Decizie_17_2015

17
 DECIZIA Nr.17 din 21 ianuarie 2015 asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României  Publicată în Monitorul Oficial nr.79 din 30.01.2015  Augustin Zegrean  președinte Valer Dorneanu   judecător  Toni Greblă   judecător  Petre Lăzăroiu   judecător  Mircea Ștefan Minea    judecător  Daniel Marius Morar   judecător  Mona-Maria Pivniceru   judecător  Puskás Valentin Zoltán    judecător  Tudorel Toader   judecător  Mihaela Senia Costinescu  magistrat-asistent-șef  1. Pe rol se află pronunțarea asupra obiecției de neconstituționalitate a dispozițiilor Legii privind securitatea cibernetică a României, obiecție formulată de un număr de 69 de deputați aparținând Grupului parlamentar al Partidului Național Liberal din Camera Deputaților.  2. Cu Adresa nr.2/6.103 din 23 decembrie 2014, secretarul general al Camerei Deputaților a transmis Curții Constituționale sesizarea de neconstituționalitate, care a fost înregistrată la Curtea Constituțională cu nr.6.188 din 23 decembrie 2014 și constituie obiectul Dosarului nr.1.419A/2014. La sesizare a fost anexată, în copie, Legea privind securitatea cibernetică a României.  3.  În motivarea obiecției de neconstituționalitate  autorii susțin că dispoziții le legale sunt contrare art.1 alin.(3) și (4) referitor la statul de drept și obligația respectării Constituției și a legilor. Se apreciază că legea criticată introduce multe confuzii și condiționări pentru deținătorii de infrastructuri cibernetice care sunt de natură a genera restrângeri ale drepturilor și libertăților fundamentale ale cetățenilor. Prevederile legale nu respectă dispozițiile art.6 din Legea nr.24/2000 privind normele de tehnică legislativă pentru elaborarea actelor normative și încalcă, astfel, principiul legalității, care este fundamental pentru buna funcționare a statului de drept. La art.1 din lege se prevăd doar obligații pentru deținătorii de infrastructuri cibernetice fără a se stabili și drepturile acestora. Enumerarea cuprinsă în ar t.2 a persoanelor/entităților cărora li se aplică legea nu este una precisă, omițând să prevadă situația intermediarilor de infrastructuri cibernetice, a infrastructurilor neoperaționale, a acționarilor unor persoane juridice sau cea a fondatorilor unor as ociații ori fundații care dețin astfel de infrastructuri.  4. Autorii sesizării susțin că legea are probleme fundamentale de concepție, propunând o serie de măsuri cu efect limitativ asupra dreptului prevăzut de art.26 alin.(1) din Constituție privind viața  intimă, familială și privată, și încalcă în mod evident reglementările europene aflate în dezbatere referitoare la securitatea informației în domeniul digital.  5. În temeiul legii criticate, autorii obiecției de neconstituționalitate susțin că se restrâng  drepturi și libertăți ale cetățenilor prin permiterea accesului la o infrastructură cibernetică și la datele conținute de aceasta în urma unei simple solicitări motivate a instituțiilor nominalizate de lege, comunicate deținătorilor de infrastructuri, fără aprobarea prealabilă a unui judecător, așa cum prevede Codul de procedură penală sau jurisprudența Curții Constituționale, în deciziile nr.440/2014 și nr.461/2014, fapt ce determină încălcarea prevederilor constituționale cuprinse în art.23 alin.(1) refe ritor la inviolabilitatea libertății individuale și a siguranței persoanei și în art.28 privind secretul corespondenței.  6. Pe de altă parte se arată că prin dispozițiile art.10 din lege Serviciul Român de Informații este desemnat autoritate națională în domeniul securității cibernetice, calitate în care asigură coordonarea tehnică, organizarea și executarea activităților ce privesc securitatea cibernetică a României. În vreme ce Uniunea Europeană propune în proiectul de Directivă NIS (Network and Informati on System) ca instituțiile care se ocupă de domeniul securității cibernetice să fie „organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în dom eniul informațiilor”, Parlamentul României acordă acces nelimitat și nesupravegheat la toate datele informatice deținute de persoane de drept public și privat unor instituții care nu îndeplinesc niciuna din condițiile de mai sus. Faptul că în jurisprudența recentă a Curții Constituționale aceasta a declarat neconstituționalitatea a două legi care, în esență, încălcau aceleași drepturi ca și legea supusă în prezent controlului constituie

description

ccr

Transcript of Decizie_17_2015

  • DECIZIA Nr.17 din 21 ianuarie 2015

    asupra obieciei de neconstituionalitate a dispoziiilor Legii privind securitatea

    cibernetic a Romniei

    Publicat n Monitorul Oficial nr.79 din 30.01.2015

    Augustin Zegrean preedinte Valer Dorneanu judector Toni Grebl judector Petre Lzroiu judector Mircea tefan Minea judector Daniel Marius Morar judector Mona-Maria Pivniceru judector Pusks Valentin Zoltn judector Tudorel Toader judector Mihaela Senia Costinescu magistrat-asistent-ef

    1. Pe rol se afl pronunarea asupra obieciei de neconstituionalitate a dispoziiilor Legii privind

    securitatea cibernetic a Romniei, obiecie formulat de un numr de 69 de deputai aparinnd Grupului parlamentar al Partidului Naional Liberal din Camera Deputailor.

    2. Cu Adresa nr.2/6.103 din 23 decembrie 2014, secretarul general al Camerei Deputailor a transmis Curii Constituionale sesizarea de neconstituionalitate, care a fost nregistrat la Curtea Constituional cu nr.6.188 din 23 decembrie 2014 i constituie obiectul Dosarului nr.1.419A/2014. La sesizare a fost anexat, n copie, Legea privind securitatea cibernetic a Romniei.

    3. n motivarea obieciei de neconstituionalitate autorii susin c dispoziiile legale sunt contrare art.1 alin.(3) i (4) referitor la statul de drept i obligaia respectrii Constituiei i a legilor. Se apreciaz c legea criticat introduce multe confuzii i condiionri pentru deintorii de infrastructuri cibernetice care sunt de natur a genera restrngeri ale drepturilor i libertilor fundamentale ale cetenilor. Prevederile legale nu respect dispoziiile art.6 din Legea nr.24/2000 privind normele de tehnic legislativ pentru elaborarea actelor normative i ncalc, astfel, principiul legalitii, care este fundamental pentru buna funcionare a statului de drept. La art.1 din lege se prevd doar obligaii pentru deintorii de infrastructuri cibernetice fr a se stabili i drepturile acestora. Enumerarea cuprins n art.2 a persoanelor/entitilor crora li se aplic legea nu este una precis, omind s prevad situaia intermediarilor de infrastructuri cibernetice, a infrastructurilor neoperaionale, a acionarilor unor persoane juridice sau cea a fondatorilor unor asociaii ori fundaii care dein astfel de infrastructuri.

    4. Autorii sesizrii susin c legea are probleme fundamentale de concepie, propunnd o serie de msuri cu efect limitativ asupra dreptului prevzut de art.26 alin.(1) din Constituie privind viaa intim, familial i privat, i ncalc n mod evident reglementrile europene aflate n dezbatere referitoare la securitatea informaiei n domeniul digital.

    5. n temeiul legii criticate, autorii obieciei de neconstituionalitate susin c se restrng drepturi i liberti ale cetenilor prin permiterea accesului la o infrastructur cibernetic i la datele coninute de aceasta n urma unei simple solicitri motivate a instituiilor nominalizate de lege, comunicate deintorilor de infrastructuri, fr aprobarea prealabil a unui judector, aa cum prevede Codul de procedur penal sau jurisprudena Curii Constituionale, n deciziile nr.440/2014 i nr.461/2014, fapt ce determin nclcarea prevederilor constituionale cuprinse n art.23 alin.(1) referitor la inviolabilitatea libertii individuale i a siguranei persoanei i n art.28 privind secretul corespondenei.

    6. Pe de alt parte se arat c prin dispoziiile art.10 din lege Serviciul Romn de Informaii este desemnat autoritate naional n domeniul securitii cibernetice, calitate n care asigur coordonarea tehnic, organizarea i executarea activitilor ce privesc securitatea cibernetic a Romniei. n vreme ce Uniunea European propune n proiectul de Directiv NIS (Network and Information System) ca instituiile care se ocup de domeniul securitii cibernetice s fie organisme civile, care s funcioneze integral pe baza controlului democratic, i nu ar trebui s desfoare activiti n domeniul informaiilor, Parlamentul Romniei acord acces nelimitat i nesupravegheat la toate datele informatice deinute de persoane de drept public i privat unor instituii care nu ndeplinesc niciuna din condiiile de mai sus. Faptul c n jurisprudena recent a Curii Constituionale aceasta a declarat neconstituionalitatea a dou legi care, n esen, nclcau aceleai drepturi ca i legea supus n prezent controlului constituie

  • un motiv serios pentru o dezbatere real a implicaiilor Legii securitii cibernetice i, ntr-un cadru mai larg, a echilibrului dintre drepturile individuale i securitatea naional pe care Romnia trebuie l asigure prin sistemul su legal. Autorii sesizrii susin c posibilitatea accesrii fr mandat judectoresc a datelor electronice provenind de la orice computer, indiferent de proprietarul su, este o ingerin nejustificat n dreptul la protecia corespondenei, adic n dreptul la via privat, drept garantat de art.26 i 28 din Constituie. O astfel de ingerin nu numai c nu este necesar ntr-o societate democratic, dar ea are tocmai efectul contrar: submineaz esena societii democratice. Astfel, sub pretextul proteciei mpotriva atacurilor cibernetice, orice fel de date pot fi accesate la bunul plac al puterii executive, fr existena vreunui control al societii civile.

    7. n sesizarea de neconstituionalitate se arat c art.148 alin.(2) din Constituie este, de asemenea, nclcat prin netranspunerea corect a reglementrilor comunitare n materie. Astfel, prevederile art.17 alin.(1) lit.a) nu sunt conforme cu jurisprudena Curii de Justiie a Uniunii Europene, ntruct nu precizeaz exact ce date sunt necesare a fi deinute, iar cadrul n care se solicit aceste date nu prezint suficiente garanii procesuale. Pentru ndeplinirea acestei obligaii este necesar o monitorizare perpetu a tuturor persoanelor, aspect ce creeaz o sarcin disproporionat pentru subiecii vizai i implic totodat nclcarea drepturilor persoanelor monitorizate fr s existe n legtur cu acestea o suspiciune relativ la comiterea vreunei infraciuni. Se mai arat c legea contravine din multe puncte de vedere i propunerii de Directiv NIS (Network & Information Security) care are ca scop protecia datelor personale ale cetenilor, iar nu crearea de noi atribuii pentru serviciile secrete. n timp ce Directiva NIS are drept scop protejarea sistemelor informatice i a datelor informatice ale cetenilor, legea, n forma adoptat, reprezint un cec n alb care poate fi folosit de serviciile de informaii pentru a controla orice persoan de drept privat (S.R.L., S.A., P.F.A., O.N.G.) care deine un sistem informatic (adic orice calculator sau smart-phone). Potenialul pentru abuzuri este, astfel, enorm. Acesta decurge din nenumratele ambiguiti prezente n lege, ncepnd de la definirea vag a deintorilor de sisteme informatice i continund cu obligaiile ce le revin celor care cad sub incidena legii.

    8. n concluzie, autorii obieciei de neconstituionalitate apreciaz c ntreaga arhitectur a actului normativ este de natur a permite nclcarea drepturilor fundamentale ale omului, fr a exista un remediu eficient mpotriva unor astfel de nclcri. Dei ntr-o societate democratic limitele proteciei drepturilor fundamentale pot fi reduse n cazul unor pericole deosebite (terorism, infraciuni transfrontaliere), probele obinute prin aceste proceduri nu pot fi folosite n cazurile de drept comun (cele care nu implic protecia siguranei naionale, aa cum este ea definit prin lege), acolo unde garaniile procedurale trebuie s fie strict respectate. Or, legea atacat nu instituie nicio interdicie de utilizare a datelor n orice alt mod dect cel necesar pentru protecia n faa atacurilor cibernetice, situaie ce poate submina garania unui proces echitabil.

    9. n conformitate cu dispoziiile art.16 alin.(2) din Legea nr.47/1992 privind organizarea i funcionarea Curii Constituionale, sesizarea a fost comunicat preedinilor celor dou Camere ale Parlamentului, precum i Guvernului, pentru a comunica punctul lor de vedere.

    10. Preedintele Camerei Deputailor a transmis cu Adresa nr.2/51/7 ianuarie 2015, nregistrat la Curtea Constituional cu nr.99 din 7 ianuarie 2015, punctul su de vedere, n care se apreciaz c sesizarea de neconstituionalitate este nentemeiat.

    11. n argumentare se arat c prevederile art.1 din legea criticat se refer nu numai la obligaii pentru cei n drept, ci vizeaz soluii legislative care acoper ntreaga problematic a relaiilor sociale ce reprezint obiectul de reglementare al acestei legi. Astfel, legea pornete de la premisa c msurile privind securitatea cibernetic trebuie s asigure un mediu virtual sigur, care s constituie un real suport pentru maximizarea beneficiilor cetenilor, mediului de afaceri i societii romneti, n ansamblul ei. Toi deintorii i utilizatorii de infrastructuri cibernetice, indiferent c sunt intermediari sau nu, trebuie s ntreprind msurile necesare pentru securitatea infrastructurilor proprii i s nu afecteze securitatea celorlali deintori sau utilizatori.

    12. Pe de alt parte se arat c, ntruct dispoziiile acestei legi se aplic numai persoanelor juridice de drept public sau privat, deintoare de infrastructuri cibernetice, nu i persoanelor fizice, dispoziiile art.26 alin.(1) din Constituie nu au inciden.

    13. n ceea ce privete criticile aduse art.17 din lege referitoare la accesul la date, Preedintele Camerei Deputailor susine c legea vizeaz datele relevante lurii masurilor proactive i reactive la nivelul infrastructurilor cibernetice, i nicidecum datele de trafic, astfel nct nu se aduce atingere drepturilor prevzute la art.23 i 28 din Legea fundamental. Mai mult dect att, dispoziiile art.12 i 14 din legea criticat prevd c autoritile i instituiile publice cu atribuii n aplicarea acestei legi asigur securitatea infrastructurilor cibernetice potrivit legii i competenelor legale. Aceste entiti sunt aadar obligate i limitate strict de respectarea cadrului legal.

  • 14. Cu privire la desemnarea Serviciului Romn de Informaii ca autoritate naional n domeniul securitii cibernetice se arat, pe de o parte, c Directiva NIS nu impune statelor membre ale Uniunii Europene desemnarea unei autoriti civile i, pe de alt parte, c, potrivit art.1 din Legea nr.14/1992 privind organizarea i funcionarea Serviciului Romn de Informaii, activitatea acestei instituii este supus controlului parlamentar efectuat prin intermediul Comisiei comune permanente a Camerei Deputailor i a Senatului.

    15. Guvernul a transmis punctul su de vedere prin Adresa nr.5/7.033/2014, nregistrat la Curtea Constituional cu nr.146 din 13 ianuarie 2015, n care se arat c scopul Legii privind securitatea cibernetic este de a asigura un cadru coerent de reglementare a relaiilor sociale desfurate n mediul virtual, care s asigure realizarea securitii cibernetice a acestora, ca parte component a securitii naionale a Romniei.

    16. Cu privire la criticile de neconstituionalitate formulate, Guvernul apreciaz c citirea atent a legii demonstreaz c aceste aspecte nu sunt reale, ci se bazeaz pe o interpretare tendenioas a art.17 din lege, respectiv nu se ia n considerare contextul general de asigurare a securitii cibernetice. Se arat c autoritile competente la care face referire articolul vor avea acces la date relevante ale deintorilor de infrastructuri cibernetice pentru realizarea securitii cibernetice, nu la mesaje ori alte date de coninut stocate, procesate sau transmise de sistemul informatic. Datele vizate de aceast lege sunt jurnalele sistemelor de stocare, prelucrare i transmitere a datelor (log-uri), date tehnice sau date de configurare ale sistemelor informatice i nu includ mesaje ori alte date de coninut. n situaia n care n urma analizei preliminare se constat c se impun investigaii aprofundate asupra datelor de coninut, accesul la acestea i orice alte activiti care vizeaz restrngerea unor drepturi i liberti se realizeaz cu respectarea prevederilor legale n vigoare, respectiv n baza unui act de autorizare eliberat de judector. n condiiile n care atacurile informatice se deruleaz foarte repede, pot provoca pagube materiale cetenilor, pot afecta infrastructurile cibernetice de interes naional (ICIN-uri) sau chiar securitatea naional, este ineficient ca autoritile competente s atepte un aviz ntocmit de un procuror i analizat i aprobat de un judector pentru a obine acces la date tehnice care nu lezeaz n vreun fel drepturile i libertile constituionale. Este fizic imposibil ca fiecare dintre aceste incidente s fie investigate, de aceea autoritile competente se concentreaz doar asupra acelora care pot produce efecte negative semnificative, inclusiv n planul securitii naionale. Guvernul susine c astfel de clarificri vor fi introduse, ns, n normele de aplicare a legii, n actul normativ prevederea fiind nominalizat doar la nivel conceptual.

    17. Cu privire la critica potrivit creia legea nu reglementeaz i situaiile n care apar intermediari ce pun la dispoziie astfel de infrastructuri, Guvernul menioneaz c, n cazurile n care apar astfel de intermediari n fluxul infrastructurilor cibernetice, acetia se circumscriu calitii de deintori de astfel de infrastructuri, aa cum sunt definii la art.2 din lege.

    18. n consecin, pentru considerentele prezentate, Guvernul apreciaz c sesizarea de neconstituionalitate a Legii privind securitatea cibernetic a Romniei este nentemeiat.

    19. Preedintele Senatului nu a comunicat punctul su de vedere asupra obieciei de neconstituionalitate.

    CURTEA,

    examinnd obiecia de neconstituionalitate, raportul judectorului-raportor, punctele de vedere ale Preedintelui Camerei Deputailor i Guvernului, dispoziiile Legii privind securitatea cibernetic a Romniei, precum i prevederile Constituiei, reine urmtoarele:

    20. Curtea a fost legal sesizat i este competent, potrivit dispoziiilor art.146 lit.a) din Constituie i ale art.1, 10, 15, 16 i 18 din Legea nr.47/1992, s se pronune asupra constituionalitii prevederilor legale criticate.

    21. Obiectul controlului de constituionalitate, astfel cum rezult din sesizarea formulat, l constituie dispoziiile Legii privind securitatea cibernetic a Romniei.

    22. Dispoziiile constituionale pretins a fi nclcate sunt cele ale art.1 alin.(3) i (5) referitoare la statul de drept i obligaia respectrii legii i a supremaiei Constituiei, art.23 alin.(1) referitor la inviolabilitatea libertii individuale i a siguranei persoanei, art.26 privind viaa intim, familial i privat, art.28 privind secretul corespondenei, precum i cele ale art.148 referitor la integrarea n Uniunea European.

    23. Examinnd obiecia de neconstituionalitate, Curtea reine c Legea privind securitatea cibernetic a Romniei, care are ca scop completarea cadrului legislativ n materia securitii naionale, a fost iniiat de Guvernul Romniei i, ulterior, adoptat de Parlament n data de 19 decembrie 2015. n Expunerea de motive care nsoete legea, Guvernul afirm c, prin adoptarea acestuia act normativ, Romnia va continua s transmit semnale puternice de racordare la realitile internaionale, fiind pe deplin contient de necesitatea armonizrii cu demersurile similare ale statelor europene, n

  • lipsa unei atare reglementri, ara noastr nu-i va putea armoniza demersurile pe dimensiunea securitii cibernetice cu cele ale partenerilor si din Uniunea European i NATO, demersuri necesare unei abordri coerente i suficiente a provocrilor i oportunitilor spaiului cibernetic.

    24. Cu privire la aspectele invocate, Curtea ia act de faptul c, la nivel european, n temeiul art.114 din Tratatul privind funcionarea Uniunii Europene, a fost iniiat procedura legislativ ordinar de adoptare a unei directive privind msuri de asigurare a unui nivel comun ridicat de securitate a reelelor i a informaiei n Uniune Directiva NIS (Network and Information Security). Iniiativa aparine Comisiei Europene, care la data de 7 februarie 2013 a transmis propunerea de directiv Consiliului i Parlamentului European. Propunerea de directiv a parcurs procedura primei lecturi n Parlamentul European, unde a fost adoptat cu modificri, la data de 13martie 2014. La 10 iunie 2014, Comisia European a exprimat un acord parial cu privire la modificrile Parlamentului. Prin urmare, la data soluionrii cauzei deduse judecii Curii Constituionale, nu exist la nivelul Uniunii Europene un act normativ n vigoare cu privire la securitatea cibernetic.

    25. Cu toate acestea, Curtea apreciaz relevante pentru domeniul de reglementare cteva aspecte reinute la nivelul instituiilor Uniunii cu privire la domeniul cercetat. Astfel, potrivit Expunerii de motive a directivei, necesitatea adoptrii actului normativ european const, pe de o parte, n asigurarea rezilienei i stabilitii reelelor i a sistemelor informatice, care sunt eseniale pentru definitivarea pieei digitale unice i pentru buna funcionare a pieei interne i, pe de alt parte, n asigurarea unei capaciti i a unei pregtiri similare la nivelul statelor membre de natur s ofere o securitate global a reelelor i a informaiei n cadrul sistemelor interconectate. Directiva propus vizeaz urmtoarele obiective: n primul rnd, solicit tuturor statelor membre s se asigure c este instituit un nivel minim de capaciti naionale prin nfiinarea autoritilor competente n materie de reele i sisteme informatice, s creeze echipe de intervenie n caz de urgen informatic (Computer Emergency Response Teams CERT) i s adopte strategii naionale privind securitatea cibernetic i planurile naionale de cooperare n domeniul vizat; n al doilea rnd, autoritile naionale competente trebuie s coopereze n cadrul unei reele care s permit o coordonare sigur i eficace, inclusiv schimbul coordonat de informaii la nivelul U.E., pentru a contracara ameninrile i incidentele n materie de securitate cibernetic, pe baza planului european de cooperare n domeniu; n al treilea rnd, conform modelului Directivei-cadru privind comunicaiile electronice, propunerea urmrete s asigure dezvoltarea unei culturi a gestionrii riscurilor i partajarea informaiilor de ctre sectoarele public i privat.

    26. De asemenea, Curtea reine considerentul 41 al preambulului directivei care prevede c Prezenta directiv respect drepturile fundamentale i principiile recunoscute de Carta drepturilor fundamentale a Uniunii Europene, n special dreptul la respectarea vieii private i a secretului comunicaiilor, dreptul la protecia datelor cu caracter personal, libertatea de a desfura o activitate comercial, dreptul de proprietate, dreptul la o cale de atac eficient n faa unei instane judectoreti i dreptul de a fi ascultat. Prezenta directiv trebuie pus n aplicare n conformitate cu aceste drepturi i principii.

    27. Propunerea de directiv, n forma adoptat de Parlamentul European, conine mai multe dispoziii cu caracter obligatoriu pentru statele membre, dispoziii care ar urma s fie transpuse n legislaia naional a fiecrui stat. Astfel, preambulul directivei NIS (considerentul 10) prevede c autoritile competente i punctele unice de contact ar trebui s fie organisme civile, care s funcioneze integral pe baza controlului democratic i care nu ar trebui s desfoare activiti n domeniul informaiilor, al aplicrii legii sau al aprrii i nici s fie legate organizaional n vreun fel de organismele active n aceste domenii. Astfel, dispoziiile art.6 din directiv, n forma modificat de PE, prevd c (1) Fiecare stat membru desemneaz una sau mai multe autoriti naionale civile competente n domeniul securitii reelelor i a sistemelor informatice.

    28. n propunerea de Directiv NIS nu se prevede dreptul autoritilor desemnate de a accesa, la solicitarea motivat, datele stocate n reelele i sistemele informatice, aa cum prevede art.17 alin.(1) lit.a) din legea supus controlului de constituionalitate, ci doar obligaia de notificare a riscurilor i incidentelor cibernetice (art.14) i de a se supune auditrii pentru deintorii de infrastructuri critice (art.15). Astfel, n cazurile n care notificrile conin date cu caracter personal, acestea sunt comunicate doar destinatarilor din cadrul autoritilor competente care trebuie s prelucreze aceste date pentru a-i ndeplini sarcinile n conformitate cu un temei juridic adecvat, iar datele comunicate se limiteaz la ceea ce este necesar pentru ndeplinirea sarcinilor acestor destinatari art.14 alin.(2a), n vreme ce autoritile competente sunt mputernicite s solicite operatorilor de pia furnizarea de dovezi privind aplicarea efectiv a politicilor de securitate, precum rezultatele auditului de securitate efectuat de auditori interni, de un organism calificat independent sau de o autoritate naional i s transmit dovezile autoritii competente sau punctului unic de contact art.15 alin.(2) din directiv.

  • 29. De asemenea, art.3 din propunerea de directiv definete noiunea de operator de pia ca fiind un operator al unei infrastructuri care este esenial pentru meninerea activitilor economice i societale vitale n domeniile energiei, transporturilor, serviciilor bancare, pieelor financiare, IXP (Internet Exchange points), lanurilor de aprovizionare alimentar i sntii, activiti a cror denaturare sau distrugere ar avea un impact important ntr-un stat membru; o list neexhaustiv a acestor operatori este prevzut n anexaII, n msura n care reeaua i sistemele informatice vizate sunt legate de serviciile eseniale. Anexa II la propunerea de directiv Lista operatorilor de pia vizeaz, pe de o parte, platforme de comer electronic, procesatori de pli online, reele de socializare, motoare de cutare, servicii de cloud computing, magazine de aplicaii online i, pe de alt parte, domeniile referitoare la serviciile eseniale, precum energie, transporturi, bnci, infrastructuri ale pieei financiare i sectorul sntii. De asemenea, sub incidena proiectului de directiv i, deci, a prevederilor privind securitatea cibernetic intr i domeniul administraiilor publice (pct.26 din preambul i capitolul IV din propunerea de directiv).

    30. Potrivit Expunerii de motive la directiv se va solicita ntreprinderilor din sectoarele critice i administraiilor publice s evalueze riscurile cu care se confrunt i s adopte msuri adecvate i proporionate de asigurare a securitii cibernetice. Aceste entiti vor trebui s raporteze autoritilor competente orice incidente care afecteaz grav reelele i sistemele lor informatice i care au un impact semnificativ asupra continuitii serviciilor critice i a aprovizionrii cu bunuri. Pentru a evita impunerea unei sarcini disproporionate asupra micilor operatori, n special asupra IMM-urilor, cerinele sunt proporionale cu riscurile la care sunt expuse reeaua sau sistemul informatic n cauz i nu se aplic microntreprinderilor, ci vizeaz numai entitile critice i impun msuri proporionale cu riscurile. Astfel, art.14 alin.(8) din propunerea de Directiv NIS stabilete c microntreprinderile nu intr sub incidena directivei cu excepia situaiei n care acestea acioneaz n calitate de filial a unui operator de pia.

    31. n fine, potrivit art.15 alin.(6) din propunerea de directiv, statele membre se asigur c orice obligaii impuse operatorilor de pia [...] pot fi supuse controlului jurisdicional.

    32. La momentul efecturii controlului de constituionalitate, Curtea reine c, n legislaia naional n domeniul securitii, exist deja n vigoare o serie de reglementri, acte normative cu caracter primar sau secundar. Astfel, Ordonana de urgen a Guvernului nr.98/2010 privind identificarea, desemnarea i protecia infrastructurilor critice, publicat n Monitorul Oficial al Romniei, Partea I, nr.757 din 12 noiembrie 2010, aprobat cu modificri prin Legea nr.18/2011, publicat n Monitorul Oficial al Romniei, Partea I, nr.183 din 16 martie 2011, stabilete cadrul legal privind identificarea, desemnarea infrastructurilor critice naionale/europene i evaluarea necesitii de a mbunti protecia acestora, n scopul creterii capacitii de asigurare a stabilitii, securitii i siguranei sistemelor economico-sociale i proteciei persoanelor. Ordonana transpune prevederile Directivei 2008/114/CE a Consiliului din 8 decembrie 2008 privind identificarea i desemnarea infrastructurilor critice europene i evaluarea necesitii de mbuntire a proteciei acestora, publicat n Jurnalul Oficial al Uniunii Europene seria L nr.345 din 23decembrie 2008. Actul normativ definete infrastructura critic naional, denumit ICN, ca fiind un element, un sistem sau o component a acestuia, aflat pe teritoriul naional, care este esenial pentru meninerea funciilor vitale ale societii, a sntii, siguranei, securitii, bunstrii sociale ori economice a persoanelor i a crui perturbare sau distrugere ar avea un impact semnificativ la nivel naional ca urmare a incapacitii de a menine respectivele funcii. Actul normativ stabilete criteriile intersectoriale de identificare a ICN: criteriul privind victimele, evaluat n funcie de numrul posibil de decese sau vtmri; criteriul privind efectele economice, evaluat n funcie de importana pierderilor economice i/sau a degradrii produselor ori serviciilor, inclusiv eventualele efecte asupra mediului; criteriul privind efectul asupra populaiei, evaluat n funcie de impactul asupra ncrederii acesteia, suferina fizic sau perturbarea vieii cotidiene, inclusiv pierderea de servicii eseniale. n conformitate cu procedura prevzut de ordonana de urgen, autoritile publice responsabile identific potenialele ICN care corespund criteriilor sectoriale i intersectoriale. Actul normativ conine 3 anexe: anexa nr.1 Lista sectoarelor, subsectoarelor infrastructurii critice naionale/infrastructurii critice europene (ICN/ICE) i autoritilor publice responsabile; anexa nr.2 Procedura de identificare de ctre autoritile publice responsabile de infrastructuri critice care pot fi desemnate drept infrastructuri critice naionale/infrastructuri critice europene (ICN/ICE) i anexa nr.3 Procedura privind planul de securitate pentru operator.

    33. n aplicarea ordonanei de urgen, Guvernul a emis Hotrrea nr.718/2011, publicat n Monitorul Oficial al Romniei, Partea I, nr.555 din 4 august 2011, prin care aprob Strategia naional privind protecia infrastructurilor critice.

    34. Hotrrea Guvernului nr.494/2011, publicat n Monitorul Oficial al Romniei, Partea I, nr.388 din 2 iunie 2011, reglementeaz nfiinarea ca instituie public cu personalitate juridic, n coordonarea Ministerului Comunicaiilor i Societii Informaionale, a Centrului Naional de Rspuns la Incidente de

  • Securitate Cibernetic CERT-RO, structur independent de expertiz i cercetare-dezvoltare n domeniul proteciei infrastructurilor cibernetice. Centrul este condus de un director general i de un director general adjunct, sprijinii de Comitetul de coordonare, din care fac parte reprezentani ai MCSI, Ministerului Aprrii Naionale, Ministerului Administraiei i Internelor, Serviciului Romn de Informaii, Serviciului de Informaii Externe, Serviciului de Telecomunicaii Speciale, Serviciului de Protecie i Paz, Oficiului Registrului Naional al Informaiilor Secrete de Stat i ai Autoritii Naionale pentru Administrare i Reglementare n Comunicaii. Hotrrea de Guvern definete termeni i expresii precum infrastructur cibernetic, spaiu cibernetic, securitate cibernetic, atac cibernetic, incident cibernetic etc. i stabilete atribuiile CERT-RO.

    35. Un alt act normativ emis n domeniul securitii naionale l constituie Hotrrea Guvernului nr.271/2013 pentru aprobarea Strategiei de securitate cibernetic a Romniei i a Planului de aciune la nivel naional privind implementarea Sistemului naional de securitate cibernetic, publicat n Monitorul Oficial al Romniei, Partea I, nr.296 din 23 mai 2013.

    36. Strategia de securitate cibernetic prezint obiectivele, principiile i direciile majore de aciune pentru cunoaterea, prevenirea i contracararea ameninrilor, vulnerabilitilor i riscurilor la adresa securitii cibernetice a Romniei i pentru promovarea intereselor, valorilor i obiectivelor naionale n spaiul cibernetic. n acest sens stabilete semnificaia termenilor i expresiilor utilizai n domeniu, prevede nfiinarea Sistemului naional de securitate cibernetic (SNSC) care reprezint cadrul general de cooperare care reunete autoriti i instituii publice cu responsabiliti i capabiliti n domeniu, n vederea coordonrii aciunilor la nivel naional pentru asigurarea securitii spaiului cibernetic, inclusiv prin cooperarea cu mediul academic i cel de afaceri, asociaiile profesionale i organizaiile neguvernamentale. De asemenea prevede c Consiliul operativ de securitate cibernetic (COSC) reprezint organismul prin care se realizeaz coordonarea unitar a SNSC. Din COSC fac parte, n calitate de membri permaneni, reprezentani ai Ministerului Aprrii Naionale, Ministerului Afacerilor Interne, Ministerului Afacerilor Externe, Ministerului pentru Societatea Informaional, Serviciului Romn de Informaii, Serviciului de Telecomunicaii Speciale, Serviciului de Informaii Externe, Serviciului de Protecie i Paz, Oficiului Registrului Naional pentru Informaii Secrete de Stat, precum i secretarul Consiliului Suprem de Aprare a rii. Conducerea COSC este asigurat de un preedinte (consilierul prezidenial pe probleme de securitate naional) i un vicepreedinte (consilierul prim-ministrului pe probleme de securitate naional). Coordonatorul tehnic al COSC este Serviciul Romn de Informaii, n condiiile legii.

    37. Planul de aciune la nivel naional privind implementarea Sistemului naional de securitate cibernetic este coninut n anexa nr.2 la hotrre i este un document clasificat.

    38. La data de 27 mai 2014, Guvernul Romniei iniiaz proiectul de lege privind securitatea cibernetic a Romniei, care are ca scop completarea cadrului legislativ n materia securitii naionale, apreciind c problematica securitii cibernetice, ca parte a securitii naionale, reprezint o prioritate care impune adoptarea de msuri necesare dezvoltrii mecanismelor de aprare cibernetic. Motivul emiterii actului normativ, aa cum reiese din Expunerea de motive care l nsoete, l constituie evoluia recent a atacurilor cibernetice din ara noastr care determin aprecierea c Romnia este cu certitudine vizat de entiti ostile n mediul virtual, nivelul de securitate cibernetic fiind, n prezent, insuficient pentru a face fa unor atacuri de nivel ridicat ori cu intenii distructive. Legea vizeaz stabilirea cadrului general de reglementare a activitilor n domeniul securitii cibernetice, definirea obligaiilor ce revin persoanelor juridice de drept public sau privat n scopul protejrii infrastructurilor cibernetice, precum i asigurarea cadrului general de cooperare pentru realizarea securitii cibernetice, prin constituirea Sistemului Naional de Securitate Cibernetic.

    39. Proiectul de lege a fost adoptat, la data de 17 septembrie 2014, de Camera Deputailor, n calitate de prim Camer sesizat, n temeiul art.75 alin.(2) teza a treia din Constituie ca urmare a depirii termenului de 45 de zile, iar la data de 19decembrie 2014, Senatul Romniei, n calitate de Camer decizional, a adoptat Legea privind securitatea cibernetic a Romniei. Legea a fost trimis Preedintelui Romniei pentru promulgare, iar, n termenul prevzut de lege, un numr de 69 de deputai a formulat cererea de sesizare a Curii Constituionale, care face obiectul prezentului dosar.

    40. Din analiza documentului elaborat de iniiatorul legii intitulat Expunere de motive, seciunea a 6-a Consultri efectuate n vederea elaborrii proiectului de act normativ, la rubrica Informaii privind avizarea de ctre autoritile competente, Curtea constat c Guvernul menioneaz doar avizul Consiliului Legislativ.

    41. Potrivit dispoziiilor art.1 din legea criticat, aceasta stabilete cadrul general de reglementare a activitilor n domeniul securitii cibernetice i obligaiile ce revin persoanelor juridice de drept public sau privat n scopul protejrii infrastructurilor cibernetice, iar dispoziiile art.3 alin.(1) din lege stabilesc c securitatea cibernetic este component a securitii naionale a Romniei. Cu privire la domeniul de reglementare a actului normativ supus controlului de constituionalitate, Curtea reine c, n temeiul

  • prevederilor art.119 din Legea fundamental, Consiliul Suprem de Aprare a rii organizeaz i coordoneaz unitar activitile care privesc aprarea rii i securitatea naional, participarea la meninerea securitii internaionale i la aprarea colectiv n sistemele de alian militar, precum i la aciuni de meninere sau de restabilire a pcii. n aplicarea acestor prevederi, art.4 lit.d) pct.1 din Legea nr.415/2002 privind organizarea i funcionarea Consiliului Suprem de Aprare a rii prevede, printre atribuiile CSAT, c acesta avizeaz proiectele de acte normative iniiate sau emise de Guvern privind securitatea naional. Pe de alt parte, potrivit art.9 alin.(1) din Legea nr.24/2000 privind normele de tehnic legislativ pentru elaborarea actelor normative, n cazurile prevzute de lege, n faza de elaborare a proiectelor de acte normative iniiatorul trebuie s solicite avizul autoritilor interesate n aplicarea acestora, n funcie de obiectul reglementrii. De asemenea, art.31 alin.(3) din aceeai lege prevede c Forma final a instrumentelor de prezentare i motivare a proiectelor de acte normative trebuie s cuprind referiri la avizul Consiliului Legislativ i, dup caz, al Consiliului Suprem de Aprare a rii, Curii de Conturi sau Consiliului Economic i Social. Aadar, n temeiul dispoziiilor legale, Guvernul avea obligaia de a solicita avizul Consiliului Suprem de Aprare a rii atunci cnd a elaborat proiectul Legii privind securitatea cibernetic a Romniei.

    42. Pentru argumentele expuse, ntruct n cadrul procedurii legislative, iniiatorul nu a respectat obligaia legal, conform creia Consiliul Suprem de Aprare a rii avizeaz proiectele de acte normative iniiate sau emise de Guvern privind securitatea naional, Curtea constat c actul normativ a fost adoptat cu nclcarea prevederilor constituionale ale art.1 alin.(5) care consacr principiul legalitii i ale art.119 referitoare la atribuiile Consiliului Suprem de Aprare a rii.

    43. Examinnd coninutul normativ al legii, Curtea reine c aceasta prevede nfiinarea Sistemului Naional de Securitate Cibernetic, denumit SNSC, care reunete autoritile i instituiile publice cu responsabiliti i capaciti n domeniu (art.6). Coordonarea unitar a activitilor SNSC se realizeaz de ctre Consiliul Operativ de Securitate Cibernetic, denumit COSC (art.8). Serviciul Romn de Informaii este desemnat autoritate naional n domeniul securitii cibernetice, calitate n care asigur coordonarea tehnic a COSC, precum i organizarea i executarea activitilor care privesc securitatea cibernetic a Romniei. n acest scop, n structura SRI funcioneaz Centrul Naional de Securitate Cibernetic, denumit CNSC [art.10 alin.(1)]. Sunt desemnate autoriti n domeniul securitii cibernetice pentru domeniile lor de activitate, asigurnd securitatea infrastructurilor cibernetice proprii sau aflate n responsabilitate: Ministerul Aprrii Naionale, Ministerul Afacerilor Interne, Oficiul Registrului Naional al Informaiilor Secrete de Stat, Serviciul de Informaii Externe, Serviciul de Telecomunicaii Speciale i Serviciul de Protecie i Paz. Centrul Naional de Rspuns la Incidente de Securitate, denumit n continuare CERT-RO, reprezint un punct naional de contact cu structurile de tip CERT care funcioneaz n cadrul instituiilor sau autoritilor publice ori al altor persoane juridice de drept public sau privat, naionale ori internaionale, cu respectarea competenelor ce revin celorlalte autoriti i instituii publice cu atribuii n domeniu, potrivit legii [art.10 alin.(5)]. Autoritatea implicat n securitatea infrastructurilor cibernetice deinute sau administrate de furnizorii de reele publice de comunicaii electronice sau de servicii de comunicaii electronice destinate publicului este Autoritatea Naional pentru Administrare i Reglementare n Comunicaii, denumit ANCOM [art.13 alin.(2)], instituie nfiinat prin Ordonana de urgen Guvernului nr.22/2009.

    44. Un element de noutate adus de legea criticat, prin art.10 alin.(1), l constituie desemnarea Serviciului Romn de Informaii ca autoritate naional n domeniul securitii cibernetice, calitate n care asigur organizarea i executarea activitilor care privesc securitatea cibernetic a Romniei. n acest scop, n structura SRI funcioneaz Centrul Naional de Securitate Cibernetic (CNSC), care a fost constituit, organizat i funcioneaz deja n cadrul SRI, cu personal militar specializat, potrivit unor hotrri ale Consiliului Suprem de Aprare a rii. Autoritile i instituiile publice din componena COSC deleag un reprezentant n cadrul CNSC. Potrivit art.11 din lege, principalele atribuii ale CNSC vizeaz aciuni n scopul cunoaterii, prevenirii, proteciei, reaciei i managementului consecinelor ameninrilor i atacurilor cibernetice; asigurarea schimbului de date i informaii ntre autoritile i instituiile publice componente ale SNSC; analiza i integrarea datelor i informaiilor obinute de autoritile i instituiile publice componente ale SNSC, n scopul stabilirii, ntreprinderii sau propunerii msurilor ce se impun pentru asigurarea securitii cibernetice; asigurarea colectrii i identificrii evenimentelor survenite n spaiul cibernetic; primirea notificrilor fcute de persoanele juridice de drept public care dein sau administreaz infrastructuri cibernetice de interes naional (ICIN); n caz de atac cibernetic, asigurarea colectrii i evaluarea datelor i informaiilor cu privire la incident, propunerea sau luarea de msuri reactive de prim urgen pentru asigurarea integritii datelor i remedierea situaiei de fapt, informarea organelor competente pentru investigare i cercetare sau, dup caz, sesizarea organelor de urmrire penal.

  • 45. De asemenea, art.15 alin.(8) din lege stabilete obligaia tuturor persoanelor juridice de drept public sau privat deintori de ICIN de a transmite cu celeritate datele privind starea de securitate cibernetic la nivelul acestora ctre CNSC, conform competenelor prevzute de lege.

    46. Cu privire la desemnarea SRI, recte CNSC, ca autoritate naional n domeniul securitii cibernetice, autorii criticilor de neconstituionalitate susin c legiuitorul acord acces nelimitat i nesupravegheat la toate datele informatice deinute de persoane de drept public i privat unei instituii care nu ndeplinete condiia referitoare la un organism civil, supus controlului democratic.

    47. n analiza de constituionalitate, Curtea pornete de la premisa c strategia de securitate cibernetic i legea privind securitatea cibernetic au un rol important n asigurarea securitii naionale a Romniei, pe de o parte, i a proteciei persoanei fa de riscurile la adresa vieii private i a proteciei datelor cu caracter personal n mediul online, pe de alt parte. Cu privire la aceste aspecte analizate coroborat, prin Hotrrea din 6 septembrie 1978, pronunat n Cauza Klass i alii mpotriva Germaniei, Curtea European a Drepturilor Omului a apreciat c Societile democratice sunt ameninate n prezent de modaliti complexe de spionaj i de terorism, astfel c statul trebuie s fie capabil, pentru a combate eficient aceste ameninri, s supravegheze n mod secret elementele subversive care opereaz pe teritoriul su (paragraful 42). Cu toate acestea, Curtea, contient de pericolul, inerent msurilor de supraveghere secret, de a submina, chiar de a distruge democraia sub motivul aprrii acesteia, afirm c statele nu pot lua, n numele combaterii spionajului i terorismului, orice msur pe care acestea o consider adecvat (paragraful 49).

    48. n aceast lumin, Curtea Constituional trebuie s verifice dac reglementarea domeniului vizat concord cu respectarea dreptului la via intim, familial i privat, cu inviolabilitatea secretului corespondenei, cu dreptul la protecia datelor cu caracter personal, valori fundamentale care ar trebui s reprezinte principii directoare ale politicii de securitate cibernetic la nivel naional, i s se asigure c legislaia adoptat nu conduce la msuri care ar constitui interferene neconstituionale cu drepturile menionate. Aa fiind, Curtea apreciaz c, pentru asigurarea unui climat de ordine, guvernat de principiile unui stat de drept, democratic, nfiinarea sau identificarea unui organism responsabil cu coordonarea problemelor de securitate a sistemelor i reelelor cibernetice, precum i a informaiei, care s constituie punctul de contact pentru relaionarea cu organismele similare din strintate [aa cum prevede art.10 alin.(4) din lege], inclusiv al cooperrii transfrontaliere la nivelul Uniunii Europene, trebuie s vizeze un organism civil, care s funcioneze integral pe baza controlului democratic, iar nu o autoritate care desfoar activiti n domeniul informaiilor, al aplicrii legii sau al aprrii ori care s reprezinte o structur a vreunui organism care activeaz n aceste domenii.

    49. n ceea ce privete dispoziiile art.1 alin.(3), teza nti din Constituie, care consacr principiul statului de drept, Curtea a reinut n jurisprudena sa (a se vedea Decizia nr.70 din 18aprilie 2000, publicat n Monitorul Oficial al Romniei, Partea I, nr.334 din 19 iulie 2000) c exigenele acestuia privesc scopurile majore ale activitii statale, prefigurate n ceea ce ndeobte este numit ca fiind domnia legii, sintagm ce implic subordonarea statului fa de drept, asigurarea acelor mijloace care s permit dreptului s cenzureze opiunile politice i, n acest cadru, s pondereze eventualele tendine abuzive, discreionare, ale structurilor etatice. Statul de drept asigur supremaia Constituiei, corelarea legilor i tuturor actelor normative cu aceasta, existena regimului de separaie a puterilor publice, care trebuie s acioneze n limitele legii, i anume n limitele unei legi ce exprim voina general. Statul de drept consacr o serie de garanii, inclusiv jurisdicionale, care s asigure respectarea drepturilor i libertilor cetenilor prin autolimitarea statului, respectiv ncadrarea autoritilor publice n coordonatele dreptului.

    50. n analiza Curii, opiunea pentru desemnarea n calitate de autoritate naional n domeniul securitii cibernetice a unui organism civil, iar nu a unei entiti militare cu activitate n domeniul informaiilor, se justific prin necesitatea prentmpinrii riscului de a deturna scopul legii securitii cibernetice n sensul folosirii atribuiilor conferite prin aceast lege de ctre serviciile de informaii n scopul obinerii de informaii i date cu consecina nclcrii drepturilor constituionale la via intim, familial i privat i la secretul corespondenei. Or, tocmai acest lucru nu evit legea supus controlului de constituionalitate prin desemnarea SRI i a structurii sale militarizate CNSC.

    51. Astfel, examinnd atribuiile stabilite de actul normativ supus controlului, apare cu eviden intenia legiuitorului de a stabili n competena CNSC colectarea tuturor datelor privind starea de securitate a infrastructurii, oricare ar fi natura acestora, att din mediul public, ct i din cel privat. Or, n condiiile n care Centrul Naional de Securitate Cibernetic constituie o structur militar, n cadrul unui serviciu de informaii, subordonat ierarhic conducerii acestei instituii, deci sub un control direct militar-administrativ, apare cu eviden c o atare entitate nu ndeplinete condiiile cu privire la garaniile necesare respectrii drepturilor fundamentale referitoare la via intim, familial i privat i la secretul corespondenei.

  • 52. De asemenea, n condiiile n care autoritatea naional desemnat deservete drept punct unic de contact naional n domeniul securitii reelelor i al sistemelor informatice, asigurnd relaionarea cu organismele similare din cadrul Uniunii Europene, mprejurarea c Romnia desemneaz o autoritate care nu ar ndeplini exigenele actului normativ european, aflat n curs de adoptare, pune sub semnul ntrebrii att o eventual concordan a reglementrii naionale cu cea de drept european, ct i cooperarea efectiv ntre instituii care, dei au acelai scop, nu se ntemeiaz pe o structur organizatoric similar i nu funcioneaz sub un control democratic.

    53. Pentru toate aceste argumente, Curtea constat c dispoziiile art.10 alin.(1) din legea supus controlului ncalc prevederile constituionale ale art.1 alin.(3) i (5) referitoare la statul de drept i principiul legalitii, precum i cele ale art.26 i art.28 privind via intim, familial i privat, respectiv secretul corespondenei, din perspectiva lipsei garaniilor necesare garantrii acestor drepturi.

    54. Curtea observ c dispoziiile art.2 prevd sfera de inciden a legii, sub aspectul destinatarilor si, artnd c persoanele juridice de drept public sau privat crora le sunt aplicabile prevederile legale, intitulai generic deintori de infrastructuri cibernetice, sunt: proprietarii, administratorii, operatorii sau utilizatorii de infrastructuri cibernetice, definite la art.5 lit.g) ca fiind infrastructuri din domeniul tehnologiei informaiei i comunicaii, constnd n sisteme informatice, aplicaii aferente, reele i servicii de comunicaii electronice.

    55. Definirea expresiei deintori de infrastructuri cibernetice este deosebit de important, deoarece includerea n aceast categorie implic pentru persoanele vizate obligaia de a respecta prevederile legii, pe de o parte, i justificarea pentru autoritile desemnate de lege cu competene n domeniul securitii cibernetice de a dispune msuri speciale n ceea ce le privete.

    56. Obligaiile care incumb destinatarilor legii vizeaz asigurarea rezilienei infrastructurilor cibernetice, respectiv capacitatea componentelor infrastructurilor cibernetice de a rezista unui incident sau atac cibernetic i de a reveni la starea de normalitate. Aceast stare este meninut n urma aplicrii unui ansamblu de msuri proactive i reactive prin care se asigur confidenialitatea, integritatea, disponibilitatea, autenticitatea i nonrepudierea informaiilor n format electronic, a resurselor i serviciilor publice sau private, din spaiul cibernetic. Includerea n sfera de inciden a legii a utilizatorilor de infrastructuri cibernetice, deci a tuturor persoanelor juridice care utilizeaz reele i servicii de comunicaii electronice, ridic probleme legate de modul n care acestea pot s i ndeplineasc obligaiile i responsabilitile prevzute de lege, n condiiile n care nu sunt proprietari, administratori sau operatori ai infrastructurilor cibernetice pe care le utilizeaz, iar legea face vorbire n cuprinsul art.16, despre infrastructuri cibernetice proprii sau aflate n responsabilitate. Mai mult, n msura n care obligaiile i responsabilitile cad att n sarcina proprietarilor, administratorilor sau operatorilor infrastructurilor cibernetice, ct i a utilizatorilor acestor infrastructuri, iar legea nu stabilete sensul noiunii de utilizator, rezult c obligaiile i responsabilitile se exercit n mod concurent la nivelul fiecrui sistem sau fiecrei reele informatice. Spre exemplu, potrivit art.16 alin.(1) lit.a) i b) din lege, att proprietarul, ct i utilizatorul sunt obligai s aplice politici de securitate, s identifice i s implementeze msurile tehnice i organizatorice adecvate pentru a gestiona eficient riscurile de securitate. ns, exist posibilitatea ca, uneori, politicile de securitate, msurile tehnice i, mai ales, cele organizatorice, considerate adecvate de cele dou entiti, s nu coincid sau s nu fie compatibile, astfel nct finalitatea urmrit de lege s nu fie atins. Or, destinatarii legii trebuie s aib o reprezentare clar i corect a normelor juridice aplicabile, astfel nct s i adapteze conduita i s prevad consecinele ce decurg din nerespectarea acestora, lipsa unei reglementri predictibile n acest sens constituind premisa unei aplicri neunitare, discreionare, n activitatea de securizare cibernetic a Romniei.

    57. n concluzie, ntruct noiunile cu care opereaz legea nu delimiteaz n mod neechivoc sfera de inciden a normelor cuprinse n actul supus controlului de constituionalitate, Curtea reine c acesta nu are un caracter precis i previzibil, i, prin urmare, dispoziiile art.2 contravin art.1 alin.(5) din Legea fundamental.

    58. Curtea reine c tuturor deintorilor de infrastructuri cibernetice le sunt aplicabile dispoziiile art.16 (care stabilesc obligaiile ce le incumb) i ale art.17 (care consacr responsabilitile pe care acetia trebuie s le ndeplineasc). Printre responsabilitile acestor persoane este i aceea de aacorda sprijinul necesar, la solicitarea motivat a Serviciului Romn de Informaii, Ministerului Aprrii Naionale, Ministerului Afacerilor Interne, Oficiului Registrului Naional al Informaiilor Secrete de Stat, Serviciului de Informaii Externe, Serviciului de Telecomunicaii Speciale, Serviciului de Protecie i Paz, CERT-RO i ANCOM, n ndeplinirea atribuiilor ce le revin acestora, i s permit accesul reprezentanilor desemnai n acest scop la datele deinute, relevante n contextul solicitrii. Textul de lege impune o dubl analiz: prima, din perspectiva tipului de date la care se permite accesul, a doua, din perspectiva modalitii n care se realizeaz accesul.

  • 59. Cu privire la primul aspect, dei legislaia privind protecia datelor cu caracter personal nu este menionat n mod expres n lege, accesul la datele deinute de persoanele care cad sub incidena legii nu exclude accesarea, prelucrarea i utilizarea datelor cu caracter personal. De asemenea, avnd n vedere c infrastructurile cibernetice constau n sisteme informatice, n reele i servicii de comunicaii electronice, care faciliteaz stocarea i transferul de date, apare ca fiind evident c tipul de date cuprinse n aceste sisteme i reele sunt inclusiv date care privesc viaa privat a persoanelor utilizatoare. Prevederea n temeiul creia accesul se realizeaz cu privire la datele deinute, relevante n contextul solicitrii permite interpretarea potrivit creia autoritilor desemnate de lege trebuie s li se permit accesul la oricare din datele stocate n aceste infrastructuri cibernetice, dac autoritile apreciaz c respectivele date prezint relevan. Se remarc, astfel, caracterul nepredictibil al reglementrii, att sub aspectul tipului de date accesate, ct i al evalurii relevanei datelor solicitate, de natur s creeze premisele unor aplicri discreionare de ctre autoritile enumerate n ipoteza normei. Astfel, datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare i transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de coninut. Lipsa unei reglementri legale precise, care s determine cu exactitate sfera acelor date necesare identificrii evenimentelor survenite n spaiul cibernetic (ameninri, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autoritilor competente. Or, cadrul normativ ntr-un domeniu att de sensibil trebuie s se realizeze ntr-o manier clar, previzibil i lipsit de confuzie, astfel nct s fie ndeprtat, pe ct posibil, eventualitatea arbitrariului sau a abuzului celor chemai s aplice dispoziiile legale.

    60. Cu privire la aceste probleme, Curtea deja a decis ntr-o manier indubitabil, prin Decizia nr.440 din 8 iulie 2014, publicat n Monitorul Oficial al Romniei, Partea I, nr.653 din 4 septembrie 2014, statund c, datele care fac obiectul reglementrii, dei au un caracter predominant tehnic, sunt reinute n scopul furnizrii informaiilor cu privire la persoana i viaa sa privat. Chiar dac, potrivit art.1 alin.(3) din lege, aceasta nu se aplic i coninutului comunicrii sau informaiilor consultate n timpul utilizrii unei reele de comunicaii electronice, celelalte date reinute, avnd ca scop identificarea apelantului i a apelatului, respectiv a utilizatorului i a destinatarului unei informaii comunicate pe cale electronic, a sursei, destinaiei, datei, orei i duratei unei comunicri, a tipului de comunicare, a echipamentului de comunicaie sau a dispozitivelor folosite de utilizator, a locaiei echipamentului de comunicaii mobile, precum i a altor date necesare nedefinite n lege , sunt de natur s prejudicieze manifestarea liber a dreptului la comunicare sau la exprimare. n concret, datele avute n vedere conduc la concluzii foarte precise privind viaa privat a persoanelor ale cror date au fost pstrate, concluzii ce pot viza obiceiurile din viaa cotidian, locurile de edere permanent sau temporar, deplasrile zilnice sau alte deplasri, activitile desfurate, relaiile sociale ale acestor persoane i mediile sociale frecventate de ele. Or, o atare limitare a exerciiului dreptului la via intim, familial i privat i la secretul corespondenei, precum i a libertii de exprimare trebuie s aib loc ntr-o manier clar, previzibil i lipsit de echivoc, astfel nct s fie ndeprtat, pe ct posibil, eventualitatea arbitrarului sau a abuzului autoritilor n acest domeniu. (paragraful 56)

    61. De asemenea, Curtea de Justiie a Uniunii Europene a reinut, prin Hotrrea din 8 aprilie 2014, pronunat n cauzele conexate C-293/12 Digital Rights Ireland Ltd mpotriva Minister for Communications, Marine and Natural Resources i alii i C-594/12 Krntner Landesregierung i alii, c datele ce fac obiectul reglementrii Directivei 2006/24/CE a Parlamentului European i a Consiliului din 15 martie 2006 privind pstrarea datelor generate sau prelucrate n legtur cu furnizarea serviciilor de comunicaii electronice accesibile publicului sau de reele de comunicaii publice i de modificare a Directivei 2002/58/CE, invalidate, conduc la concluzii foarte precise privind viaa privat a persoanelor ale cror date au fost pstrate, concluzii ce pot viza obiceiurile din viaa cotidian, locurile de edere permanent sau temporar, deplasrile zilnice sau alte deplasri, activitile desfurate, relaiile sociale ale acestor persoane i mediile sociale frecventate de ele (paragraful 27) i c, n aceste condiii, chiar dac, potrivit art.1 alin.(2) i art.5 alin.(2) din Directiva 2006/24/CE, este interzis pstrarea coninutului comunicaiilor i al informaiilor consultate prin utilizarea unei reele de comunicaii electronice, pstrarea datelor n cauz poate afecta utilizarea de ctre abonai sau de ctre utilizatorii nregistrai a mijloacelor de comunicare prevzute de aceast directiv i, n consecin, libertatea lor de exprimare, garantat prin art.11 din Cart (paragraful 28).

    62. De altfel, accesul la date care vizeaz datele unei infrastructuri cibernetice [infrastructur definit de art.5 lit.g) din lege ca fiind un sistem informatic, aplicaii aferente, reele i servicii de comunicaii electronice] n sensul legii supus controlului de constituionalitate se suprapune cu noiunea de acces la un sistem informatic, reglementat de art.138 alin.(1) lit.b) i alin.(3) din Codul de procedur penal, care const n ptrunderea ntr-un sistem informatic sau mijloc de stocare a datelor informatice, fie direct, fie de la distan, prin intermediul unor programe specializate ori prin intermediul unei reele, n scopul de a identifica probe. De asemenea, n acelai context, prin date

  • deinute se nelege datele informatice reglementate de art.138 alin.(5) din Codul de procedur penal, care sunt orice reprezentare de fapte, informaii sau concepte, sub o form adecvat prelucrrii ntr-un sistem informatic, inclusiv un program capabil s determine executarea unei funcii de ctre un sistem informatic. Or, accesul la un sistem informatic n scopul obinerii acestor date constituie una dintre metodele speciale de supraveghere sau cercetare potrivit art.138 alin.(13) din Codul de procedur penal, msur care poate fi dispus doar n condiiile art.140 (de ctre judector) sau a art.141 (de ctre procuror, pentru o durat de maximum 48 de ore). De asemenea, datele relevante pot fi i cele generate sau prelucrate de ctre furnizorii de reele publice de comunicaii electronice sau furnizorii de servicii de comunicaii electronice destinate publicului i reinute de ctre acetia, ns i acestea pot fi obinute doar cu autorizarea judectorului, conform art.152 din Codul de procedur penal.

    63. Cu privire la cel de-al doilea aspect, legea criticat se limiteaz la a preciza care sunt autoritile care pot solicita accesul la datele deinute pe baza formulrii unei solicitri motivate, fr a reglementa modalitatea n care se realizeaz accesul efectiv la datele deinute, aa nct persoanele ale cror date au fost pstrate s beneficieze de garanii suficiente care s le asigure protecia mpotriva abuzurilor i a oricrui acces sau utilizri ilicite. Astfel, legea nu prevede criterii obiective care s limiteze la strictul necesar numrul de persoane care au acces i pot utiliza ulterior datele pstrate i nu stabilete c accesul autoritilor naionale la datele stocate este condiionat de controlul prealabil efectuat de ctre o instan judectoreasc, care s limiteze acest acces i utilizarea lor la ceea ce este strict necesar pentru realizarea obiectivului urmrit. Garaniile legale privind utilizarea n concret a datelor reinute nu sunt suficiente i adecvate pentru a ndeprta teama c drepturile personale, de natur intim, sunt violate, aa nct manifestarea acestora s aib loc ntr-o manier acceptabil (a se vedea n acest sens i Decizia nr.440 din 3 mai 2012, publicat n Monitorul Oficial al Romniei, Partea I, nr.527 din 30 iulie 2012, paragraful 57).

    64. Solicitrile de acces la datele reinute n vederea utilizrii lor n scopul prevzut de lege, formulate de ctre organele de stat desemnate autoriti n domeniul securitii cibernetice pentru domeniile lor de activitate, nu sunt supuse autorizrii sau aprobrii instanei judectoreti, lipsind astfel garania unei protecii eficiente a datelor pstrate mpotriva riscurilor de abuz, precum i mpotriva oricrui acces i a oricrei utilizri ilicite a acestor date. Aceast mprejurare este de natur a constitui o ingerin n drepturile fundamentale la via intim, familial i privat i a secretului corespondenei i, prin urmare, contravine dispoziiilor constituionale care consacr i protejeaz aceste drepturi. Lipsa unor astfel de autorizri a fost criticat, printre altele, i de ctre Curtea de Justiie a Uniunii Europene prin Hotrrea din 8aprilie 2014, aceast lips echivalnd cu insuficiena garaniilor procesuale necesare ocrotirii dreptului la viaa privat i a celorlalte drepturi consacrate de art.7 din Carta drepturilor i libertilor fundamentale i a dreptului fundamental la protecia datelor cu caracter personal, consacrat de art.8 din Cart (paragraful 62).

    65. n concluzie, n condiiile n care msurile adoptate prin legea supus controlului de constituionalitate nu au un caracter precis i previzibil, ingerina statului n exercitarea drepturilor constituionale la via intim, familial i privat i la secretul corespondenei, dei prevzut de lege, nu este formulat clar, riguros i exhaustiv pentru a oferi ncredere cetenilor, caracterul strict necesar ntr-o societate democratic nu este pe deplin justificat, iar proporionalitatea msurii nu este asigurat prin reglementarea unor garanii corespunztoare, considerm c dispoziiile art.17 alin.(1) lit.a) din Legea privind securitatea cibernetic a Romniei ncalc prevederile art.1 alin.(5), art.26, art.28 i art.53 din Constituie. Aadar, limitarea exerciiului acestor drepturi personale n considerarea unor drepturi colective i interese publice, ce vizeaz securitatea cibernetic, rupe justul echilibru care ar trebui s existe ntre interesele i drepturile individuale, pe de o parte, i cele ale societii, pe de alt parte, legea criticat nereglementnd garanii suficiente care s permit asigurarea unei protecii eficiente a datelor fa de riscurile de abuz, precum i fa de orice accesare i utilizare ilicit a datelor cu caracter personal (ad similis, Decizia nr.461 din 16 septembrie 2014, publicat n Monitorul Oficial al Romniei, Partea I, nr.775 din 24 octombrie 2014, paragraful 44).

    66. n continuarea analizei sale, Curtea observ c, din coroborarea dispoziiilor art.2 cu art.19 i art.20 din lege, rezult c, n cadrul deintorilor de infrastructuri cibernetice, se creeaz o subcategorie deintorii de infrastructuri cibernetice de interes naional (ICIN), care, potrivit art.2 lit.h) din lege, reprezint infrastructurile cibernetice care susin servicii publice sau de interes public ori servicii ale societii informaionale, a cror afectare poate aduce atingere securitii naionale sau prejudicii grave statului romn ori cetenilor acestuia. Acetia sunt cuprini n Catalogul ICIN, ntocmit de Ministerul pentru Societatea Informaional, cu consultarea COSC, la propunerea CNSC sau, dup caz, a CERT-RO i a ANCOM. Potrivit art.19 alin.(1), catalogul este aprobat prin hotrre a Guvernului. Identificarea ICIN se realizeaz pe baza criteriilor de selecie cuprinse n metodologia elaborat de Serviciul Romn de Informaii i Ministerul pentru Societatea Informaional i este aprobat prin hotrre de Guvern.

  • 67. Cu privire la aceste aspecte, Curtea apreciaz c modalitatea prin care se stabilesc criteriile n funcie de care se realizeaz selecia infrastructurilor cibernetice de interes naional i, implicit, a deintorilor ICIN nu respect cerinele de previzibilitate, certitudine i transparen. Astfel, trimiterea la o legislaie infralegal, respectiv hotrri de Guvern, acte normative caracterizate printr-un grad sporit de instabilitate, pentru reglementarea criteriilor n funcie de care devin incidente obligaii n materia securitii naionale ncalc principiul constituional al legalitii, consacrat de art.1 alin.(5) din Constituie. Opiunea pentru o atare modalitate de reglementare apare cu att mai nejustificat cu ct ntr-o materie similar, cea a identificrii infrastructurilor critice naionale, Ordonana de urgen a Guvernului nr.98/2010 stabilete n chiar coninutul su criteriile intersectoriale de identificare a ICN. Mai mult, prin anexa la actul normativ se aprob lista sectoarelor, subsectoarelor infrastructurii critice naionale/infrastructurii critice europene (ICN/ICE) i autoritilor publice responsabile (energetic, tehnologia informaiei i comunicaii, alimentare cu ap, alimentaie, sntate, securitate naional, administraie, transporturi, industria chimic i nuclear, spaiu i cercetare). Or, n cazul Legii privind securitatea cibernetic, dispoziiile art.19 fac trimitere la acte normative cu for juridic inferioar legii, identificarea ICIN realizndu-se pe baza unei metodologii elaborate de Serviciul Romn de Informaii i de Ministerul pentru Societatea Informaional, n baza unei proceduri neprevzute de lege, netransparente, i deci, susceptibil de a fi calificat arbitrar.

    68. Prin urmare, Curtea reine c att criteriile n funcie de care se realizeaz selecia infrastructurilor cibernetice de interes naional, ct i modalitatea prin care se stabilesc acestea trebuie prevzute de lege, iar actul normativ de reglementare primar trebuie s conin o list ct mai complet a domeniilor n care sunt incidente prevederile legale.

    69. Pe de alt parte, Curtea apreciaz c obligaiile ce decurg din Legea securitii cibernetice a Romniei trebuie s fie aplicabile n exclusivitate persoanelor juridice de drept public sau privat deintoare sau care au n responsabilitate ICIN (care includ, n baza legii, i administraiile publice), ntruct numai situaiile de pericol cu privire la o infrastructur de interes naional pot avea implicaii asupra securitii Romniei, prin dimensiunea, dispersia i accesibilitatea unei astfel de infrastructuri, prin efectele economice, evaluate n funcie de importana pierderilor economice i/sau a degradrii produselor sau serviciilor, prin efectele asupra populaiei, evaluate n funcie de impactul asupra ncrederii acesteia sau perturbarea vieii cotidiene, inclusiv prin pierderea unor servicii eseniale. Or, dispoziiile legale n forma supus controlului de constituionalitate prezint un grad mare de generalitate, obligaiile viznd totalitatea deintorilor de infrastructuri cibernetice, constnd n sisteme informatice, aplicaii aferente, reele i servicii de comunicaii electronice, indiferent de importana acestora care poate viza interesul naional sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproporionate asupra micilor operatori, cerinele trebuie s fie proporionale cu riscurile la care sunt expuse reeaua sau sistemul informatic n cauz i nu trebuie aplicat deintorilor de infrastructuri cibernetice cu importan nesemnificativ din punctul de vedere al interesului general. Prin urmare, riscurile vor trebui identificate la nivelul entitilor care activeaz n domenii eseniale/vitale pentru buna desfurare a serviciilor publice naionale, care vor decide ce msuri trebuie adoptate pentru a atenua riscurile respective.

    70. Pentru motivele expuse mai sus apreciem c dispoziiile art.19 alin.(1) i (3) din Legea securitii cibernetice a Romniei ncalc prevederile art.1 alin.(5) din Constituie, ntruct nu respect cerinele de previzibilitate, stabilitate i certitudine.

    71. n continuare, Curtea reine c dispoziiile art.20 i art.21 alin.(2) din legea criticat prevd obligaiile care incumb persoanelor juridice de drept public sau privat care dein sau au n responsabilitate ICIN, printre care s efectueze anual auditri de securitate cibernetic ori s permit efectuarea unor astfel de auditri la solicitarea motivat a autoritilor competente potrivit prezentei legi, s constituie structuri sau s desemneze persoane responsabile cu prevenirea, identificarea i reacia la incidentele cibernetice, s notifice imediat, dup caz, CNSC, CERT-RO, ANCOM ori autoritile desemnate, n condiiile legii, n domeniul securitii cibernetice cu privire la riscurile i incidentele cibernetice care, prin efectul lor, pot aduce prejudicii de orice natur utilizatorilor sau beneficiarilor serviciilor lor. De asemenea, n cazul n care au fost notificate riscuri sau incidente cibernetice, deintorii de ICIN au obligaia s permit autoritilor competente s intervin pentru identificarea i analizarea cauzelor incidentelor cibernetice, respectiv pentru nlturarea sau reducerea efectelor incidentelor cibernetice, s rein i s asigure integritatea datelor referitoare la incidentele cibernetice pentru o perioad de 6 luni de la data notificrii.

    72. Legea stabilete c sunt exceptate de la aplicarea acestor dispoziii autoritile prevzute la art.10 alin.(1) i (2) din lege, respectiv Serviciul Romn de Informaii, Ministerul Aprrii Naionale, Ministerul Afacerilor Interne, Oficiul Registrului Naional al Informaiilor Secrete de Stat, Serviciul de Informaii Externe, Serviciul de Telecomunicaii Speciale i Serviciul de Protecie i Paz. Or, Curtea consider nejustificat aceast exceptare n condiiile n care i autoritile enumerate desfoar

  • activiti n domeniul securitii naionale, sunt deintoare de ICIN sau au n responsabilitate ICIN i sunt susceptibile a face obiectul unor atacuri cibernetice.

    73. Potrivit dispoziiilor art.20 alin.(1) lit.c) din lege, persoanele juridice de drept public sau privat care dein ori au n responsabilitate ICIN au obligaia s permit efectuarea unor auditri de securitate cibernetic la solicitarea motivat a autoritilor competente. Auditrile sunt realizate de SRI sau de ctre furnizori de servicii de securitate cibernetic. Cu alte cuvinte, ntruct SRI este autoritate naional n domeniul securitii cibernetice, deci autoritate competent, potrivit legii, s solicite persoanelor juridice de drept public sau privat care dein ori au n responsabilitate ICIN efectuarea unor auditri de securitate cibernetic, exist posibilitatea real ca aceast instituie s se afle concomitent n poziia solicitantului auditului, a celui care efectueaz auditul, a celui cruia i se comunic rezultatul auditului i, n fine, n poziia celui care constat o eventual contravenie, potrivit art.28 lit.e) din lege, i aplic sanciunea, potrivit art.30 lit.c) din lege. Or, o atare situaie este inacceptabil ntr-o societate guvernat de principiile statului de drept. Dispoziiile legale sunt susceptibile de a genera o aplicare discreionar, chiar abuziv a legii, fiind nepermis ca toate atribuiile din domeniul reglementat s fie concentrate n sarcina unei singure instituii. Curtea apreciaz c auditul trebuie s fie efectuat de auditori interni sau de un organism calificat independent care s verifice conformitatea aplicrii politicilor de securitate cibernetic la nivelul infrastructurilor cibernetice i s transmit rezultatul evalurii efectuate autoritii competente sau punctului unic de contact.

    74. Pornind de la definiia noiunii de audit de securitate cibernetic, prevzut n art.5 lit.d), care stabilete c aceasta reprezint o evaluare sistematic, detaliat, msurabil i tehnic a modului n care politicile de securitate cibernetic sunt aplicate la nivelul infrastructurilor cibernetice, precum i emiterea de recomandri pentru minimizarea riscurilor identificate, Curtea reine c, n accepiunea legii, aceast auditare presupune doar o evaluare a politicilor de securitate cibernetic i nicidecum accesul la datele stocate n infrastructurile cibernetice.

    75. n ceea ce privete norma prevzut de art.20 alin.(1) lit.h), i anume obligaia de a notifica imediat, dup caz, CNSC, CERT-RO, ANCOM sau autoritile desemnate, n condiiile legii, n domeniul securitii cibernetice cu privire la riscurile i incidentele cibernetice, Curtea consider c aceasta ar trebui s stabileasc cu exactitate circumstanele n care este necesar notificarea, precum i coninutul notificrii, inclusiv tipurile de date cu caracter personal care ar trebui notificate, i, dac este cazul, n ce msur notificarea i documentele sale justificative vor include detalii privind datele cu caracter personal afectate de un incident specific de securitate (precum adresele IP). Este important s se in seama de faptul c autoritilor competente n domeniul securitii reelelor i informaiei ar trebui s li se permit s colecteze i s prelucreze date cu caracter personal n cadrul unui incident de securitate doar dac este strict necesar pentru atingerea obiectivelor de interes public urmrite de lege, cu respectarea principiului proporionalitii. De asemenea, legea trebuie s prevad garanii adecvate pentru a se asigura protecia efectiv a datelor prelucrate de autoritile competente privind securitatea cibernetic i nu trebuie s exclud obligaia de notificare a cazurilor de nclcare a proteciei datelor cu caracter personal n temeiul legislaiei aplicabile n materie, potrivit art.21 i 22 din Legea nr.677/2001 pentru protecia persoanelor cu privire la prelucrarea datelor cu caracter personal i libera circulaie a acestor date. Analiznd, ns, dispoziiile art.20 alin.(2), Curtea constat c legiuitorul deleag atribuia sa de legiferare Ministerului pentru Societatea Informaional, ANCOM sau autoritilor desemnate, n condiiile legii, n domeniul securitii cibernetice, care vor stabili cerinele minime de securitate cibernetic, modalitatea de notificare, precum i datele i informaiile care nsoesc n mod obligatoriu notificarea, care se aprob prin ordine sau decizii emise n termen de 90 de zile de la intrarea n vigoare a legii, de conductorii autoritilor sau instituiilor publice respective, publicate n Monitorul Oficial al Romniei, Partea I. Trimiterea la acte administrative, cu o for juridic inferioar legii, ntr-un domeniu critic pentru securitatea naional, cu impact asupra drepturilor i libertilor fundamentale ale cetenilor, ncalc prevederile constituionale cuprinse n art.1 alin.(5) referitoare la principiul legalitii. O dispoziie legal trebuie s fie precis, neechivoc, s instituie norme clare, previzibile, a cror aplicare s nu permit arbitrariul sau abuzul. De asemenea, norma trebuie s reglementeze n mod unitar, uniform, s stabileasc cerine minimale aplicabile tuturor destinatarilor si. Or, atta vreme ct ordinele sau deciziile sunt emise de conductorii autoritilor sau instituiilor publice desemnate de lege, apare cu eviden c legea relativizeaz n mod nepermis reglementarea acestui domeniu, lsnd la latitudinea fiecrei entiti stabilirea, n mod difereniat, a unor msuri eseniale, precum cerinele minime de securitate cibernetic, modalitatea de notificare, precum i datele i informaiile care nsoesc notificarea. Pe de alt parte, enumernd autoritile care stabilesc aceste aspecte, legiuitorul omite chiar Consiliul Suprem de Aprare a rii, care potrivit art.9 alin.(1) lit.f) din lege, aprob propunerile COSC privind cerinele minime de securitate cibernetic i politici de securitate cibernetic pentru autoritile i instituiile publice prevzute la art.10 alin.(1) i (2) din lege.

  • 76. n concluzie, Curtea constat c dispoziiile art.20 alin.(1) lit.c) i lit.h) coroborate cu art.20 alin.(2) sunt neconstituionale, ntruct contravin prevederilor art.1 alin.(3) i (5), art.26 i art.28 din Constituie.

    77. Din analiza legii, Curtea reine c aceasta omite s reglementeze posibilitatea subiecilor crora le este destinat legea, n sarcina crora au fost instituite obligaii i responsabiliti, de a contesta n justiie actele administrative ncheiate cu privire la ndeplinirea acestor obligaii i care sunt susceptibile a prejudicia un drept sau un interes legitim.

    78. Potrivit art.21 din Constituie, orice persoan se poate adresa justiiei pentru aprarea drepturilor, libertilor i intereselor sale legitime. Prin Decizia nr.1 din 8 februarie 1994, publicat n Monitorul Oficial al Romniei, Partea I, nr.69 din 16martie 1994, Curtea Constituional a statuat c liberul acces la justiie presupune accesul la toate mijloacele procedurale prin care se nfptuiete actul de justiie. S-a considerat c legiuitorul are competena exclusiv de a stabili regulile de desfurare a procesului n faa instanelor judectoreti, astfel cum rezult din art.126 alin.(2) din Constituie. Totodat, n jurisprudena sa (Decizia nr.71 din 15 ianuarie 2009, publicat n Monitorul Oficial al Romniei, Partea I, nr.49 din 27 ianuarie 2009), Curtea a reinut c liberul acces la justiie este pe deplin respectat ori de cte ori partea interesat, n vederea valorificrii unui drept sau interes legitim, a putut s se adreseze cel puin o singur dat unei instane naionale.

    79. Pe de alt parte, potrivit art.6 paragraful 1 din Convenia pentru aprarea drepturilor omului i a libertilor fundamentale, orice persoan are dreptul la judecarea n mod echitabil a cauzei sale, de ctre o instan independent i imparial, care va hotr asupra nclcrii drepturilor i obligaiilor sale cu caracter civil. Curtea European a Drepturilor Omului a statuat n jurisprudena sa, cu titlu general, c art.6 paragraful 1 din Convenie garanteaz oricrei persoane dreptul de a aduce n faa unei instane orice pretenie referitoare la drepturi i obligaii cu caracter civil (a se vedea Hotrrea din 21 februarie 1975, pronunat n Cauza Golder mpotriva Marii Britanii, paragraful 36, i Hotrrea din 20 decembrie 2011, pronunat n Cauza Dokic mpotriva Serbiei, paragraful 35). De asemenea, n Hotrrea din 26 ianuarie 2006, pronunat n Cauza Lungoci mpotriva Romniei, paragraful 36, publicat n Monitorul Oficial Romniei, Partea I, nr.588 din 7 iulie 2006, s-a artat c accesul liber la justiie implic prin natura sa o reglementare din partea statului i poate fi supus unor limitri, att timp ct nu este atins substana dreptului.

    80. Romnia este un stat de drept n care, potrivit art.1 alin.(5) din Constituie, respectarea Constituiei, a supremaiei sale i a legilor este obligatorie. n condiiile n care art.20 alin.(1) din Constituie prevede c dispoziiile constituionale privind drepturile i libertile cetenilor vor fi interpretate i aplicate n concordan cu Declaraia Universal a Drepturilor Omului, cu pactele i cu celelalte tratate la care Romnia este parte, iar art.21 din Constituie consacr liberul acces la justiie, a crei exercitare, potrivit alin.(2), nicio lege nu o poate ngrdi, Parlamentul are ndatorirea de a legifera norme corespunztoare pentru asigurarea real a respectrii acestui drept, n lipsa cruia nu se poate concepe existena statului de drept, prevzut prin art.1 alin.(3) din Constituie. Fr ndeplinirea acestei ndatoriri, normele constituionale menionate ar avea un caracter pur declarativ, situaie inadmisibil pentru un stat care mprtete valorile democratice ce fac parte din ordinea public european, aa cum este prefigurat de Convenia European a Drepturilor Omului i de Carta drepturilor fundamentale a Uniunii Europene (n acest sens, este i Decizia Curii Constituionale nr.233 din 15 februarie 2011, publicat n Monitorul Oficial al Romniei, Partea I, nr.340 din 17 mai 2011).

    81. Avnd n vedere aceste considerente de principiu, Curtea constat c lipsa oricrei prevederi n coninutul legii prin care s se asigure posibilitatea persoanei ale crei drepturi, liberti sau interese legitime au fost afectate prin acte sau fapte care au ca temei dispoziiile Legii privind securitatea cibernetic a Romniei de a se adresa unei instane judectoreti independente i impariale contravine prevederilor art.1 alin.(3) i (5), art.21, precum i art.6 din Convenia pentru aprarea drepturilor omului i a libertilor fundamentale.

    82. Potrivit dispoziiilor art.27 alin.(1), monitorizarea i controlul aplicrii prevederilor legii criticate se asigur, potrivit competenelor stabilite prin lege, de ctre Camera Deputailor i Senat, Administraia Prezidenial, Guvern, CSAT, precum i instituiile i autoritile publice prevzute la art.10 alin.(1) i (2), pentru infrastructurile cibernetice proprii sau aflate n responsabilitate, Serviciul Romn de Informaii pentru infrastructurile cibernetice proprii sau aflate n responsabilitate, precum i pentru deintorii de ICIN persoane juridice de drept public, Ministerul pentru Societatea Informaional, respectiv ANCOM, dup caz, pentru deintorii de ICIN, persoane juridice de drept privat.

    83. Opiunea legiuitorului de a atribui competene de monitorizare i control al aplicrii prevederilor legale Camerei Deputailor, Senatului, Administraiei Prezideniale, Secretariatul General al Guvernului i CSAT-ului, n condiiile n care art.10 alin.(1) i (2) stabilete autoritile competente n domeniul securitii cibernetice privind infrastructurile cibernetice proprii sau aflate n responsabilitate, fr a include n aceast categorie autoritile enumerate mai sus, acestea regsindu-

  • se n ntregul act normativ n categoria persoane juridice drept public, n sarcina crora incumb respectarea obligaiilor prevzute de lege, denot inconsecven i genereaz confuzie cu privire la regimul juridic aplicabil acestor instituii. Din interpretarea coroborat a dispoziiilor art.20 alin.(1) cu cele ale art.21 alin.(1) lit.a) rezult c, pe de o parte, Parlamentul, Administraia Prezidenial, Secretariatul General al Guvernului i CSAT au obligaia, de exemplu, de a permite efectuarea unor auditri de securitate cibernetic efectuate de SRI sau de a notifica CNSC cu privire la riscurile i incidentele cibernetice, pe de alt parte, ele vor monitoriza i controla respectarea acestor obligaii, iar, n cazul nendeplinirii dispoziiilor legale, potrivit art.28 coroborat cu art.30 lit.c) din lege, autoritile i vor aplica lor nsele sanciuni, ca urmare a constatrii contraveniilor. Curtea constat, aadar, c legiuitorul eludeaz principiile de drept potrivit crora controlul trebuie efectuat de o entitate independent, exterioar autoritii controlate, iar prin normele edictate face iluzorie respectarea obligaiilor referitoare la securitatea cibernetic. Mai mult, dispoziiile n temeiul crora Parlamentul, Administraia Prezidenial, Secretariatul General al Guvernului i CSAT devin ageni constatatori ai svririi de contravenii i dispun aplicarea de sanciuni contravenionale vdesc ignorarea principiilor de drept care guverneaz un stat democratic, respectiv a principiului separaiei puterilor n stat, prevzut de art.1 alin.(4) din Constituie i a principiului legalitii, consacrat de art.1 alin.(5). Astfel, n virtutea legii criticate, autoritatea legiuitoare, Administraia Prezidenial, Guvernul sau CSAT, autoriti de rang constituional ale cror atribuii sunt expres prevzute n Legea fundamental, se subrog n atribuii care, potrivit Ordonanei Guvernului nr.2/2001 privind regimul juridic al contraveniilor (la care legea criticat face, de altfel, trimitere), revin n competena autoritilor administraiei publice centrale sau locale.

    84. Pe de alt parte, Curtea observ c legea supus controlului nu stabilete competene de control i monitorizare fa de toi deintorii de infrastructuri cibernetice, dispoziiile art.27 alin.(1) stabilind aceste competene doar n ceea ce privete persoanele juridice de drept public sau privat, deintoare de ICIN. Or, n condiiile n care legea prevede, la art.15, 16 i 17, obligaii i responsabiliti pentru toate persoanele juridice de drept public sau privat deintoare de infrastructuri cibernetice, iar art.28 lit.a), b), c) calific drept contravenii nerespectarea respectivelor obligaii, omisiunea legislativ cu privire la autoritatea competent s efectueze controlul deintorilor de infrastructuri care nu sunt calificate ICIN viciaz constituionalitatea textului legal cuprins n art.27 alin.(1), din perspectiva art.1 alin.(5) din Constituie. Normele edictate n materie contravenional, att n ceea ce privete fapta incriminat, ct i procedura de constatare i sancionare a acesteia trebuie s fie clare, precise, previzibile, astfel nct destinatarul lor s i poat conforma conduita prescripiei legale.

    85. De asemenea, Curtea reine c dispoziiile art.30 din lege conin prevederi referitoare la constatarea contraveniilor i aplicarea sanciunilor. Curtea face o prim observaie cu privire la confuzia generat de textul legal ca urmare a necorelrii cu prevederile art.28 care consacr contraveniile svrite prin nerespectarea dispoziiilor legale. Astfel, Curtea identific: omisiunea identificrii autoritii competente s constate i s aplice sanciunea pentru contraveniile prevzute de art.28 lit.i) i j) svrite de persoane juridice de drept privat; omisiunea identificrii autoritii competente s constate i s aplice sanciunea pentru contraveniile prevzute de art.28 lit.a), i) i j) svrite de persoane juridice de drept public; sancionarea contravenional reglementat de art.30 lit.c) pentru nerespectarea unor obligaii de ctre autoritile i instituiile publice prevzute la art.27 alin.(1) lit.a) din lege, cu privire la infrastructurile cibernetice proprii, obligaii de la care acestea erau exceptate, potrivit art.20 alin.(1) teza a doua [contravenii prevzute de art.28 lit.e)h) din lege].

    86. n jurisprudena sa, Curtea Constituional a reinut n repetate rnduri c orice act normativ trebuie s ndeplineasc anumite condiii calitative, printre acestea numrndu-se previzibilitatea, ceea ce presupune c acesta trebuie s fie suficient de precis i clar pentru a putea fi aplicat (a se vedea, spre exemplu, Decizia nr.189 din 2 martie 2006, publicat n Monitorul Oficial al Romniei, Partea I, nr.307 din 5 aprilie 2006, Decizia nr.903 din 6 iulie 2010, publicat n Monitorul Oficial al Romniei, Partea I, nr.584 din 17 august 2010, sau Decizia nr.26 din 18 ianuarie 2012, publicat n Monitorul Oficial al Romniei, Partea I, nr.116 din 15 februarie 2012). n acelai sens, Curtea European a Drepturilor Omului a statuat c legea trebuie, ntr-adevr, s fie accesibil justiiabilului i previzibil n ceea ce privete efectele sale. Pentru ca legea s satisfac cerina de previzibilitate, ea trebuie s precizeze cu suficient claritate ntinderea i modalitile de exercitare a puterii de apreciere a autoritilor n domeniul respectiv, innd cont de scopul legitim urmrit, pentru a oferi persoanei o protecie adecvat mpotriva arbitrariului. n plus, nu poate fi considerat lege dect o norm enunat cu suficient precizie, pentru a permite ceteanului s i adapteze conduita n funcie de aceasta; apelnd la nevoie la consiliere de specialitate n materie, el trebuie s fie capabil s prevad, ntr-o msur rezonabil, fa de circumstanele speei, consecinele care ar putea rezulta dintr-o anumit fapt (a se vedea Hotrrea din 4mai 2000, pronunat n Cauza Rotaru mpotriva Romniei, paragraful 52, i Hotrrea din 25 ianuarie 2007, pronunat n Cauza Sissanis mpotriva Romniei, paragraful 66).

  • 87. Aa fiind, Curtea apreciaz c imprecizia textelor de lege supuse controlului de constituionalitate, constnd n lipsa stabilirii cu suficient claritate a procedurilor de monitorizare i control, respectiv a celor privind constatarea i sancionarea contraveniilor, afecteaz, pe cale de consecin, i garaniile constituionale i convenionale care caracterizeaz dreptul la un proces echitabil, inclusiv componenta sa privind dreptul la aprare. De altfel, Curtea European a Drepturilor Omului a reinut, n esen, c nerespectarea garaniilor fundamentale, care protejeaz presupuii autori ai unor fapte ilicite, n faa posibilelor abuzuri ale autoritilor desemnate s i urmreasc i s i sancioneze, reprezint un aspect ce trebuie examinat n temeiul art.6 din Convenia pentru aprarea drepturilor omului i a libertilor fundamentale (a se vedea, spre exemplu, Hotrrea din 4 octombrie 2007, pronunat n Cauza Anghel mpotriva Romniei, paragraful 68).

    88. Pentru ca dreptul la un proces echitabil s nu rmn teoretic i iluzoriu, normele juridice trebuie s fie clare, precise i explicite, astfel nct s l poat avertiza n mod neechivoc pe destinatarul acestora asupra gravitii consecinelor nerespectrii enunurilor legale pe care le cuprind. n lumina celor enunate mai sus, Curtea reine c, n mod evident, prevederile art.27 alin.(1) i 30 din lege, caracterizate printr-o tehnic legislativ deficitar, nu ntrunesc exigenele de claritate, precizie i previzibilitate i sunt astfel incompatibile cu principiul fundamental privind respectarea Constituiei, a supremaiei sale i a legilor, prevzut de art.1 alin.(5) din Constituie i cu dreptul la un proces echitabil, prevzut de art.21 alin.(3) din Constituie, precum i de art.6 din Convenia pentru aprarea drepturilor omului i a libertilor fundamentale.

    89. Potrivit dispoziiilor art.27 alin.(2) din lege, n cadrul activitii de monitorizare i control, persoanele desemnate de conductorii autoritilor prevzute la art.27 alin.(1) au dreptul s solicite declaraii sau orice documente necesare pentru efectuarea controlului, s fac inspecii, inclusiv inopinate, la orice instalaie, incint sau infrastructur, destinate ICIN, i s primeasc, la cerere sau la faa locului, informaii sau justificri. Norma cuprins n art.27 alin.(2) lit.b) care permite autoritilor publice prevzute de art.10 alin.(1) i (2) din lege s fac inspecii la orice instalaie, incint sau infrastructur destinat ICIN, aflat n responsabilitatea lor, presupune accesul la o anumit locaie, cu privire la anumite obiecte, sisteme informatice de stocare, prelucrare i transmitere a datelor, inclusiv a celor cu caracter personal, acces care pune n discuie protecia drepturilor constituionale la via intim, familial i privat i la secretul corespondenei. Or, n msura n care noiunile cu care legea opereaz (instalaii, incinte i infrastructuri) nu sunt n mod predictibil determinate, iar sfera datelor asupra crora se realizeaz controlul este incert, Curtea apreciaz c legea criticat nu reglementeaz garanii care s permit o protecie eficient mpotriva riscurilor de abuz, precum i fa de orice accesare i utilizare ilicit a datelor cu caracter personal. n vreme ce noiunea de infrastructur cibernetic e definit prin lege, noiunea de instalaie folosit n textul de la art.27 alin.(2) lit.b) poate reprezenta tot un sistem informatic ori o reea sau serviciu de comunicaii electronice, avnd n vedere domeniul de reglementare al legii i definiiile cuprinse n aceasta, astfel c accesul la aceste sisteme informatice nu poate fi permis dect cu autorizarea judectorului. De asemenea, noiunea de incint poate semnifica i locul unde se gsesc aceste sisteme informatice, caz n care Curtea reine c sunt aplicabile dispoziiile privind percheziia domiciliar prevzut de art.157167 din Codul de procedur penal, n sensul c aceast msur nu poate fi dispus dect de un judector.

    90. Fa de cele prezentate, trimiterea la respectarea prevederilor legale n vigoare este una confuz, ntruct nu sunt identificate ca fiind prevederi aplicabile nici dispoziiile Codului de procedur penal, indicate mai sus, i nici prevederile altor acte normative.

    91. Prin urmare, considerentele deciziilor Curii Constituionale nr.440/2014 i nr.461/2014 sunt valabile mutatis mutandis, astfel c argumentele expuse n prealabil cu privire la neconstituionalitatea dispoziiilor art.17 alin.(1) lit.a) din Legea privind securitatea cibernetic a Romniei sunt pe deplin sustenabile i n ceea ce privete dispoziiile art.27 alin.(2) din lege. Aa fiind, Curtea conchide c acestea ncalc prevederile art.1 alin.(5), art.26, art.28 i art.53 din Constituie.

    92. Dincolo de aspectele punctuale a cror neconstituionalitate a fost motivat supra, Curtea constat c ntregul act normativ sufer de deficiene sub aspectul respectrii normelor de tehnic legislativ, a coerenei, a claritii, a previzibilitii, de natur a determina nclcarea principiului legalitii, consacrat de art.1 alin.(5) din Constituie. Astfel, legea face trimiteri n mai multe cazuri la reglementarea unor aspecte eseniale n economia domeniului reglementat la acte legislative secundare, precum hotrri de Guvern, norme metodologice, ordine sau decizii ori proceduri stabilite de comun acord. A se vedea n acest sens dispoziiile art.15 alin.(2), art.17 alin.(1) lit.b), art.19 alin.(1) i (3), art.20 alin.(2), art.23 alin.(2), (5) i (6) i art.30 lit.d) din lege.

    93. De asemenea, cu excepia cazurilor n care trimiterea vizeaz chiar legea securitii cibernetice, situaie n care s-a folosit sintagma prezenta lege, legea folosete n repetate rnduri sintagmele potrivit legii, conform competenelor prevzute de lege sau n condiiile legii, fr a preciza concret la dispoziiile cror legi se face trimiterea. Aceast situaie se regsete n cuprinsul

  • art.7 alin.(1) lit.d), art.10 alin.(2) i (5), art.11 alin.(1) lit.j), art.15 alin.(8), art.19 alin.(6), art.20 alin.(1) lit.h), art.21 alin.(1), art.21 alin.(2) lit.d), art.27 alin.(1), art.27 alin.(2) lit.b) din lege. Cu privire la aceste aspecte, Curtea menioneaz c, potrivit art.39 alin.(1) Referirea la alt act normativ, din Legea nr.24/2000 privind normele de tehnic legislativ pentru elaborarea actelor normative, referirea ntr-un act normativ la alt act normativ se face prin precizarea categoriei juridice a acestuia, a numrului su, a titlului i a datei publicrii acelui act sau numai a categoriei juridice i a


Bibliografie_Selectiva

Bibliografie_Selectiva

apdrp1

apdrp1

Bnr - Robid - Robor - Serii Zilnice

Bnr - Robid - Robor - Serii Zilnice

Tipuri Generice in C#

Tipuri Generice in C#

Reguli de Comp Let Are a Focg

Reguli de Comp Let Are a Focg

ex_anul2_zi_sem1_2011_2012a

ex_anul2_zi_sem1_2011_2012a

0identitati_trigonometrice

0identitati_trigonometrice

2005-Lista Studenti Admisi Ase

2005-Lista Studenti Admisi Ase

Limba Engleza

Limba Engleza

New Microsoft Word Document (2)

New Microsoft Word Document (2)

Foaie colectiva de prezenta

Foaie colectiva de prezenta

Bibliografie

Bibliografie

Ajutor Pt Bibliografie Resurse Bibliografice Pentru Licenta

Ajutor Pt Bibliografie Resurse Bibliografice Pentru Licenta

stivuitorist

stivuitorist

Polinoame-Bogdan Enescu

Polinoame-Bogdan Enescu

Dinicu - Hora Martisorului

Dinicu - Hora Martisorului

Tematica IBU, II.2

Tematica IBU, II.2

Constructii Utile

Constructii Utile

posturi vacante 2012 bucuresti

posturi vacante 2012 bucuresti

Mihail Kogălniceanu

Mihail Kogălniceanu