20 de ONG-uri au cerut public joi Avocatului Poporului să evalueze oportunitatea cotestării la Curtea Constituțională a Ordonanței de urgență privind cloud-ul guvernamental, platforma IT de peste 500 milioane de euro finanțată din PNRR. Acestea reclamă că nu poti adopta prin OUG acte care afectează drepturi fundamentale și că SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale și nici îndeplinirea obligației de securitate a datelor.

Cloud guvernamentalFoto: Autoritatea pentru Digitalizarea Romaniei

În opinia ONG-urilor, actul normativ care a fost adoptat și publicat deja în Monitorul Oficial în 28 iunie 2022, ridică probleme cu privire la modul și felul în care a fost reglementat un domeniu care prin esența lui presupune prelucrarea pe scară largă de date personale, inclusiv date din categorii speciale.

Redăm mai jos ce probleme reclamă ONG-urile la Ordonanța privind cloudul guvernamental:

  • Nu se justifică urgența actului normativ

Practic Guvernul justifică urgența actului normativ doar prin propria inacțiune și prin depășirea propriilor termene propuse în cadrul PNRR.

Subiectul Cloud-ului guvernamental există în spațiul public în diverse formate de cel puțin 10 ani, iar inacțiunea guvernelor în acest domeniu nu reprezintă o justificare pentru legiferarea prin Ordonanță de Urgență a acestui domeniu.

Mai mult, primul draft al actualului act normativ a apărut în februarie, iar apoi a fost pus în dezabatere publica la jumătatea lunii martie. Noi am răspuns pe data de 25.03.2022, inclusiv cu cererea de organizare a unei dezbateri publice pe acest subiect conform Legii 52/2003, dar Guvernul a avut nevoie de 4 luni pentru a organiza aceasta dezbatere. După patru luni în care practic nu s-a dezbătut nimic, este ridicolă pretenția Guvernului că este vorba de o urgență ce nu suferă amânare, pentru a justifica ordonanța de urgență.

Nici măcar termenele din PNRR, care au fost asumate de către România în mod voluntar, fără a preciza că vreunul din actele normative adoptate ar trebui să fie trecut printr-o procedură de urgență și evitând procesul democratic normal, nu justifică adoptarea acestui act normativ fără contribuția Parlamentului și fără o dezbatere largă a acestui proiect. Mai mult primul termen de cerere de plată pentru PNRR este abia în octombrie 2022.

  • Prin OUG nu se pot adopta acte normative care aduc atingere drepturilor fundamentale

Proiectul reglementează inclusiv aspecte legate de prelucrarea datelor personale în Cloud-ul Guvernamental și implicarea serviciilor secrete în acest proces, aspecte care pot aduce atingere dreptului la viața privată, ca drept fundamental precizat de Constituția României.

Conform art. 115 (6) din Constituție, “ordonanțele de urgență nu pot fi adoptate în domeniul legilor constituționale, nu pot afecta regimul instituțiilor fundamentale ale statului, drepturile, libertățile și îndatoririle prevăzute de Constituție, drepturile electorale și nu pot viza măsuri de trecere silită a unor bunuri în proprietate publică.”

Oricum aspectele legate de drepturile cetățenești au fost – pe tot parcursul dezbaterii publice – tratate minimalist:

  • 1. instrumentul de prezentare al proiectului de act normativ (Nota de fundamentare) nu include secțiunea dedicată analizei impactului asupra drepturilor omului, care este obligatorie conform prevederilor Legii nr. 24/2000 privind normele de tehnică legislativă. Chiar Guvernul Ciucă, prin Hotărârea nr. 443/2022, din 30 martie, a actualizat forma obligatorie a instrumentului de prezentare, făcând mai vizibilă secțiunea privind drepturile omului. Ministerul Cercetării, Inovării și Digitalizării a ales să ignore această hotărâre de guvern, cu toate că din text rezultă în mod evident că proiectul are un impact asupra vieții private. În mod ridicol textul actual spune că “prezentul proiect de act normativ nu afectează exercițiul drepturilor și libertățile fundamentale”, deși textul în sine conține dispoziții care ar trebui să reglementeze modul de prelucrare a datelor personale – deci o afectare există, chiar dacă aceasta poate fi necesară într-un stat democratic.
  • 2. Aspectele legate de prelucrarea datelor cu caracter personal ar fi trebuit să fie unul din elementele cheie ale acestei propuneri, bazate pe o analiză de impact (obligatorie conform art. 35 alin. 2 lit. d) din Regulamentul UE 679/2016, dar și a Deciziei ANSPDCP nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal), inclusiv cu privire la capacitatea instituțiilor propuse de a efectua anumite activități. În schimb, articolul 9 propus reușește să nu reglementeze nimic clar – oferind posibilitatea instituțiilor (Ministerul Cercetării, Inovării și Digitalizării , Autoritatea pentru Digitalizarea României, Serviciul de Telecomunicații Speciale și Serviciul Român de Informații) să joace orice rol de prelucrare (operator sau persoană împuternicită) și copiind referințe la legislațiile actuale care oricum ar fi aplicabile, dar lăsând aspectele practice fie nereglementate (ceea ce înseamnă probabil că vor trebuie reglementate contractual sau prin alte legislații secundare între părți), fie făcând trimitere directă la o viitoare legislație secundară (vezi art. 10 alin. 8).
  • 3. Prin art. 6 se creează atribuții suplimentare ale SRI, de asigurare a “securității cibernetice a cloud-ului” (atribuție aproape identică cu cea a STS din art. 5 alin. 4!). Amintim că unica obligația legală unică a SRI, conform art. 2 din Legea nr. 14/1992 este de a desfășura “activități pentru culegerea, verificarea și valorificarea informațiilor (…)”.

Practic SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale (în special folosirea datelor exclusiv în scopul furnizării serviciilor din cloud) și nici îndeplinirea obligației de securitate a datelor (nici ca operator, nici ca persoană împuternicită), pentru că obligația sa legală din Legea nr. 14/1992 este contrară celor din Regulamentul UE 679/2016 GDPR (în special articolele 5, 6 și 32).

Mai mult, și jurisprudența Curții Constituționale a României este constantă în acest domeniu, chiar anterior intrării în vigoare a GDPR, o argumentație similară fiind inclusă în Decizia nr. 17/2015 a CCR cu privire la altă structură din cadrul SRI care ar fi trebuit să joace un rol relativ similar cu cel pe care SRI urmează să îl joace acum în implementarea Cloud-ului guvernamental, dar care nu poate oferi garanțiile minime necesare pentru respectarea dreptului la viață privată:

“Or, în condiţiile în care Centrul Naţional de Securitate Cibernetică constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidenţă că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţa intimă, familială şi privată şi la secretul corespondenţei.”

Având în vedere cele descrise mai sus, vă invităm să analizați potențialul de neconstituționalitate al Ordonanței de Urgență 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizat de autoritățile și instituțiile publice și oportunitatea sesizării Curții Constituționale a României.

Semnatari:

Asociația pentru Tehnologie și Internet

ActiveWatch

CeRe: Centrul de Resurse pentru participare publică

Centrul pentru Inovare Publică

Asociatia Militia Spirituala

Asociatia Respiro

Asociația Rise OUT

Asociația dexonline

Centrul pentru Studiul Democrației

Asociația Română Anti-SIDA – ARAS

APADOR-CH

Centrul pentru Politici Durabile Ecopolis

Centrul pentru Legislație Nonprofit

Fundația pentru Dezvoltarea Societății Civile

Centrul FILIA

Asociația CIVICA

Consiliul Național al Dizabilității din România

Consiliul Tineretului din România

Átlátszó Erdély/Transilvania Transparentă

Funky Citizens

  • Context

Guvernul a adoptat luni Ordonanța de urgență privind autoritățile care vor gestiona cloud-ul guvernamental, platforma IT care va găzdui sistemele IT ale instituțiilor publice centrale, iar ministrul Digitalizării, Sebastian Burduja, a spus că platforma va avea o componentă de jurnalizare și audit prin care cetățenii vor ști cine le-a accesat datele.

Pentru detalii citește: