Asociatia pentru Apararea Drepturilor Omului in Romania - Comitetul Helsinki (APADOR-CH) si Asociatia pentru Tehnologie si Internet (ApTI), sustinute de alte 11 ONG-uri, au depus luni, 19 ianuarie, la Curtea Constitutionala un demers de tipul amicus curiae prin care sustin obiectia de neconstitutionalitate ridicata de Grupul Parlamentar al PNL, cu privire la Legea 580/2014, a securitatii cibernetice. ONG-urile sustin ca "articolul 17(1) din legea criticata, prin care noua institutii publice au acces, fara autorizarea unui judecator, la orice date informatice, nu indeplineste criteriul apararii efective a dreptului la protectia vietii private". Pe de alta parte, SRI sustine ca legea nu permite institutiilor statului accesul la date care tin de viata privata a persoanelor, fara autorizarea prealabila a unui judecator.

Cyber intelligenceFoto: breakinggov.com

Prin amicus curiae este permis celor care au o expertiza intr-un anumit domeniu (in speta, respectarea drepturilor omului, libertatea de asociere) sa ajute instanta, ca "prieteni ai instantei" (amicii curiae), prin furnizarea, cu rol consultativ, de informatii/observatii relevante pentru solutionarea unei cauze importante.

Neconstitutionalitatea Legii securitatii cibernetice, votata in unanimitate de Senat la 19 decembrie 2014, va fi discutata de Curtea Constitutionala miercuri, 21 ianuarie 2015.

In sesizarea amicus curiae (vezi documentul atasat) transmisa luni Curtii Constitutionale, ONG-urile sustin ca:

Articolele 2, 3, 16 si 17 din Legea 580/2014 incalca urmatoarele articole din Constitutie:

- art. 26 privind viata intima, familiala si privata

- art. 27 privind inviolabilitatea domiciliului

- art. 28 privind secretul corespondentei

- art. 1 alin (3) privind libera dezvoltare a personalitatii umane si demnitatea omului

- art. 1 alin (4) privind principiului separatiei si echilibrului puterilor

- art. 45 privind libertatea economica

- art. 53 alin (2) privind restrangerea unor drepturi sau libertati.

Ce avertizeaza ONG-urile in sesizarea Amicus Curiae:

  • "(..) articolul 17(1) din legea criticata, prin care noua institutii publice au acces, fara autorizarea unui judecator, la orice date informatice, nu indeplineste criteriul apararii efective a dreptului la protectia vietii private. Astfel o parte din cele noua institutii publice nu au nicio urma de competenta in domeniul securitatii informatice (cum ar fi SPP sau ORNISS), iar acordarea acestui drept tuturor acestor institutii in conditii similare si vagi ne demonstreaza lipsa de predictibilitate a legii", se arata in sesizare.

ONG-urile spun si ca nu sunt definite clar datele la care se permite accesul:

"Terminologia articolului 17 (1) ne indica ca se vorbeste de orice date detinute de catre persoanele juridice de la art. 2. In mod logic este vorba despre date informatice, care sunt definite de Codul de procedura penala:

Art. 138 (5) Prin date informatice se intelege orice reprezentare de fapte, informatii sau concepte sub o forma adecvata prelucrarii intr-un siste m informatic, inclusiv un program capabil sa determine executarea unei functii de catre un sistem informatic.

SRI a intervenit(desi nu are nicio competenta de interpretare normativa) dupa adoptarea legii pentru a 'explica' termenul de 'date'. Insa conform principiul "Ubi lex non distinguit, nec nos distinguere debemus" nediferentierea tipurilor de date la care se refera legea ne determina sa consideram ca in lege este vorba de toate tipurile de date informatice posibile, deci inclusiv:

  • Date cu privire la continutul comunicatiei (de ex. ce a spus Ion Popescu intr-un email);
  • Date de trafic ale furnizorilor de comunicatii electronice, (de ex. la ce ora a trimis Ion Popescu un email) situatie deja considerata in Curtea Constitutionala in deciziile 1258/2009 si 440/2014;
  • Date tehnice (care pot fi si date de trafic) ale unor alti furnizori, dar care pot fi si date personale (de ex. adresa de IP sau de email a unui abonat la un serviciu online);
  • Date tehnice ale unor furnizori care nu sunt date personale (de ex. data si ora la care un site web a fost infectat sau lacuna de securitate folosita la un atac).

Nediferentierea cel putin intre aceste tipuri de date face textul legii criticate extrem de vag. De altfel nici macar comunicatul SRI mai sus mentionat nu reuseste sa distinga in exemplul dat de ei intre date personale (adresa de IP) si date pur tehnice", se mai arata in sesizarea de tip amicus curiae.

  • SRI cere Legea securitatii cibernetice, "in contextul cresterii fara precedent a amenintarilor" informatice si spune ca legea nu permite accesul la date personale fara mandat

De cealalta parte, Serviciul Roman de Informatii (SRI) a afirmat, duminica, 18 ianuarie, intr-un comunicat remis HotNews, ca legea securitatii cibernetice, fata de care mai multe organizatii non-guvernamentale si-au exprimat opozitia, este "indispensabila" facilitarii unor masuri impotriva agresiunilor cibernetice, in "contextul actual al cresterii fara precedent a riscurilor si amenintarilor cibernetice".

In comunicatul de duminica, SRI arata ca Legea securitatii cibernetice nu incalca drepturile si libertatile fundamentale ale omului, in forma adoptata de Parlament.

  • "Reiteram faptul ca legea, asa cum a fost adoptata de Parlamentul Romaniei, nu permite institutiilor statului accesul la date care tin de viata privata a persoanelor, fara autorizarea prealabila a unui judecator. Din aceasta perspectiva, consideram ca temerile, speculatiile si acuzatiile manifestate in spatiul public sunt lipsite de orice fundament real", a mentionat sursa citata, in comunicatul de duminica.

Ce spune SRI despre accesul la date in baza unei solicitari motivate:

SRI sustine ca "potrivit art.17 al acestei legi, doar detinatorii de infrastructuri cibernetice (nu persoane fizice detinatoare de echipamente IT&C - computere, tablete, smartphone etc.) au responsabilitatea de a pune la dispozitia autoritatilor competente (la solicitare motivata) exclusiv date tehnice, cum ar fi indicatorii ce descriu activitatile desfasurate la nivelul sistemelor de operare (log-uri), cu privire la amenintarea (atac cibernetic, incident de securitate etc.) care face obiectul solicitarii.

Ulterior, daca din evaluarea datelor tehnice obtinute preliminar, care restrang campul de investigatie, rezulta necesitatea extinderii cercetarii asupra unor echipamente implicate in agresiunea cibernetica si care pot fi asociate in mod absolut concret unor persoane determinate, accesul la aceste echipamente se va realiza numai in baza unei autorizari eliberate de judecator (conform prezentarii grafice alaturate, care prezinta schematic modul de parcurgere a etapelor investigative).

Asadar, subliniem in mod responsabil ca accesul autoritatilor competente la un anume echipament IT (computer, tableta, smartphone etc.), respectiv la datele cu caracter privat stocate pe acestea, care presupune restrangerea exercitiului unor drepturi sau libertati fundamentale, se poate realiza exclusiv in baza unei autorizatii eliberate de judecator".