturilor si libertatilor fundamentale ale cetatenilor

Legea nu reglementa posibilitatea subiectilor carora le era destinata legea de a contesta in justitie actele administrative

Legea securitatii cibernetice incalca prinncipiul separatiei puterilor in stat

Curtea Constitutionala subliniaza intai de toate ca la data solutionarii cauzei deduse judecatii Curtii Constitutionale,Curtea precizeaza ca la nivelul UE a fost initiata procedura legislativa ordinara de adoptare a unei directive privind masuri de asigurare a unui nivel comun ridicat de securitate a retelelor si a informatiei in Uniune - Directiva NIS (Network and Information Security) dar ca este inca in dezbatere."potrivit 'Expunerii de motive' a directivei,, pe de o parte, in, care sunt esentiale pentru definitivarea pietei digitale unice si pentru buna functionare a pietei interne si, pe de alta parte, inin primul rand, solicita tuturor statelor membre sa se asigure ca este instituit un nivel minim de capacitati nationale prin infiintarea autoritatilor competente in materie de retele si sisteme informatice, sa creeze echipe de interventie in caz de urgenta informatica (Computer Emergency Response Teams-CERT) si sa adopte strategii nationale privind securitatea cibernetica si planurile nationale de cooperare in domeniul vizat; in al doilea rand, autoritatile nationale competente trebuie sa coopereze in cadrul unei retele.Curtea Constitutionala retine considerentul 41 al preambulului directivei care prevede ca: 'Prezenta directiva, in special dreptul la, dreptul laPrezenta directiva trebuie pusa in aplicare in conformitate cu aceste drepturi si principii.Propunerea de Directiva UE prevede ca "autoritatile competente si punctele unice de contact ar trebui sa fie, care sa functioneze integral pe baza controlului democratic, si, al aplicarii legii sau al apararii si nici sa fie legate organizational in vreun fel de organismele active in aceste domenii"., asa cum prevede art.17 alin.(1) lit.a) din legea supusa controlului de constitutionalitate, ci doar obligatia de notificare a riscurilor si incidentelor cibernetice (art.14) si de a se supune auditarii pentru detinatorii de infrastructuri critice (art.15).Curtea mai arata apoi ca "in temeiul dispozitiilor legale, Guvernul avea obligatia de a solicita avizul Consiliului Suprem de Aparare a Tarii atunci cand a elaborat proiectul Legii privind securitatea cibernetica a Romaniei."In analiza Curtii, optiunea pentru desemnarea in calitate de autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prinOr,supusa controlului de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC.Astfel, examinand atributiile stabilite de actul normativ supus controlului,Or, in conditiile in care Centrul National de Securitate Cibernetica constituie, in cadrul unui serviciu de informatii, subordonata ierarhic conducerii acestei institutii, deci sub un control direct militar- administrativ, apare cu evidenta ca(...)Pentru toate aceste argumente,Curtea subliniaza apoi ca "desi legislatia privind protectia datelor cu caracter personal nu este mentionata in mod expres in lege, accesul la datele detinute de persoanele care cad sub incidenta legii, nu exclude accesarea, prelucrarea si utilizarea datelor cu caracter personal. De asemenea, avand in vedere ca infrastructurile cibernetice constau in sisteme informatice, in retele si servicii de comunicatii electronice, care faciliteaza stocarea si transferul de date, apare ca fiind evident ca tipul de date cuprinse in aceste sisteme si retele sunt inclusiv date care privesc viata privata a persoanelor utilizatoare.se realizeaza cu privire lapermite interpretarea potrivit careiaSe remarca, astfel,, atat sub aspectul tipului de date accesate, cat si al evaluarii relevantei datelor solicitate, de natura sa creezein ipoteza normei.Astfel,, de exemplu,Lipsa unei reglementari legale precise, care sa determine cu exactitate sfera acelor date necesare identificarii evenimentelor survenite in spatiul cibernetic (amenintari, atacuri sau incidente cibernetice),Curtea Constitutionala atrage apoi atentia ca "in vederea utilizarii lor in scopul prevazut de lege, formulate de catre organele de stat desemnate autoritati in domeniul securitatii cibernetice pentru domeniile lor de activitate,Aceasta imprejurare este de natura a constituisi, prin urmare, contravine dispozitiilor constitutionale care consacra si protejeaza aceste drepturi. (..)In concluzie, in conditiile in care masurile adoptate prin legea supusa controlului de constitutionalitate nu au un caracter precis si previzibil,, caracterul strict necesar intr-o societate democratica nu este pe deplin justificat, iar proportionalitatea masurii nu este asigurata prin reglementarea unor garantii corespunzatoare,"."Curtea constata caMinisterului pentru Societatea Informationala, ANCOM sau autoritatilor desemnate, in conditiile legii, in domeniul securitatii cibernetice, care vor stabili 'cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, care se aproba prin ordine sau decizii emise in termen de 90 de zile de la intrarea in vigoare a legii, de conducatorii autoritatilor sau institutiilor publice respective, publicate in Monitorul Oficial al Romaniei, Partea I'."Curtea retine ca aceastasi care sunt susceptibile a prejudicia un drept sau un interes legitim. (...)Curtea constata cain continutul legiiale carei drepturi, libertati sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispozitiile Legii privind securitatea cibernetica a Romaniei"Din interpretarea coroborata a dispozitiilor art.20 alin.(1) cu cele ale art.21 alin.(1) lit.a), rezulta ca,, Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT au obligatia, de exemplu, de a permite efectuarea unor auditari de securitate cibernetica efectuate de SRI sau de a notifica CNSC cu privire la riscurile si incidentele cibernetice,, ele vor monitoriza si controla respectarea acestor obligatii, iar, in cazul neindeplinirii dispozitiilor legale, potrivit art. 28 coroborat cu art. 30 lit.c) din lege,, ca urmare a constatarii contraventiilor Curtea constata, asadar, ca legiuitorul eludeaza principiile de drept potrivit carora controlul trebuie efectuat de o entitate independenta, exterioara autoritatii controlate, iar prin normele edictate face iluzorie respectarea obligatiilor referitoare la securitatea cibernetica.Mai mult, dispozitiile in temeiul carora Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT devin agenti constatatori ai savarsirii de contraventii si dispun aplicarea de sanctiuni contraventionalePentru toate argumentele prezentate,