Curtea Constitutionala a motivat neobisnuit de repede decizia prin care a statuat, cu majoritate de voturi, ca si cea de-a treia dintre legile denumite generic "Big Brother", pe care Senatul a adoptat-o in ajunul Sarbatorilor, contravine flagrant Constitutiei. Este vorba despre Decizia nr. 17 din 21 ianuarie 2015, prin care a fost admisa exceptia de neconstitutionalitate a Legii privind securitatea cibernetica a Romaniei, obiectie ridicata de 69 de deputati liberali. Dupa ce a respins ca neconstitutionale atat Legea retentiei datelor ("Big Brother I"), cat si Legea cartelelor preplatite ("Big Brother II"), acte normative considerate un real pericol pentru societate si o ingerinta in drepturile si libertatile fundamentale ale omului, CCR a declarat ca Legea securitatii cibernetice ("Big Brother III") este "viciata in integralitate" si "neconstitutionala in ansamblul sau".

Declararea neconstitutionalitatii si a celei de-a treia legi "Big Brother" a fost, se pare, ultima picatura in conflictul interinstitutional care mocnea intre Curtea Constitutionala a Romaniei, condusa de Augustin Zegrean (foto), si Serviciul Roman de Informatii. Mai multe voci avizate din sistem, o parte a presei, precum si reprezentanti ai societatii civile au pus pe seama acestei decizii a CCR atat actiunea intempestiva declansata de DNA (la o zi de la pronuntarea deciziei) impotriva judecatorului constitutional Toni Grebla, cat si demisia lui George Maior, cel care a condus, de drept, timp de 8 ani si 4 luni, Serviciul Roman de Informatii, beneficiarul nr. 1 al experimentului de sorginte americana "Big Brother" si partenerul de nadejde al DNA.

Proiectul de lege a fost elaborat fara avizul CSAT, astfel ca actul normativ a fost adoptat cu incalcarea primului articol din Constitutie

In primul rand, cei 9 judecatori constitutionali au constatat ca, potrivit reglementarilor in vigoare, Guvernul avea obligatia de a solicita avizul Consiliului Suprem de Aparare a Tarii atunci cand a elaborat proiectul Legii privind securitatea cibernetica a Romaniei, ceea ce nu s-a intamplat. Intrucat nu a fost respectata obligatia conform careia CSAT este organismul care avizeaza proiectele de acte normative privind securitatea nationala initiate sau emise de Guvern, Executivul mentionand doar avizul Consiliului Legislativ, CCR a stabilit ca actul normativ a fost adoptat cu incalcarea art.1 alin.(5) din Constitutie, care consacra principiul legalitatii, si a art.119, referitor la atributiile CSAT:

"Din analiza documentului elaborat de initiatorul legii intitulat 'Expunere de motive', Sectiunea a 6-a - Consultari efectuate in vederea elaborarii proiectului de act normativ, la rubrica Informatii privind avizarea de catre autoritatile competente, Curtea constata ca Guvernul mentioneaza doar avizul Consiliului Legislativ. (...) Cu privire la domeniul de reglementare a actului normativ supus controlului de constitutionalitate, Curtea retine ca, in temeiul prevederilor art.119 din Legea fundamentala, 'Consiliul Suprem de Aparare a Tarii organizeaza si coordoneaza unitar activitatile care privesc apararea tarii si securitatea nationala, participarea la mentinerea securitatii internationale si la apararea colectiva in sistemele de alianta militara, precum si la actiuni de mentinere sau de restabilire a pacii'. In aplicarea acestor prevederi, art.4 lit.d) pct.1 din Legea nr.415/2002 privind organizarea si functionarea Consiliului Suprem de Aparare a Tarii, prevede, printre atributiile CSAT, ca acesta 'avizeaza proiectele de acte normative initiate sau emise de Guvern privind securitatea nationala'. Pe de alta parte, potrivit art.9 alin.(1) din Legea nr.24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative, 'in cazurile prevazute de lege, in faza de elaborare a proiectelor de acte normative initiatorul trebuie sa solicite avizul autoritatilor interesate in aplicarea acestora, in functie de obiectul reglementarii'. De asemenea, art.31 alin.(3) din aceeasi lege prevede ca 'Forma finala a instrumentelor de prezentare si motivare a proiectelor de acte normative trebuie sa cuprinda referiri la avizul Consiliului Legislativ si, dupa caz, al Consiliului Suprem de Aparare a Tarii, Curtii de Conturi sau Consiliului Economic si Social'. Asadar, in temeiul dispozitiilor legale, Guvernul avea obligatia de a solicita avizul Consiliului Suprem de Aparare a Tarii atunci cand a elaborat proiectul Legii privind securitatea cibernetica a Romaniei. Pentru argumentele expuse, intrucat in cadrul procedurii legislative, initiatorul nu a respectat obligatia legala, conform careia Consiliul Suprem de Aparare a Tarii avizeaza proiectele de acte normative initiate sau emise de Guvern privind securitatea nationala, Curtea constata ca actul normativ a fost adoptat cu incalcarea prevederilor constitutionale ale art.1 alin.(5) care consacra principiul legalitatii, si ale art.119 referitoare la atributiile Consiliului Suprem de Aparare a Tarii".

CNSC (structura militara a SRI) a fost desemnat autoritate nationala in materia securitatii cibernetice, in locul unui organism civil

In continuare, Curtea Constitutionala a retinut ca infiintarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor si retelelor cibernetice, precum si a informatiei, care sa constituie punctul de contact pentru relationarea cu organismele similare din strainatate, inclusiv al cooperarii transfrontaliere la nivelul UE, ar fi trebuit sa vizeze un organism civil, care sa functioneze integral pe baza controlului democratic, si nu o autoritate care desfasoara activitati in domeniul informatiilor, al aplicarii legii sau al apararii ori care sa reprezinte o structura a unui organism care activeaza in aceste domenii, cum este cazul Centrului National de Securitate Cibernetica (CNSC), structura militara a SRI:

"Un element de noutate adus de legea criticata, prin art.10 alin.(1), il constituie desemnarea Serviciului Roman de Informatii ca autoritate nationala in domeniul securitatii cibernetice, calitate in care asigura organizarea si executarea activitatilor care privesc securitatea cibernetica a Romaniei. In acest scop, in structura SRI functioneaza Centrul National de Securitate Cibernetica (CNSC), care a fost constituit, organizat si functioneaza deja in cadrul SRI, cu personal militar specializat, potrivit unor hotarari ale Consiliului Suprem de Aparare a Tarii. (...) In analiza de constitutionalitate, Curtea porneste de la premisa ca strategia de securitate cibernetica si legea privind securitatea cibernetica au un rol important in asigurarea securitatii nationale a Romaniei, pe de o parte, si a protectiei persoanei fata de riscurile la adresa vietii private si a protectiei datelor cu caracter personal in mediul online, pe de alta parte. Cu privire la aceste aspecte analizate coroborat, prin Hotararea din 6 septembrie 1978, pronuntata in Cauza Klass si altii impotriva Germaniei, Curtea Europeana a Drepturilor Omului a apreciat ca 'Societatile democratice sunt amenintate in prezent de modalitati complexe de spionaj si de terorism, astfel ca statul trebuie sa fie capabil, pentru a combate eficient aceste amenintari, sa supravegheze in mod secret elementele subversive care opereaza pe teritoriul sau' (paragraful 42). Cu toate acestea, Curtea, constienta de pericolul, inerent masurilor de supraveghere secreta, 'de a submina, chiar de a distruge democratia sub motivul apararii acesteia, afirma ca statele nu pot lua, in numele combaterii spionajului si terorismului, orice masura pe care acestea o considera adecvata' (paragraful 49). In aceasta lumina, Curtea Constitutionala trebuie sa verifice daca reglementarea domeniului vizat concorda cu respectarea dreptului la viata intima, familiala si privata, cu inviolabilitatea secretului corespondentei, cu dreptul la protectia datelor cu caracter personal, valori fundamentele care ar trebui sa reprezinte principii directoare ale politicii de securitate cibernetica la nivel national, si sa se asigure ca legislatia adoptata nu conduce la masuri care ar constitui interferente neconstitutionale cu drepturile mentionate. Asa fiind, Curtea apreciaza ca, pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, infiintarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor si retelelor cibernetice, precum si a informatiei, care sa constituie punctul de contact pentru relationarea cu organismele similare din strainatate (asa cum prevede art.10 alin.(4) din lege), inclusiv al cooperarii transfrontaliere la nivelul Uniunii Europene, trebuie sa vizeze un organism civil, care sa functioneze integral pe baza controlului democratic, iar nu o autoritate care desfasoara activitati in domeniul informatiilor, al aplicarii legii sau al apararii ori care sa reprezinte o structura a vreunui organism care activeaza in aceste domenii. (...) In opinia Curtii, optiunea pentru desemnarea in calitate de autoritate nationala in domeniul securitatii cibernetice a unui organism civil, iar nu a unei entitati militare cu activitate in domeniul informatiilor, se justifica prin necesitatea preintampinarii riscului de a deturna scopul legii securitatii cibernetice in sensul folosirii atributiilor conferite prin aceasta lege de catre serviciile de informatii in scopul obtinerii de informatii si date cu consecinta incalcarii drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, tocmai acest lucru nu evita legea supusa controlului de constitutionalitate prin desemnarea SRI si a structurii sale militarizate CNSC. (...) Astfel, examinand atributiile stabilite de actul normativ supus controlului, apare cu evidenta intentia legiuitorului de a stabili in competenta CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, atat din mediul public, cat si din cel privat. Or, in conditiile in care Centrul National de Securitate Cibernetica constituie o structura militara, in cadrul unui serviciu de informatii, subordonata ierarhic conducerii acestei institutii, deci sub un control direct militar-administrativ, apare cu evidenta ca o atare entitate nu indeplineste conditiile cu privire la garantiile necesare respectarii drepturilor fundamentale referitoare la viata intima, familiala si privata si la secretul corespondentei. (...) Pentru toate aceste argumente, Curtea constata ca dispozitiile art.10 alin.(1) din legea supusa controlului incalca prevederile constitutionale ale art.1 alin.(3) si (5) referitoare la statul de drept si principiul legalitatii, precum si cele ale art.26 si art.28 privind viata intima, familiala si privata, respectiv secretul corespondentei, din perspectiva lipsei garantiilor necesare garantarii acestor drepturi".

Prezentam in continuare alte pasaje relevante din motivarea Deciziei de 44 de pagini, cu sublinierea criticililor pe care CCR le aduce Legii securitatii cibernetice a Romaniei:

Legea nu este precisa si previzibila, intrucat notiunile cu care opereaza lasa loc la interpretari. CCR: "Deschide posibilitatea unor abuzuri din partea autoritatilor competente"

"Curtea observa ca dispozitiile art.2 prevad sfera de incidenta a legii, sub aspectul destinatarilor sai, aratand ca persoanele juridice de drept public sau privat carora le sunt aplicabile prevederile legale, intitulati generic detinatori de infrastructuri cibernetice, sunt: proprietarii, administratorii, operatorii sau utilizatorii de infrastructuri cibernetice, definite la art.5 lit.g) ca fiind infrastructuri din domeniul tehnologiei informatiei si comunicatii, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice.

Definirea expresiei 'detinatori de infrastructuri cibernetice' este deosebit de importanta, deoarece includerea in aceasta categorie implica pentru persoanele vizate obligatia de a respecta prevederile legii, pe de o parte, si justificarea pentru autoritatile desemnate de lege cu competente in domeniul securitatii cibernetice de a dispune masuri speciale in ceea ce le priveste.

Obligatiile care incumba destinatarilor legii vizeaza asigurarea rezilientei infrastructurilor cibernetice, respectiv capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic si de a reveni la starea de normalitate. Aceasta stare este mentinuta in urma aplicarii unui ansamblu de masuri proactive si reactive prin care se asigura confidentialitatea, integritatea, disponibilitatea, autenticitatea si nonrepudierea informatiilor in format electronic, a resurselor si serviciilor publice sau private, din spatiul cibernetic. Includerea in sfera de incidenta a legii a utilizatorilor de infrastructuri cibernetice, deci a tuturor persoanelor juridice care utilizeaza retele si servicii de comunicatii electronice, ridica probleme legate de modul in care acestea pot sa-si indeplineasca obligatiile si responsabilitatile prevazute de lege, in conditiile in care nu sunt proprietari, administratori sau operatori ai infrastructurilor cibernetice pe care le utilizeaza, iar legea face vorbire in cuprinsul art.16, despre infrastructuri cibernetice proprii sau aflate in responsabilitate. Mai mult, in masura in care obligatiile si responsabilitatile cad atat in sarcina proprietarilor, administratorilor sau operatorilor infrastructurilor cibernetice, cat si a utilizatorilor acestor infrastructuri, iar legea nu stabileste sensul notiunii de utilizator, rezulta ca obligatiile si responsabilitatile se exercita in mod concurent la nivelul fiecarui sistem sau fiecarei retele informatice. Spre exemplu, potrivit art.16 alin.(1) lit.a) si b) din lege, atat proprietarul, cat si utilizatorul sunt obligati sa aplice politici de securitate, sa identifice si sa implementeze masurile tehnice si organizatorice adecvate pentru a gestiona eficient riscurile de securitate. Insa, exista posibilitatea ca, uneori, politicile de securitate, masurile tehnice si, mai ales, cele organizatorice, considerate adecvate de cele doua entitati, sa nu coincida sau sa nu fie compatibile, astfel incat finalitatea urmarita de lege sa nu fie atinsa. Or, destinatarii legii trebuie sa aiba o reprezentare clara si corecta a normelor juridice aplicabile, astfel incat sa isi adapteze conduita si sa prevada consecintele ce decurg din nerespectarea acestora, lipsa unei reglementari predictibile in acest sens constituind premisa unei aplicari neunitare, discretionare, in activitatea de securizare cibernetica a Romaniei.

In concluzie, intrucat notiunile cu care opereaza legea nu delimiteaza in mod neechivoc sfera de incidenta a normelor cuprinse in actul supus controlului de constitutionalitate, Curtea retine ca acesta nu are un caracter precis si previzibil, si, prin urmare, dispozitiile art.2 contravin art.1 alin.(5) din Legea fundamentala.

Curtea retine ca tuturor detinatorilor de infrastructuri cibernetice le sunt aplicabile dispozitiile art.16 (care stabilesc obligatiile ce le incumba), si ale art.17 (care consacra responsabilitatile pe care acestia trebuie sa le indeplineasca). Printre responsabilitatile acestor persoane este si aceea de a acorda sprijinul necesar, la solicitarea motivata a Serviciului Roman de Informatii, Ministerului Apararii Nationale, Ministerului Afacerilor Interne, Oficiului Registrului National al Informatiilor Secrete de Stat, Serviciului de Informatii Externe, Serviciului de Telecomunicatii Speciale, Serviciului de Protectie si Paza, CERT-RO si ANCOM, in indeplinirea atributiilor ce le revin acestora, si 'sa permita accesul reprezentantilor desemnati in acest scop la datele detinute, relevante in contextul solicitarii'. Textul de lege impune o dubla analiza: prima, din perspectiva tipului de date la care se permite accesul, a doua, din perspectiva modalitatii in care se realizeaza accesul.

Cu privire la primul aspect, desi legislatia privind protectia datelor cu caracter personal nu este mentionata in mod expres in lege, accesul la datele detinute de persoanele care cad sub incidenta legii, nu exclude accesarea, prelucrarea si utilizarea datelor cu caracter personal. De asemenea, avand in vedere ca infrastructurile cibernetice constau in sisteme informatice, in retele si servicii de comunicatii electronice, care faciliteaza stocarea si transferul de date, apare ca fiind evident ca tipul de date cuprinse in aceste sisteme si retele sunt inclusiv date care privesc viata privata a persoanelor utilizatoare. Prevederea in temeiul careia accesul se realizeaza cu privire la 'datele detinute, relevante in contextul solicitarii' permite interpretarea potrivit careia autoritatilor desemnate de lege trebuie sa li se permita accesul la oricare din datele stocate in aceste infrastructuri cibernetice, daca autoritatile apreciaza ca respectivele date prezinta relevanta. Se remarca, astfel, caracterul nepredictibil al reglementarii, atat sub aspectul tipului de date accesate, cat si al evaluarii relevantei datelor solicitate, de natura sa creeze premisele unor aplicari discretionare de catre autoritatile enumerate in ipoteza normei. Astfel, datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare si transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de continut. Lipsa unei reglementari legale precise, care sa determine cu exactitate sfera acelor date necesare identificarii evenimentelor survenite in spatiul cibernetic (amenintari, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autoritatilor competente. Or, cadrul normativ intr-un domeniu atat de sensibil trebuie sa se realizeze intr-o maniera clara, previzibila si lipsita de confuzie, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrariului sau a abuzului celor chemati sa aplice dispozitiile legale.

Cu privire la aceste probleme, Curtea deja a decis intr-o maniera indubitabila, prin Decizia nr.440 din 8 iulie 2014, publicata in Monitorul Oficial al Romaniei, Partea I, nr.653 din 4 septembrie 2014, statuand ca, 'datele care fac obiectul reglementarii, desi au un caracter predominant tehnic, sunt retinute in scopul furnizarii informatiilor cu privire la persoana si viata sa privata. Chiar daca, potrivit art.1 alin.(3) din lege, aceasta nu se aplica si continutului comunicarii sau informatiilor consultate in timpul utilizarii unei retele de comunicatii electronice, celelalte date retinute, avand ca scop identificarea apelantului si a apelatului, respectiv a utilizatorului si a destinatarului unei informatii comunicate pe cale electronica, a sursei, destinatiei, datei, orei si duratei unei comunicari, a tipului de comunicare, a echipamentului de comunicatie sau a dispozitivelor folosite de utilizator, a locatiei echipamentului de comunicatii mobile, precum si a altor «date necesare» - nedefinite in lege -, sunt de natura sa prejudicieze manifestarea libera a dreptului la comunicare sau la exprimare. In concret, datele avute in vedere conduc la concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate, concluzii ce pot viza obiceiurile din viata cotidiana, locurile de sedere permanenta sau temporara, deplasarile zilnice sau alte deplasari, activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate de ele. Or, o atare limitare a exercitiului dreptului la viata intima, familiala si privata si la secretul corespondentei, precum si a libertatii de exprimare trebuie sa aiba loc intr-o maniera clara, previzibila si lipsita de echivoc, astfel incat sa fie indepartata, pe cat posibil, eventualitatea arbitrarului sau a abuzului autoritatilor in acest domeniu'. (paragraful 56)

De asemenea, Curtea de Justitie a Uniunii Europene a retinut, prin Hotararea din 8 aprilie 2014, pronuntata in cauzele conexate C-293/12 - Digital Rights Ireland Ltd impotriva Minister for Communications, Marine and Natural Resources si altii - si C-594/12 - Kaerntner Landesregierung si altii, ca datele ce fac obiectul reglementarii Directivei 2006/24/CE, invalidate, conduc la concluzii foarte precise privind viata privata a persoanelor ale caror date au fost pastrate, concluzii ce pot viza obiceiurile din viata cotidiana, locurile de sedere permanenta sau temporara, deplasarile zilnice sau alte deplasari, activitatile desfasurate, relatiile sociale ale acestor persoane si mediile sociale frecventate de ele (paragraful 27) si ca, in aceste conditii, chiar daca, potrivit art.1 alin.(2) si art.5 alin.(2) din Directiva 2006/24/CE, este interzisa pastrarea continutului comunicatiilor si al informatiilor consultate prin utilizarea unei retele de comunicatii electronice, pastrarea datelor in cauza poate afecta utilizarea de catre abonati sau de catre utilizatorii inregistrati a mijloacelor de comunicare prevazute de aceasta directiva si, in consecinta, libertatea lor de exprimare, garantata prin art.11 din Carta (paragraful 28). (...)

Cu privire la cel de-al doilea aspect, legea criticata se limiteaza la a preciza care sunt autoritatile care pot solicita accesul la datele detinute pe baza formularii unei solicitari motivate, fara a reglementa modalitatea in care se realizeaza accesul efectiv la datele detinute, asa incat persoanele ale caror date au fost pastrate sa beneficieze de garantii suficiente care sa le asigure protectia impotriva abuzurilor si a oricarui acces sau utilizari ilicite. Astfel, legea nu prevede criterii obiective care sa limiteze la strictul necesar numarul de persoane care au acces si pot utiliza ulterior datele pastrate, si nu stabileste ca accesul autoritatilor nationale la datele stocate este conditionat de controlul prealabil efectuat de catre o instanta judecatoreasca, care sa limiteze acest acces si utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmarit. Garantiile legale privind utilizarea in concret a datelor retinute nu sunt suficiente si adecvate pentru a indeparta teama ca drepturile personale, de natura intima, sunt violate, asa incat manifestarea acestora sa aiba loc intr-o maniera acceptabila (a se vedea in acest sens si Decizia nr.440/2012, paragraful 57).

Solicitarile de acces la datele retinute in vederea utilizarii lor in scopul prevazut de lege, formulate de catre organele de stat desemnate autoritati in domeniul securitatii cibernetice pentru domeniile lor de activitate, nu sunt supuse autorizarii sau aprobarii instantei judecatoresti, lipsind astfel garantia unei protectii eficiente a datelor pastrate impotriva riscurilor de abuz precum si impotriva oricarui acces si a oricarei utilizari ilicite a acestor date. Aceasta imprejurare este de natura a constitui o ingerinta in drepturile fundamentale la viata intima, familiala si privata si a secretului corespondentei si, prin urmare, contravine dispozitiilor constitutionale care consacra si protejeaza aceste drepturi. Lipsa unor astfel de autorizari a fost criticata, printre altele, si de catre Curtea de Justitie a Uniunii Europene prin Hotararea din 8 aprilie 2014, aceasta lipsa echivaland cu insuficienta garantiilor procesuale necesare ocrotirii dreptului la viata privata si a celorlalte drepturi consacrate de art.7 din Carta drepturilor si libertatilor fundamentale si a dreptului fundamental la protectia datelor cu caracter personal, consacrat de art.8 din Carta (paragraful 62).

In concluzie, in conditiile in care masurile adoptate prin legea supusa controlului de constitutionalitate nu au un caracter precis si previzibil, ingerinta statului in exercitarea drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei, desi prevazuta de lege, nu este formulata clar, riguros si exhaustiv pentru a oferi incredere cetatenilor, caracterul strict necesar intr-o societate democratica nu este pe deplin justificat, iar proportionalitatea masurii nu este asigurata prin reglementarea unor garantii corespunzatoare, consideram ca dispozitiile art.17 alin.(1) lit.a) din Legea privind securitatea cibernetica a Romaniei incalca prevederile art.1 alin.(5), art.26, art.28, si art.53 din Constitutie. Asadar, limitarea exercitiului acestor drepturi personale in considerarea unor drepturi colective si interese publice, ce vizeaza securitatea cibernetica rupe justul echilibru care ar trebui sa existe intre interesele si drepturile individuale, pe de o parte, si cele ale societatii, pe de alta parte, legea criticata nereglementand garantii suficiente care sa permita asigurarea unei protectii eficiente a datelor fata de riscurile de abuz, precum si fata de orice accesare si utilizare ilicita a datelor cu caracter personal (ad similis, Decizia nr.461/2014, paragraful 44)".

Infrastructurile cibernetice de interes national (ICIN). CCR: "Identificarea ICIN se realizeaza pe baza unei metodologii elaborate de SRI si de MSI, in baza unei proceduri neprevazute de lege"

"In continuarea analizei sale, Curtea observa ca, din coroborarea dispozitiilor art.2 cu art.19 si art.20 din lege, rezulta ca, in cadrul detinatorilor de infrastructuri cibernetice, se creeaza o subcategorie – detinatorii de infrastructuri cibernetice de interes national (ICIN), care, potrivit art.2 lit.h) din lege, reprezinta infrastructurile cibernetice care sustin servicii publice sau de interes public, ori servicii ale societatii informationale, a caror afectare poate aduce atingere securitatii nationale, sau prejudicii grave statului roman ori cetatenilor acestuia. Acestia sunt cuprinsi in Catalogul ICIN, intocmit de Ministerul pentru Societatea Informationala, cu consultarea COSC, la propunerea CNSC sau, dupa caz, a CERT-RO, si a ANCOM. Potrivit art.19 alin.(1), catalogul este aprobat prin hotarare a Guvernului. Identificarea ICIN se realizeaza pe baza criteriilor de selectie cuprinse in metodologia elaborata de Serviciul Roman de Informatii si Ministerul pentru Societatea Informationala si este aprobata prin hotarare de Guvern.

Cu privire la aceste aspecte, Curtea apreciaza ca modalitatea prin care se stabilesc criteriile in functie de care se realizeaza selectia infrastructurilor cibernetice de interes national si, implicit, a detinatorilor ICIN nu respecta cerintele de previzibilitate, certitudine si transparenta. Astfel, trimiterea la o legislatie infralegala, respectiv hotarari de Guvern, acte normative caracterizate printr-un grad sporit de instabilitate, pentru reglementarea criteriilor in functie de care devin incidente obligatii in materia securitatii nationale incalca principiul constitutional al legalitatii, consacrat de art.1 alin.(5) din Constitutie. Optiunea pentru o atare modalitate de reglementare apare cu atat mai nejustificata cu cat intr-o materie similara, cea a identificarii infrastructurilor critice nationale, Ordonanta de urgenta a Guvernului nr.98/2010 stabileste in chiar continutul sau criteriile intersectoriale de identificare a ICN. Mai mult, prin Anexa la actul normativ se aproba lista sectoarelor, subsectoarelor infrastructurii critice nationale/infrastructurii critice europene (ICN/ICE) si autoritatilor publice responsabile (energetic, tehnologia informatiei si comunicatii, alimentare cu apa, alimentatie, sanatate, securitate nationala, administratie, transporturi, industria chimica si nucleara, spatiu si cercetare). Or, in cazul Legii privind securitatea cibernetica, dispozitiile art.19 fac trimitere la acte normative cu forta juridica inferioara legii, identificarea ICIN realizandu-se pe baza unei metodologii elaborate de Serviciul Roman de Informatii si de Ministerul pentru Societatea Informationala, in baza unei proceduri neprevazute de lege, netransparente, si deci, susceptibila de a fi calificata arbitrara.

Prin urmare, Curtea retine ca atat criteriile in functie de care se realizeaza selectia infrastructurilor cibernetice de interes national, cat si modalitatea prin care se stabilesc acestea trebuie prevazute de lege, iar actul normativ de reglementare primara trebuie sa contina o lista cat mai completa a domeniilor in care sunt incidente prevederile legale.

Pe de alta parte, Curtea apreciaza ca obligatiile ce decurg din Legea securitatii cibernetice a Romaniei trebuie sa fie aplicabile in exclusivitate persoanelor juridice de drept public sau privat detinatoare sau care au in responsabilitate ICIN (care includ, in baza legii, si administratiile publice), intrucat numai situatiile de pericol cu privire la o infrastructura de interes national pot avea implicatii asupra securitatii Romaniei, prin dimensiunea, dispersia si accesibilitatea unei astfel de infrastructuri, prin efectele economice, evaluate in functie de importanta pierderilor economice si/sau a degradarii produselor sau serviciilor, prin efectele asupra populatiei, evaluate in functie de impactul asupra increderii acesteia sau perturbarea vietii cotidiene, inclusiv prin pierderea unor servicii esentiale. Or, dispozitiile legale in forma supusa controlului de constitutionalitate prezinta un grad mare de generalitate, obligatiile vizand totalitatea detinatorilor de infrastructuri cibernetice, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice, indiferent de importanta acestora care poate viza interesul national sau doar un interes de grup sau chiar particular. Pentru a evita impunerea unei sarcini disproportionate asupra micilor operatori, cerintele trebuie sa fie proportionale cu riscurile la care sunt expuse reteaua sau sistemul informatic in cauza si nu trebuie aplicat detinatorilor de infrastructuri cibernetice cu importanta nesemnificativa din punct de vedere al interesului general. Prin urmare, riscurile vor trebui identificate la nivelul entitatilor care activeaza in domenii esentiale/ vitale pentru buna desfasurare a serviciilor publice nationale, care vor decide ce masuri trebuie adoptate pentru a atenua riscurile respective.

Pentru motivele expuse mai sus, apreciem ca dispozitiile art.19 alin.(1) si (3) din Legea securitatii cibernetice a Romaniei incalca prevederile art.1 alin.(5) din Constitutie, intrucat nu respecta cerintele de previzibilitate, stabilitate si certitudine".

CCR: "Exista posibilitatea reala ca SRI sa se afle concomitent in pozitia solicitantului auditului, a celui care efectueaza auditul, a celui caruia i se comunica rezultatul auditului si in pozitia celui care constata o eventuala contraventie. O atare situatie este inacceptabila intr-o societate guvernata de principiile statului de drept"

"In continuare, Curtea retine ca dispozitiile art.20 si art.21 alin.(2) din legea criticata prevad obligatiile care incumba persoanelor juridice de drept public sau privat care detin sau au in responsabilitate ICIN, printre care sa efectueze anual auditari de securitate cibernetica sau sa permita efectuarea unor astfel de auditari la solicitarea motivata a autoritatilor competente potrivit prezentei legi, sa constituie structuri sau sa desemneze persoane responsabile cu prevenirea, identificarea si reactia la incidentele cibernetice, sa notifice imediat, dupa caz, CNSC, CERT-RO, ANCOM sau autoritatile desemnate, in conditiile legii, in domeniul securitatii cibernetice cu privire la riscurile si incidentele cibernetice care, prin efectul lor, pot aduce prejudicii de orice natura utilizatorilor sau beneficiarilor serviciilor lor. De asemenea, in cazul in care au fost notificate riscuri sau incidente cibernetice, detinatorii de ICIN au obligatia sa permita autoritatilor competente sa intervina pentru identificarea si analizarea cauzelor incidentelor cibernetice, respectiv pentru inlaturarea sau reducerea efectelor incidentelor cibernetice, sa retina si sa asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioada de 6 luni de la data notificarii.

Legea stabileste ca sunt exceptate de la aplicarea acestor dispozitii autoritatile prevazute la art.10 alin.(1) si (2) din lege, respectiv Serviciul Roman de Informatii, Ministerul Apararii Nationale, Ministerul Afacerilor Interne, Oficiul Registrului National al Informatiilor Secrete de Stat, Serviciul de Informatii Externe, Serviciul de Telecomunicatii Speciale si Serviciul de Protectie si Paza. Or, Curtea considera nejustificata aceasta exceptare in conditiile in care si autoritatile enumerate desfasoara activitati in domeniul securitatii nationale, sunt detinatoare de ICIN sau au in responsabilitate ICIN si sunt susceptibile a face obiectul unor atacuri cibernetice.

Potrivit dispozitiilor art.20 alin.(1) lit.c) din lege, persoanele juridice de drept public sau privat care detin sau au in responsabilitate ICIN au obligatia sa permita efectuarea unor auditari de securitate cibernetica la solicitarea motivata a autoritatilor competente. Auditarile sunt realizate de SRI sau de catre furnizori de servicii de securitate cibernetica. Cu alte cuvinte, intrucat SRI este autoritate nationala in domeniul securitatii cibernetice, deci autoritate competenta, potrivit legii, sa solicite persoanelor juridice de drept public sau privat care detin sau au in responsabilitate ICIN efectuarea unor auditari de securitate cibernetica, exista posibilitatea reala ca aceasta institutie sa se afle concomitent in pozitia solicitantului auditului, a celui care efectueaza auditul, a celui caruia i se comunica rezultatul auditului si, in fine, in pozitia celui care constata o eventuala contraventie, potrivit art.28 lit.e) din lege, si aplica sanctiunea, potrivit art.30 lit.c) din lege. Or, o atare situatie este inacceptabila intr-o societate guvernata de principiile statului de drept. Dispozitiile legale sunt susceptibile de a genera o aplicare discretionara, chiar abuziva a legii, fiind nepermis ca toate atributiile din domeniul reglementat sa fie concentrate in sarcina unei singure institutii. Curtea apreciaza ca auditul trebuie sa fie efectuat de auditori interni sau de un organism calificat independent care sa verifice conformitatea aplicarii politicilor de securitate cibernetica la nivelul infrastructurilor cibernetice si sa transmita rezultatul evaluarii efectuate autoritatii competente sau punctului unic de contact.

Pornind de la definitia notiunii de 'audit de securitate cibernetica', prevazuta in art.5 lit.d), care stabileste ca aceasta reprezinta o evaluare sistematica, detaliata, masurabila si tehnica a modului in care politicile de securitate cibernetica sunt aplicate la nivelul infrastructurilor cibernetice, precum si emiterea de recomandari pentru minimizarea riscurilor identificate, Curtea retine ca, in acceptiunea legii, aceasta auditare presupune doar o evaluare a politicilor de securitate cibernetica si nicidecum accesul la datele stocate in infrastructurile cibernetice.

In ceea ce priveste norma prevazuta de art.20 alin.(1) lit.h) si anume obligatia de a notifica imediat, dupa caz, CNSC, CERT-RO, ANCOM sau autoritatile desemnate, in conditiile legii, in domeniul securitatii cibernetice cu privire la riscurile si incidentele cibernetice, Curtea considera ca aceasta ar trebui sa stabileasca cu exactitate circumstantele in care este necesara notificarea, precum si continutul notificarii, inclusiv tipurile de date cu caracter personal care ar trebui notificate, si, daca este cazul, in ce masura notificarea si documentele sale justificative vor include detalii privind datele cu caracter personal afectate de un incident specific de securitate (precum adresele IP). Este important sa se tina seama de faptul ca autoritatilor competente in domeniul securitatii retelelor si informatiei ar trebui sa li se permita sa colecteze si sa prelucreze date cu caracter personal in cadrul unui incident de securitate doar daca este strict necesar pentru atingerea obiectivelor de interes public urmarite de lege, cu respectarea principiului proportionalitatii. De asemenea, legea trebuie sa prevada garantii adecvate pentru a se asigura protectia efectiva a datelor prelucrate de autoritatile competente privind securitatea cibernetica si nu trebuie sa excluda obligatia de notificare a cazurilor de incalcare a protectiei datelor cu caracter personal in temeiul legislatiei aplicabile in materie, potrivit art. 21 si 22 din Legea nr.477/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date. Analizand, insa, dispozitiile art.20 alin.(2), Curtea constata ca legiuitorul deleaga atributia sa de legiferare Ministerului pentru Societatea Informationala, ANCOM sau autoritatilor desemnate, in conditiile legii, in domeniul securitatii cibernetice, care vor stabili 'cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc in mod obligatoriu notificarea, care se aproba prin ordine sau decizii emise in termen de 90 de zile de la intrarea in vigoare a legii, de conducatorii autoritatilor sau institutiilor publice respective, publicate in Monitorul Oficial al Romaniei, Partea I'. Trimiterea la acte administrative, cu o forta juridica inferioara legii, intr-un domeniu critic pentru securitatea nationala, cu impact asupra drepturilor si libertatilor fundamentale ale cetatenilor, incalca prevederile constitutionale cuprinse in art.1 alin.(5) referitoare la principiul legalitatii. O dispozitie legala trebuie sa fie precisa, neechivoca, sa instituie norme clare, previzibile, a caror aplicare sa nu permita arbitrariul sau abuzul. De asemenea, norma trebuie sa reglementeze in mod unitar, uniform, sa stabileasca cerinte minimale aplicabile tuturor destinatarilor sai. Or, atata vreme cat ordinele sau deciziile sunt emise de conducatorii autoritatilor sau institutiilor publice desemnate de lege, apare cu evidenta ca legea relativizeaza in mod nepermis reglementarea acestui domeniu, lasand la latitudinea fiecarei entitati stabilirea, in mod diferentiat, a unor masuri esentiale, precum cerintele minime de securitate cibernetica, modalitatea de notificare, precum si datele si informatiile care insotesc notificarea. Pe de alta parte, enumerand autoritatile care stabilesc aceste aspecte, legiuitorul omite chiar Consiliul Suprem de Aparare a Tarii, care potrivit art.9 alin.(1) lit.f) din lege, aproba propunerile COSC privind cerintele minime de securitate cibernetica si politici de securitate cibernetica pentru autoritatile si institutiile publice prevazute la art.10 alin. (l) si (2) din lege.

In concluzie, Curtea constata ca dispozitiile art.20 alin.(1) lit.c) si lit.h) coroborate cu art.20 alin.(2) sunt neconstitutionale, intrucat contravin prevederilor art.1 alin.(3) si (5), art.26 si art.28 din Constitutie".

Incalcarea dreptului la un proces echitabil. CCR: "Lipsa oricarei prevederi prin care sa se asigure posibilitatea persoanei ale carei drepturi, libertati sau interese legitime au fost afectate (...) de a se adresa unei instante judecatoresti independente si impartiale contravine art.6 din Conventie"

"Din analiza legii, Curtea retine ca aceasta omite sa reglementeze posibilitatea subiectilor carora le este destinata legea, in sarcina carora au fost instituite obligatii si responsabilitati, de a contesta in justitie actele administrative incheiate cu privire la indeplinirea acestor obligatii si care sunt susceptibile a prejudicia un drept sau un interes legitim.

Potrivit art.21 din Constitutie, orice persoana se poate adresa justitiei pentru apararea drepturilor, libertatilor si intereselor sale legitime. Prin Decizia nr. 1 din 8 februarie 1994, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 69 din 16 martie 1994, Curtea Constitutionala a statuat ca liberul acces la justitie presupune accesul la toate mijloacele procedurale prin care se infaptuieste actul de justitie. S-a considerat ca legiuitorul are competenta exclusiva de a stabili regulile de desfasurare a procesului in fata instantelor judecatoresti, astfel cum rezulta din art. 126 alin. (2) din Constitutie. Totodata, in jurisprudenta sa (Decizia nr.71 din 15 ianuarie 2009, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 49 din 27 ianuarie 2009), Curtea a retinut ca liberul acces la justitie este pe deplin respectat ori de cate ori partea interesata, in vederea valorificarii unui drept sau interes legitim, a putut sa se adreseze cel putin o singura data unei instante nationale.

Pe de alta parte, potrivit art.6 paragraful 1 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale, orice persoana are dreptul la judecarea in mod echitabil a cauzei sale, de catre o instanta independenta si impartiala, care va hotari asupra incalcarii drepturilor si obligatiilor sale cu caracter civil. Curtea Europeana a Drepturilor Omului a statuat in jurisprudenta sa, cu titlu general, ca art. 6 paragraful 1 din Conventie garanteaza oricarei persoane dreptul de a aduce in fata unei instante orice pretentie referitoare la drepturi si obligatii cu caracter civil (a se vedea Hotararea din 21 februarie 1975, pronuntata in Cauza Golder impotriva Marii Britanii, paragraful 36, si Hotararea din 20 decembrie 2011, pronuntata in Cauza Dokic impotriva Serbiei, paragraful 35). De asemenea, in Hotararea din 26 ianuarie 2006, pronuntata in Cauza Lungoci impotriva Romaniei, paragraful 36, publicata in Monitorul Oficial Romaniei, Partea I, nr. 588 din 7 iulie 2006, s-a aratat ca accesul liber la justitie implica prin natura sa o reglementare din partea statului si poate fi supus unor limitari, atat timp cat nu este atinsa substanta dreptului.

Romania este un stat de drept in care, potrivit art.1 alin.(5) din Constitutie, 'respectarea Constitutiei, a suprematiei sale si a legilor este obligatorie'. in conditiile in care art.20 alin.(1) din Constitutie prevede ca dispozitiile constitutionale privind drepturile si libertatile cetatenilor vor fi interpretate si aplicate in concordanta cu Declaratia Universala a Drepturilor Omului, cu pactele si cu celelalte tratate la care Romania este parte, iar art.21 din Constitutie consacra liberul acces la justitie, a carei exercitare, potrivit alin.(2), nicio lege nu o poate ingradi, Parlamentul are indatorirea de a legifera norme corespunzatoare pentru asigurarea reala a respectarii acestui drept, in lipsa caruia nu se poate concepe existenta statului de drept, prevazuta prin art.1 alin.(3) din Constitutie. Fara indeplinirea acestei indatoriri, normele constitutionale mentionate ar avea un caracter pur declarativ, situatie inadmisibila pentru un stat care impartaseste valorile democratice ce fac parte din ordinea publica europeana, asa cum este prefigurat de Conventia Europeana a Drepturilor Omului si de Carta drepturilor fundamentale a Uniunii Europene (in acest sens, este si Decizia Curtii Constitutionale nr.233 din 15 februarie 2011, publicata in Monitorul Oficial al Romaniei, Partea I, nr.340 din 17 mai 2011).

Avand in vedere aceste considerente de principiu, Curtea constata ca lipsa oricarei prevederi in continutul legii prin care sa se asigure posibilitatea persoanei ale carei drepturi, libertati sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispozitiile Legii privind securitatea cibernetica a Romaniei de a se adresa unei instante judecatoresti independente si impartiale contravine prevederilor art.1 alin.(3) si (5), art.21, precum si art.6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale.

Potrivit dispozitiilor art.27 alin.(1), monitorizarea si controlul aplicarii prevederilor legii criticate se asigura, potrivit competentelor stabilite prin lege, de catre Camera Deputatilor si Senat, Administratia Prezidentiala, Guvern, CSAT, precum si institutiile si autoritatile publice prevazute la art. 10 alin. (1) si (2), pentru infrastructurile cibernetice proprii sau aflate in responsabilitate, Serviciul Roman de Informatii pentru infrastructurile cibernetice proprii sau aflate in responsabilitate, precum si pentru detinatorii de ICIN persoane juridice de drept public, Ministerul pentru Societatea Informationala, respectiv ANCOM, dupa caz, pentru detinatorii de ICIN, persoane juridice de drept privat.

Optiunea legiuitorului de a atribui competente de monitorizare si control al aplicarii prevederilor legale Camerei Deputatilor, Senatului, Administratiei Prezidentiale, Secretariatul General al Guvernului si CSAT-ului, in conditiile in care art.10 alin.(1) si (2) stabileste autoritatile competente in domeniul securitatii cibernetice privind infrastructurile cibernetice proprii sau aflate in responsabilitate, fara a include in aceasta categorie autoritatile enumerate mai sus, acestea regasindu-se in intregul act normativ in categoria persoane juridice drept public, in sarcina carora incumba respectarea obligatiilor prevazute de lege, denota inconsecventa si genereaza confuzie cu privire la regimul juridic aplicabil acestor institutii. Din interpretarea coroborata a dispozitiilor art.20 alin.(1) cu cele ale art.21 alin.(1) lit.a), rezulta ca, pe de o parte, Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT au obligatia, de exemplu, de a permite efectuarea unor auditari de securitate cibernetica efectuate de SRI sau de a notifica CNSC cu privire la riscurile si incidentele cibernetice, pe de alta parte, ele vor monitoriza si controla respectarea acestor obligatii, iar, in cazul neindeplinirii dispozitiilor legale, potrivit art.28 coroborat cu art30 lit.c) din lege, autoritatile isi vor aplica lor insele sanctiuni, ca urmare a constatarii contraventiilor. Curtea constata, asadar, ca legiuitorul eludeaza principiile de drept potrivit carora controlul trebuie efectuat de o entitate independenta, exterioara autoritatii controlate, iar prin normele edictate face iluzorie respectarea obligatiilor referitoare la securitatea cibernetica. Mai mult, dispozitiile in temeiul carora Parlamentul, Administratia Prezidentiala, Secretariatul General al Guvernului si CSAT devin agenti constatatori ai savarsirii de contraventii si dispun aplicarea de sanctiuni contraventionale vadesc ignorarea principiilor de drept care guverneaza un stat democratic, respectiv a principiului separatiei puterilor in stat, prevazut de art.1 alin.(4) din Constitutie si a principiului legalitatii, consacrat de art.1 alin.(5). Astfel, in virtutea legii criticate, autoritatea legiuitoare, administratia prezidentiala, Guvernul sau CSAT, autoritatii de rang constitutional ale caror atributii sunt expres prevazute in Legea fundamentala, se subroga in atributii care, potrivit Ordonantei Guvernului nr.2/2001 privind regimul juridic al contraventiilor (la care legea criticata face, de altfel, trimitere), revin in competenta autoritatilor administratiei publice centrale sau locale.

Pe de alta parte, Curtea observa ca legea supusa controlului nu stabileste competente de control si monitorizare fata de toti detinatorii de infrastructuri cibernetice, dispozitiile art.27 alin.(1) stabilind aceste competente doar in ceea ce priveste persoanele juridice de drept public sau privat, detinatoare de ICIN. Or, in conditiile in care legea prevede, la art.15, 16 si 17, obligatii si responsabilitati pentru toate persoanele juridice de drept public sau privat detinatoare de infrastructuri cibernetice, iar art.28 lit.a), b), c) califica drept contraventii nerespectarea respectivelor obligatii, omisiunea legislativa cu privire la autoritatea competenta sa efectueze controlul detinatorilor de infrastructuri care nu sunt calificate ICIN viciaza constitutionalitatea textului legal cuprins in art.27 alin.(1), din perspectiva art.1 alin.(5) din Constitutie. Normele edictate in materie contraventionala, atat in ceea ce priveste fapta incriminata, cat si procedura de constatare si sanctionare a acesteia, trebuie sa fie clare, precise, previzibile, astfel incat destinatarul lor sa isi poata conforma conduita prescriptiei legale.

De asemenea, Curtea retine ca dispozitiile art.30 din lege contin prevederi referitoare la constatarea contraventiilor si aplicarea sanctiunilor. Curtea face o prima observatie cu privire la confuzia generata de textul legal ca urmare a necorelarii cu prevederile art.28 care consacra contraventiile savarsite prin nerespectarea dispozitiilor legale. Astfel, Curtea identifica: omisiunea identificarii autoritatii competente sa constate si sa aplice sanctiunea pentru contraventiile prevazute de art.28 lit.i) si j) savarsite de persoane juridice de drept privat; omisiunea identificarii autoritatii competente sa constate si sa aplice sanctiunea pentru contraventiile prevazute de art.28 lit.a), i) si j) savarsite de persoane juridice de drept public; sanctionarea contraventionala reglementata de art.30 lit.c) pentru nerespectarea unor obligatii de catre autoritatile si institutiile publice prevazute la art.27 alin.(l) lit. a) din lege, cu privire la infrastructurile cibernetice proprii, obligatii de la care acestea erau exceptate, potrivit art.20 alin.(1) teza a doua (contraventii prevazute de art.28 li.e)-h) din lege).

In jurisprudenta sa, Curtea Constitutionala a retinut in repetate randuri ca orice act normativ trebuie sa indeplineasca anumite conditii calitative, printre acestea numarandu-se previzibilitatea, ceea ce presupune ca acesta trebuie sa fie suficient de precis si clar pentru a putea fi aplicat (a se vedea, spre exemplu, Decizia nr. 189 din 2 martie 2006, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 307 din 5 aprilie 2006, Decizia nr. 903 din 6 iulie 2010, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 584 din 17 august 2010 sau Decizia nr. 26 din 18 ianuarie 2012, publicata in Monitorul Oficial al Romaniei, Partea I, nr. 116 din 15 februarie 2012). in acelasi sens, Curtea Europeana a Drepturilor Omului a statuat ca legea trebuie, intr-adevar, sa fie accesibila justitiabilului si previzibila in ceea ce priveste efectele sale. Pentru ca legea sa satisfaca cerinta de previzibilitate, ea trebuie sa precizeze cu suficienta claritate intinderea si modalitatile de exercitare a puterii de apreciere a autoritatilor in domeniul respectiv, tinand cont de scopul legitim urmarit, pentru a oferi persoanei o protectie adecvata impotriva arbitrariului. in plus, nu poate fi considerata "lege" decat o norma enuntata cu suficienta precizie, pentru a permite cetateanului sa isi adapteze conduita in functie de aceasta; apeland la nevoie la consiliere de specialitate in materie, el trebuie sa fie capabil sa prevada, intr-o masura rezonabila, fata de circumstantele spetei, consecintele care ar putea rezulta dintr-o anumita fapta (a se vedea Hotararea din 4 mai 2000, pronuntata in Cauza Rotaru impotriva Romaniei, paragraful 52, si Hotararea din 25 ianuarie 2007, pronuntata in Cauza Sissanis impotriva Romaniei, paragraful 66).

Asa fiind, Curtea apreciaza ca imprecizia textelor de lege supuse controlului de constitutionalitate, constand in lipsa stabilirii cu suficienta claritate a procedurilor de monitorizare si control, respectiv a celor privind constatarea si sanctionarea contraventiilor, afecteaza, pe cale de consecinta, si garantiile constitutionale si conventionale care caracterizeaza dreptul la un proces echitabil, inclusiv componenta sa privind dreptul la aparare. De altfel, Curtea Europeana a Drepturilor Omului a retinut, in esenta, ca nerespectarea garantiilor fundamentale, care protejeaza presupusii autori ai unor fapte ilicite, in fata posibilelor abuzuri ale autoritatilor desemnate sa-i urmareasca si sa-i sanctioneze, reprezinta un aspect ce trebuie examinat in temeiul art. 6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale (a se vedea, spre exemplu, Hotararea din 4 octombrie 2007, pronuntata in Cauza Anghel impotriva Romaniei, paragraful 68).

Pentru ca dreptul la un proces echitabil sa nu ramana teoretic si iluzoriu, normele juridice trebuie sa fie clare, precise si explicite, astfel incat sa il poata avertiza in mod neechivoc pe destinatarul acestora asupra gravitatii consecintelor nerespectarii enunturilor legale pe care le cuprind. in lumina celor enuntate mai sus, Curtea retine ca, in mod evident, prevederile art.27 alin.(1) si 30 din lege, caracterizate printr-o tehnica legislativa deficitara, nu intrunesc exigentele de claritate, precizie si previzibilitate si sunt astfel incompatibile cu principiul fundamental privind respectarea Constitutiei, a suprematiei sale si a legilor, prevazut de art.1 alin. (5) din Constitutie si cu dreptul la un proces echitabil, prevazut de art.21 alin. (3) din Constitutie, precum si de art.6 din Conventia pentru apararea drepturilor omului si a libertatilor fundamentale.

Potrivit dispozitiilor art.27 alin.(2) din lege, in cadrul activitatii de monitorizare si control, persoanele desemnate de conducatorii autoritatilor prevazute la art.27 alin.(1) au dreptul sa solicite declaratii sau orice documente necesare pentru efectuarea controlului, sa faca inspectii, inclusiv inopinate, la orice instalatie, incinta sau infrastructura, destinate ICIN, si sa primeasca, la cerere sau la fata locului, informatii sau justificari. Norma cuprinsa in art.27 alin.(2) lit.b) care permite autoritatilor publice prevazute de art.10 alin.(1) si (2) din lege sa faca inspectii la orice instalatie, incinta sau infrastructura destinata ICIN, aflata in responsabilitatea lor, presupune accesul la o anumita locatie, cu privire la anumite obiecte, sisteme informatice de stocare, prelucrare si transmitere a datelor, inclusiv a celor cu caracter personal, acces care pune in discutie protectia drepturilor constitutionale la viata intima, familiala si privata si la secretul corespondentei. Or, in masura in care notiunile cu care legea opereaza (instalatii, incinte si infrastructuri) nu sunt in mod predictibil determinate, iar sfera datelor asupra carora se realizeaza controlul este incerta, Curtea apreciaza ca legea criticata nu reglementeaza garantii care sa permita o protectie eficienta impotriva riscurilor de abuz, precum si fata de orice accesare si utilizare ilicita a datelor cu caracter personal. in vreme ce notiunea de infrastructura cibernetica e definita prin lege, notiunea de instalatie folosita in textul de art.27 alin.(2) lit.b) poate reprezenta tot un sistem informatic ori o retea sau serviciu de comunicatii electronice, avand in vedere domeniul de reglementare al legii si definitiile cuprinse in aceasta, astfel ca accesul la aceste sisteme informatice nu poate fi permis decat cu autorizarea judecatorului. De asemenea, notiunea de incinta poate semnifica si locul unde se gasesc aceste sisteme informatice, caz in care Curtea retine ca sunt aplicabile dispozitiile privind perchezitia domiciliara prevazuta de art.157-167 din Codul de procedura penala, in sensul ca aceasta masura nu poate fi dispusa decat de un judecator.

Fata de cele prezentate, trimiterea la 'respectarea prevederilor legale in vigoare' este una confuza, intrucat nu sunt identificate ca fiind prevederi aplicabile nici dispozitiile Codului de procedura penala, indicate mai sus, si nici prevederile altor acte normative.

Prin urmare, considerentele Deciziilor Curtii Constitutionale nr.440/2014 si nr.461/2014 sunt valabile mutatis mutandis, astfel ca argumentele expuse in prealabil cu privire la neconstitutionalitatea dispozitiilor art.17 alin.(1) lit.a) din Legea privind securitatea cibernetica a Romaniei sunt pe deplin sustenabile si in ceea ce priveste dispozitiile art.27 alin.(2) din lege. Asa fiind, Curtea conchide ca acestea incalca prevederile art.1 alin.(5), art.26, art.28, si art.53 din Constitutie".

CCR: "Intregul act normativ sufera de deficiente sub aspectul respectarii normelor de tehnica legislativa, a coerentei, a claritatii, a previzibilitatii, de natura a determina incalcarea principiului legalitatii"

"Dincolo de aspectele punctuale a caror neconstitutionalitate a fost motivata supra, Curtea constata ca intregul act normativ sufera de deficiente sub aspectul respectarii normelor de tehnica legislativa, a coerentei, a claritatii, a previzibilitatii, de natura a determina incalcarea principiului legalitatii, consacrat de art.1 alin.(5) din Constitutie. Astfel, legea face trimiteri in mai multe cazuri la reglementarea unor aspecte esentiale in economia domeniului reglementat la acte legislative secundare, precum hotarari de Guvern, norme metodologice, ordine sau decizii sau 'proceduri stabilite de comun acord'. A se vedea in acest sens dispozitiile art.15 alin.(2), art.17 alin.(1) lit.b), art.19 alin.(1) si (3), art.20 alin.(2), art.23 alin.(2), (5) si (6), art.30 lit.d) din lege.

De asemenea, cu exceptia cazurilor in care trimiterea vizeaza chiar legea securitatii cibernetice, situatie in care s-a folosit sintagma 'prezenta lege', legea foloseste in repetate randuri sintagmele 'potrivit legii', 'conform competentelor prevazute de lege' sau 'in conditiile legii', fara a preciza concret la dispozitiile caror legi se face trimiterea. Aceasta situatie se regaseste in cuprinsul art.7 alin.(1) lit.d), art.10 alin.(2) si (5), art.11 alin.(1) lit.j), art.15 alin.(8), art.19 alin.(6), art.20 alin.(1) lit.h), art.21 alin.(1), art.21 alin.(2) lit.d), art.27 alin.(1), art.27 alin.(2) lit.b) din lege. Cu privire la aceste aspecte, Curtea mentioneaza ca, potrivit art.39 alin.(1) - Referirea la alt act normativ, din Legea nr.24/2000 privind normele de tehnica legislativa pentru elaborarea actelor normative, 'referirea intr-un act normativ la alt act normativ se face prin precizarea categoriei juridice a acestuia, a numarului sau, a titlului si a datei publicarii acelui act sau numai a categoriei juridice si a numarului, daca astfel orice confuzie este exclusa.'

Pe de alta parte, Curtea constata ca dispozitiile art.6 alin.(1), art.8 alin.(1) si ale art.10 alin.(1) teza a doua din lege consacra organisme/ institutii/ autoritati infiintate in baza unor acte normative anterioare, respectiv hotarari ale Guvernului (SNSC si COSC) sau hotarari ale Consiliului Suprem de Aparare a Tarii (CNSC), care au precedat aparitia actului de reglementare primara prin care se stabileste cadrul general de reglementare a domeniului securitatii cibernetice. Astfel, prin adoptarea lor se creeaza confuzie cu privire la stabilirea datei de la care aceste entitati iau fiinta si isi exercita competentele - data adoptarii hotararii de Guvern/ hotararii CSAT sau data la care va intra in vigoare Legea securitatii cibernetice in Romania.

In ceea ce priveste aspectele referitoare la criteriile de claritate, precizie, previzibilitate si predictibilitate pe care un text de lege trebuie sa le indeplineasca, Curtea constata ca autoritatea legiuitoare, Parlamentul sau Guvernul, dupa caz, are obligatia de a edicta norme care sa respecte trasaturile mai sus aratate. Potrivit art.8 alin.(4) teza intai din Legea nr.24/2000, 'textul legislativ trebuie sa fie formulat clar, fluent si inteligibil, fara dificultati sintactice si pasaje obscure sau echivoce', iar potrivit art.36 alin.(1) din aceeasi lege, 'actele normative trebuie redactate intr-un limbaj si stil juridic specific normativ, concis, sobru, clar si precis, care sa excluda orice echivoc, cu respectarea stricta a regulilor gramaticale si de ortografie'.

Curtea constata ca prin reglementarea normelor de tehnica legislativa legiuitorul a impus o serie de criterii obligatorii pentru adoptarea oricarui act normativ, a caror respectare este necesara pentru a asigura sistematizarea, unificarea si coordonarea legislatiei, precum si continutul si forma juridica adecvate pentru fiecare act normativ. Astfel, respectarea acestor norme concura la asigurarea unei legislatii care respecta principiul securitatii raporturilor juridice, avand claritatea si previzibilitatea necesara.

Pentru toate argumentele prezentate, Curtea constata ca Legea privind securitatea cibernetica a Romaniei este viciata in integralitatea ei, astfel ca obiectia de neconstitutionalitate urmeaza a fi admisa si constatata neconstitutionalitatea actului normativ, in ansamblul sau".

*Cititi aici integral Decizia nr. 17/21.01.2015 a CCR, privind neconstitutionalitatea Legii securitatii cibernetice a Romaniei

Foto: epochtimes-romania.com