Curtea Constituţională: Legea securităţii cibernetice este neconstituţională

Plenul Curţii Constituţionale a analizat miercuri, în cadrul controlului anterior promulgării, obiecţia de neconstituţionalitate a prevederilor Legii privind securitatea cibernetică, obiecţie formulată de un 69 de deputaţi aparţinând Grupului Parlamentar al Partidului Naţional Liberal.

În urma deliberărilor, Curtea Constituţională, cu majoritate de voturi, a admis obiecţia de neconstituţionalitate şi a constatat că Legea privind securitatea cibernetică a României este neconstituţională, în ansamblul ei.

"Curtea a reţinut că întregul act normativ suferă de deficienţe sub aspectul respectării normelor de tehnică legislativă, coerenţă, claritate, previzibilitate, precum şi sub aspectul respectării procedurii legislative, prin lipsa avizului Consiliului Suprem de Apărare a Ţării, elemente de natură a determina încălcarea art.1 alin.(5) din Constituţie, care consacră principiul legalităţii, şi a prevederilor art.119 din Legea fundamentală, referitoare la atribuţiile CSAT", se arată într-un comunicat de presă al CC.

De asemenea, Curtea a constatat încălcarea dispoziţiilor constituţionale cuprinse în articolul 1, alineatele 3, 4 şi 5 referitoare la principiul statului de drept, principiul separaţiei puterilor în stat, respectiv principiul legalităţii, în articolul 21, alineatele 1 şi 3, referitor la accesul liber la justiţie şi dreptul la un proces echitabil, în articolul 26 privind viaţa intimă, familială şi privată şi în articolul 28 referitor la secretul corespondenţei, din perspectiva lipsei garanţiilor necesare respectării acestor drepturi, precum şi în articolul 53 privind restrângerea exerciţiului unor drepturi sau al unor libertăţi.

"Astfel, Curtea a constatat neconstituţionalitatea mai multor prevederi ale legii, printre care cele privind definirea noţiunii de «deţinători de infrastructuri cibernetice» (art.2 din lege), desemnarea Serviciului Român de Informaţii ca autoritate naţională în domeniul securităţii cibernetice (art.10), lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească) aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite accesul reprezentanţilor autorităţilor competente la datele deţinute, relevante în contextul solicitării (art.17), lipsa reglementării prin lege a criteriilor în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional, cât şi a modalităţii prin care se stabilesc acestea (art.19), autoritatea care efectuează auditarea de securitate cibernetică (art.20 lit.c), lipsa reglementării prin lege a circumstanţelor în care este necesară notificarea, precum şi a conţinutului acesteia (art.20 lit.c), lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autorităţile competente şi care sunt susceptibile a prejudicia drepturi sau interese legitime (art.16-23), lipsa predictibilităţii normelor referitoare la procedurile de monitorizare şi control, respectiv a celor privind constatarea şi sancţionarea contravenţiilor (art.27, 28, 30), lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească)  aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite autorităţilor competente să efectueze inspecţii, inclusiv inopinate, la orice instalaţie, incintă sau infrastructură (art.27 alin.(2)", potrivit CC.

Decizia este definitivă şi general obligatorie şi se comunică Preşedintelui României, preşedinţilor celor două Camere ale Parlamentului şi prim-ministrului. Argumentaţiile reţinute în motivarea soluţiei pronunţate de Plenul Curţii Constituţionale vor fi prezentate în cuprinsul deciziei, care se va publica în Monitorul Oficial.

În 23 decembrie 2014, deputaţii PNL au contestat la Curtea Constituţională Legea securităţii cibernetice, iniţiată de Guvern şi adoptată cu o săptămână înainte, în unanimitate, în plenul Senatului, deci şi cu votul favorabil al senatorilor PNL şi PDL.

Deputaţii liberali au arătat, în sesizarea de neconstituţionalitate a Legii securităţii cibernetice, că actul normativ limitează dreptul la viaţă privată digitală.

"Prin această lege, în mod mascat, se restrâng drepturile şi libertăţile cetăţeanului, prin permiterea accesului la infrastructură cibernetică şi la datele conţinute, în baza unei simple motivări comunicate de instituţiile abilitate şi nominalizate prin lege, fără existenţa unei aprobări judecătoreşti conform Codului de procedura penală şi cerinţelor adoptate de Curtea Constituţională prin deciziile 440/ 2014 şi 461/ 2014, deci legea nu este armonizată la cerinţele Curţii Constituţionale. Legea încalcă dispoziţiile art. 148, alin (2) şi următoarele din Constituţia României, prin netranspunerea corectă a reglementărilor comunitare în materie", potrivit sesizării depuse la CC.

Liderul grupului deputaţilor PNL, Ludovic Orban, arăta atunci că prevederile articolului 17 din legea invocată ar încălca prevederile constituţionale.

"După opinia mea, această nouă tentativă a Guvernului Ponta de a încerca să permită serviciilor de informaţii, unor instituţii de autoritate, Ministerul de Interne, Ministerul Apărării Naţionale, să intre cu bocancii în viaţa privată a cetăţeanului român reprezintă o gravă încălcare a democraţiei şi o gravă încălcare a drepturilor şi libertăţilor fundamentale ale cetăţeanului român. Noi, ca liberali, nu putem permite ca acest lucru să se întâmple", spunea Orban.

Legea securităţii cibernetice a fost adoptată în 19 decembrie 2014 de plenul Senatului. Legea prevede constituirea Sistemului Naţional de Securitate Cibernetică, coordonarea unitară a activităţilor acestui Sistem fiind făcută de MAE, MAI, MApN, SRI, SIE, STS, SPP, ORNISS şi CSAT. Senatul este Cameră decizională, după ce legea a trecut tacit de Camera Deputaţilor, pe 17 septembrie.

Legea stabileşte cadrul general de reglementare în domeniul securităţii cibernetice şi obligaţiile ce revin persoanelor juridice de drept public sau privat în scopul protejării infrastructurilor cibernetice, inclusiv furnizorii de servicii de internet, şi prevede obligaţii privind asigurarea securităţii sistemelor lor şi notificarea clienţilor în situaţia unor incidente/atacuri cibernetice şi luarea de măsuri pentru a restabili condiţiile normale de funcţionare.