Noul Președinte al României are un prim test – să oprească legea securității cibernetice

Astăzi, exact după ce noul președinte al României a intrat oficial în pâine a și primit prima provocare din partea a 13 organizații non-guvernamentale (printre care și ApTI) – să oprească legea securității cibernetice, votată săptămâna trecută de către Senat.

Cererea a fost trimisă și către celelalte instituții care au competența de a ridica la acest moment o sesizare de neconstituționalitate: Înalta Curte de Casație și Justiție, Avocatul Poporului sau un număr de 25 de senatori ori 50 de deputați.

Aceste instituții au doar posibilitatea de a sesiza Curtea Constituțională. Numai Klaus Iohannis are posibilitatea și de a trimite înapoi legea în Parlament. Iar așa cum am explicat deja, dincolo de art. 17 care este vădit neconstituțional, legea în sine are niște probleme fundamentale – care pot fi rezolvate relativ simplu. Iar Curtea Constituțională poate să se pronunțe doar asupra constitutionalității legilor, nu și asupra oportunității sau stupidității acestora.

Din categoria Votați și Dezinformați, Comisia de siguranța națională a Senatului a ieșit ieri cu un comunicat de presă halucinant în care ne explică ce (nu) au votat. Trei chestii ne sar în ochi:

” Cu alte cuvinte, legea nu face obiectul reglementării activității posesorilor individuali de computere.”

Ba chiar activitatea posesorilor individuali de computere este atinsă direct de reglementare. Să explicăm:

Legea nici nu trebuie să se aplice direct calculatoarelor persoanelor fizice. Toate datele de trafic de Internet ale persoanelor fizice se află în mâna unor furnizori privați. În plus de furnizorii de acces la Internet (ISP) sunt și operatorii de site-uri, furnizori de email, motoare de căutare, magazine online, procesatori de plăți și de rețele de publicitate strâng enorm de multe date (uneori chiar mai multe decât cele de pe calculatorul propriu) care pot fi acum ușor accesate și legate de către aceste instituții de o anumită persoană.

Iar definiția de la art. 2 este extrem de largă: „persoanelor juridice de drept public sau privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de infrastructuri cibernetice”. Faptul că nu depinde cine este proprietarul calculatorului respectiv, ci doar dacă el este administrat, operat sau utilizat de către o persoană de drept public sau privat înseamnă că dacă vii cu calculatorul la serviciu sau îți folosești smartphone-ul și în scop de serviciu, poate însemna că el este utilizat de către persoana juridică de drept privat sau și în scop profesional.



Art 17, care a generat un interes aparte și interpretări eronate, se referă la responsabilitățile pe care le au deținătorii de infrastructuri cibernetice, persoane juridice de drept public sau privat, pentru asigurarea nivelului de protecție necesar împotriva atacurilor cibernetice.

Art. 17 este, în forma actuală, astfel:

a) Să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării.

Asta înseamnă că oricare din aceste instituții, dacă are o solicitare motivată ar trebui să fie lăsată să aibă acces la datele informatice deținute. Cine stabilește dacă această solicitare este suficient de motivată și dacă datele sunt relevante? Cine stabilește dacă solicitarea nu aduce atingere dreptului persoanei a cărei date sunt prelucrate? SRI? ISP-ul care le deține? De ce nu un judecător, așa cum prevede acum Codul de procedură penală (art. 138 (1) b și (3) + art. 140)?



În acest context, România nu putea rămâne în afara unui cadru legislativ adecvat, care să permită Ministerului Comunicațiilor intervenția în caz de atac cibernetic, în cooperare cu celelalte structuri ale statului de drept.

Dincolo de faptul că Minsiterul Comunicațiilor nu mai există astăzi și probabil se referă la Ministerul Societății Informaționale, conform art. 10 (1) și (4) al legii abia votate SRI este autoritatea națională în domeniul securității cibernetice și este responsabilă cu organizarea și executarea activităților care privesc securitatea cibernetică a României și punctul de contact cu privire la un atac cibernetic.

Rămâne cum am stabilit. Deci habar n-au ce au votat.