Legea privind securitatea cibernetică a României. Neconstituţionalitate. Succinte consideraţii
Curtea Constituţională a decis în data de 21.01.2015 faptul că Legea privind securitatea cibernetică a României este neconstituţională în ansamblul ei (a se vedea aici comunicatul de presă). În data de 27.01.2015 a fost publicată şi motivarea Curţii – disponibilă aici. Nu putem decât să salutăm intervenţia Curţii Constituţionale în acest domeniu – aceasta cu atât mai mult cu cât acest examen de constituţionalitate a avut loc într-un context defavorabil standardului de protecţie conferit drepturilor omului.
Susţinem acest punct de vedere din simplul motiv că, o scurtă incursiune în istorie ne arată faptul că evenimentele catalogate drept acţiuni teroriste au fost urmate la scurt timp de reforme în plan legislativ ce au avut drept efect restrângerea drepturilor cetăţenilor şi crearea unui safe haven pentru intruziunile nejustificate ori disproporţionate din partea statului în viaţa privată a acestora. Exemplul cel mai edificator în acest sens se regăseşte în reforma legislativă din SUA, realizată imediat după evenimentele de 11 septembrie, constând în adoptarea cu o majoritate covârşitoare în Congres a Patriot Act. În literatura de specialitate (M. Welch, Trampling Human Rights in the War of Terror: Implications to the Sociology of Denial, în “Critical Criminology”, vol. 12, 2003, p. 1 şi urm.) se apreciază că aceste reforme legislative ce pun în discuţie standardul de protecţie conferit drepturilor fundamentale au la bază conceptul intitulat “moral panic”.
Fără a susţine faptul că astfel de reforme sunt de plano nejustificate, disproporţionate ori inoportune, apreciem faptul că nu pot fi realizate în spatele uşilor închise şi fără a avea la bază o analiză extrem de serioasă în ceea ce priveşte respectarea dreptului european, îndeosebi prin trimitere la drepturile omului.
Ne propunem aşadar să realizăm o analiză punctuală pentru clarificarea unor aspecte ce au făcut obiectul dezbaterilor din ultima perioadă, analizând inclusiv hotărârea Curţii Constituţionale. Discuţia este de o complexitate deosebită, motiv pentru care nu ne propunem o analiză in extenso, un efort doctrinar în acest sens fiind însă util având în vedere faptul că e foarte probabilă configurarea unui nou proiect de lege care să aibă ca şi obiect securitatea cibernetică.
În context, se observă faptul că în expunerea de motive privitoare la proiectul de Lege privind securitatea cibernetică se precizează faptul că nu există hotărâri ale Curţii Europene de Justiţie contrare proiectului de lege. O asemenea precizare este criticabilă, având în vedere relaţia problematică cu aspectele vizate atât în cauzele reunite C-293/12 şi C-594/12, cât şi în cauza Scarlet Extended SA c. Société belge des auteurs, compositeurs et éditeurs SCRL (C-70/10).
Suntem de părere că o asemenea lege trebuie să aibă drept premisă o analiză de conformitate a prevederilor legale în primul rând cu jurisprudenţa Curţii Europene de Justiţie, cât şi cu jurisprudenţa Curţii Europene a Drepturilor Omului. A ignora în totalitate anumite decizii de speţă date de instanţele supranaţionale, care conform prevederilor Constituţionale (art. 20 din Constituţie) ar trebui să îşi găsească o aplicabilitate directă în dreptul intern, nu reprezintă decât o încălcare flagrantă a obligaţiilor asumate de statul român la nivel european în ceea ce priveşte respectarea drepturilor omului.
Cu titlu de exemplu, s-a încercat a se sugera faptul că toate criticile formulate la adresa legii supuse analizei sunt nejustificate datorită faptului că în niciun moment nu se obţine un acces la conţinutul datelor informatice (cum ar fi conţinutul unui Email) ci doar se oferă posibilitatea de a se analiza traficul de date (cum ar fi sursa şi destinaţia unui pachet de date, durata unei comunicări şi data la care aceasta a fost făcută, tipul comunicării respective etc.). A se susţine însă cu tărie că monitorizarea traficului de date nu are nicio semnificaţie în ceea ce priveşte dreptul la viaţă privată este problematic inclusiv raportat la jurisprudenţa Curţii Europene a Drepturilor Omului. În cauza Peck c. Marea Britanie – de exemplu – Curtea a statuat (parag. 57 din hot.) faptul că dreptul la viaţă privată nu poate fi definit în mod exhaustiv, fiind un concept mult prea larg. În ceea ce ne priveşte, deşi Carta drepturilor fundamentale a Uniunii Europene acoperă pe lângă dreptul la viaţă privată şi de familie (art. 7) inclusiv dreptul la protecţia datelor cu caracter personal (art. 8), aceasta nu înseamnă că art. 8 parag. 1 din Convenţia Europeană a Drepturilor Omului are o sferă mai restrânsă de aplicabilitate. Discuţia care s-ar putea purta ar fi accea că, în conformitate cu art. 52(3) din Cartă standardul minimal de protecţie este cel conferit de Convenţie, fără a exista însă vreun impediment la nivelul dreptului uniunii de a se oferi o protecţie mai extinsă anumitor drepturi. Astfel, din moment ce în Cartă dreptul la protecţia datelor cu caracter personal beneficiază de o reglementare distinctă faţă de dreptul la viaţă privată, s-ar putea ajunge la concluzia conform căreia prevederile Cartei au o sferă mai largă de aplicabilitate. În ceea ce ne priveşte, o asemenea tehnică de reglementare are mai degrabă o valoare simbolică, Carta fiind tranşantă în sensul că dreptul la protecţia datelor cu caracter personal este un drept fundamental. Singura discuţie potenţial problematică ar fi în legătură cu protecţia datelor cu caracter personal aparţinând unei persoane juridice. Pentru o analiză doctrinară cu privire la acest aspect se poate vedea J. Kokott, C. Sobotta, The distinction between privacy and data protection in the jurisprudence of the CJEU and the EctHR, în “International Data Privacy Law”, vol. 3, nr. 4/2013, p. 222 şi urm.
Inclusiv în cauza Copland c. Marea Britanie Curtea a ajuns la concluzia că monitorizarea traficului de Internet (deci a traficului de date) atrage aplicabilitatea art. 8 parag. 1 din Convenţie (a se vedea în acest sens parag. 11 şi parag. 41-44 din hot.). Se observă aşadar faptul că art. 8 din Convenţie devine aplicabil şi în ceea ce priveşte aspectele protejate de art. 7 din Cartă. Se poate vedea în acest sens inclusiv literatura de specialitate ce a analizat cauza Copland – S. Stalla-Bourdillon, Online monitoring, filtering, blocking.. What is the difference? Where to draw the line?, în “Computer Law & Security Review”, vol. 29, 2013, p. 702 şi urm.
Pe de altă parte, extrem de criticabil este şi modul în care societatea civilă a ales să combată la nivel argumentativ legea supusă analizei. Acceptăm faptul că prevederile acestei legi suferă sub aspectul previzibilităţii iar noţiunile de ordin tehnic utilizate de legiuitor afectează posibilitatea unei interpretări adecvate din partea unor profani. Această situaţie nu justifică totuşi derapajele existente în legătură cu unele interpretări ce nu sunt deloc ancorate în realitatea juridică ori cea obiectivă. Simplele presupuneri şi interpretări neconforme cu realitate sunt de asemenea periculoase, deoarece sunt susceptibile de a pune sub semnul întrebării inclusiv aspectele pozitive ce şi-ar putea găsi oportunitatea în contextul îngrijorător în care criminalitatea informatică – îndeosebi cea transfrontalieră – devine principalul pericol la adresa cetăţenilor şi a infrastructurilor cibernetice de care aceştia depind în mod curent.
Sub acest aspect, apreciem faptul că legea supusă examenului de constituţionalitate nu este neconstituţională în ansamblul ei raportat la conţinutul acesteia. Curtea a constatat totuşi o asemenea neconstituţionalitate, aspect ce ridică o reală problemă în ceea ce priveşte un nou proiect de lege pe aceeaşi temă.
I. Scopul şi mijloacele
La nivel de principiu, nu ne opunem scopului învederat de către legiuitor în cuprinsul legii supuse analizei. Astfel, necesitatea unei protecţii sporite conferite infrastructurilor cibernetice (definite la art. 5 lit. g şi h din lege) nu reprezintă în sine un aspect problematic. Aceasta cu atât mai mult cu cât, se observă o anumită pasivitate din partea furnizorilor serviciilor de comunicaţii electronice raportat la rolul acestora în ceea ce priveşte securizarea reţelelor puse la dispoziţia beneficiarilor. Faptul că atacurile de tip denial-of-service (DOS attack) sau distributed-denial-of-service au ajuns să fie o ameninţare reală la nivel global se datorează inclusiv acestei pasivităţi. Această pasivitate nu trebuie însă înlocuită cu un rol proactiv susceptibil să ducă la lezarea drepturilor fundamentale.
De asemenea, lipsa de informare a clienţilor (obligaţie regăsită în art. 18 din lege) în cazul unor atacuri cibernetice este uzuală, din moment ce deţinătorii de infrastructuri cibernetice nu au niciun interes în a recunoaşte vulnerabilităţile la nivelul modului de implementare a mijloacelor de protecţie ori chiar lipsa acestora. Or, o asemenea lipsă de informare îl pune inclusiv pe utilizatorul infrastructurii respective în imposibilitatea de a lua măsuri suplimentare în ceea ce priveşte preîntâmpinarea ori diminuarea prejudiciului suferit ori care urmează să se producă.
De exemplu, în măsura în care utilizatorul infrastructurii respective ar afla că datele informatice transmise prin reţea sub interceptate în mod sistematic de către o terţă persoană, ar putea lua măsuri de criptare în vederea securizării conţinutului acestora. Lipsa unei asemenea informări poate oferi însă o falsă aparenţă de securitate. Acceptăm în context faptul că un furnizor de servicii de comunicaţii (de exemplu, un Internet Service Provider) deţine o infrastructură cibernetică ce poate fi caracterizată drept o sursă de pericol pentru beneficiarii acesteia. În consecinţă, nu respingem necesitatea existenţei unui raport obligaţional în care aceşti furnizori să dobândească o poziţie de garant în baza căreia să fie constrânşi în a lua unele măsuri în vederea ţinerii sub control a riscului învederat.
Tocmai de aceea, suntem de părere că nu toate obligaţiile stabilite în sarcina deţinătorilor de infrastructuri cibernetice ridică probleme ori sunt criticabile. În legătură cu diminuarea vulnerabilităţilor infrastructurilor cibernetice, în scopul gestionării riscurilor la adresa securităţii acestora (a se vedea atât art. 3 alin. 1 lit. a cât şi art. 4 din lege), nu suntem în măsură să formulăm critici. De asemenea, mijloacele folosite în vederea atingerii acestui scop, constând în sancţionarea contravenţională (art. 29) a persoanelor juridice, nu este o măsură disproporţionată ori neconformă cu dreptul european atâta timp cât acestea nu sunt nevoite să aducă atingere drepturilor fundamentale în vederea ducerii la îndeplinire a obligaţiilor stipulate în conţinutul legii.
Totuşi, dacă realizarea rezilienţei infrastructurilor cibernetice (art. 4 lit. a) ori a unui audit de securitate cibernetică (art. 5 pct. 4) poate fi realizat, în principiu, fără a pune în discuţie şi o eventuală intruziune în viaţa privată a beneficiarilor infrastructurii cibernetice supuse discuţiei, apărarea cibernetică (art. 5 pct. 2) ce poate duce la creşterea capacităţii de reacţie la incidentele cibernetice (art. 4 lit. b) implică un astfel de risc.
Aceasta întrucât, este extrem de discutabil în ce măsură astfel de măsuri pot fi luate fără a exista o ingerinţă în viaţa privată a persoanelor ce beneficiază de infrastructurile cibernetice aflate sub controlul persoanelor juridice la care face trimitere art. 2 din lege. O asemenea discuţie s-a purtat inclusiv în cauza Scarlet Extended SA c. Société belge des auteurs, compositeurs et éditeurs SCRL (C-70/10). În legătură cu această cauză am discutat şi cu o altă ocazie (a se vedea aici).
Astfel, în cauza Scarlet Curtea Europeană de justiţie a trebuit să răspundă la următoarea întrebare:
Dacă obligaţia de a institui un sistem de filtrare
– a tuturor comunicaţiilor electronice care circulă prin intermediul serviciilor sale, în special prin utilizarea programelor informatice „peer to peer”,
– care se aplică, fără deosebire, întregii clientele,
– cu titlu preventiv,
– pe cheltuiala sa exclusivă şi
– pentru o perioadă nelimitată, apt să identifice în cadrul reţelei acestui furnizor circulaţia de fişiere electronice care conţin o operă muzicală, cinematografică sau audiovizuală cu privire la care solicitantul pretinde că deţine drepturi de proprietate intelectuală, în vederea blocării transferului de fişiere al căror schimb încalcă dreptul de autor este sau nu în conformitate cu dreptul european (a se vedea parag. 29 din hot. Curţii)?
Curtea a statuat (parag. 38 din hot.) faptul că instituirea acestui sistem de filtrare ar presupune:
– ca furnizorul de servicii să identifice, în primul rând, în cadrul tuturor comunicaţiilor electronice ale tuturor clienţilor săi, fişierele care fac obiectul traficului „peer to peer”,
– să identifice, în al doilea rând, în cadrul acestui trafic, fişierele care conţin opere cu privire la care titularii unor drepturi de proprietate intelectuală pretind că deţin drepturi,
– să determine, în al treilea rând, care dintre aceste fişiere au făcut obiectul unui schimb ilicit şi
– să blocheze, în al patrulea rând, schimbul de fişiere pe care le a calificat drept ilicite.
Or, în opinia Curţii Europene de Justiţie (parag. 39 din hot.), o asemenea supraveghere preventivă ar impune o observare activă a totalităţii comunicaţiilor electronice realizate în reţea şi, prin urmare, ar cuprinde orice informaţie care trebuie transmisă şi orice client care utilizează reţeaua. În consecinţă, s-a apreciat faptul că:
1. o obligaţie de această natură ar determina o atingere gravă a libertăţii de a desfăşura o activitate comercială a respectivului furnizor de servicii, deoarece l-ar obliga să instituie un sistem informatic complex, costisitor, permanent şi pe cheltuiala sa exclusivă (parag. 48 din hot.), iar în al doilea rând
2. sistemul de filtrare este susceptibil în egală măsură să aducă atingere drepturilor fundamentale ale clienţilor, mai precis dreptului lor la protecţia datelor cu caracter personal, precum şi libertăţii lor de a primi şi de a transmite informaţii, aceste drepturi fiind protejate prin articolele 8 şi 11 din Cartă (parag. 50 din hot.). Aceasta întrucât ar implica o analiză sistematică a tuturor conţinuturilor, precum şi colectarea şi identificarea adreselor IP ale utilizatorilor care se află la originea transmiterii de conţinuturi ilicite în cadrul reţelei, aceste adrese reprezentând date protejate cu caracter personal, din moment ce permit identificarea precisă a utilizatorilor respectivi (parag. 51 din hot.).
3. Nu în ultimul rând, un asemenea mecanism ar risca să aducă atingere libertăţii de informare, din moment ce ar fi posibil ca acest sistem să nu facă în mod suficient distincţia între un conţinut ilicit şi un conţinut licit, astfel că utilizarea lui ar putea avea drept consecinţă blocarea comunicaţiilor cu conţinut licit (art. 52 din hot).
Din toate aceste considerente s-a apreciat că o asemenea obligaţie instituită în sarcina unui furnizor de servicii de Internet (ISP) s-ar afla în contradicţie cu dreptul european.
Hotărârea Curţii Europene de Justiţie pune în discuţie două aspecte. În primul rând, este analizată proporţionalitatea din perspectiva libertăţii de a desfăşura o activitate comercială, iar în al doilea rând respectarea unor drepturi fundamentale.
În ceea ce priveşte principiul proporţionalităţii, s-ar putea aprecia că legea supusă analizei, din moment ce nu vizează aspecte ce ţin de încălcarea drepturilor de autor nu ridică o problemă sub acest aspect. Am putea fi de acord cu acest punct de vedere doar în măsura în care incidentele cibernetice avute în vedere de lege ar viza atacuri cibernetice grave, ce nu ar avea consecinţe doar de ordin patrimonial. Cu toate acestea, observăm faptul că legea nu vizează doar infrastructurile cibernetice de interes naţional (definite de art. 5 lit. h) a căror afectare poate aduce atingere inclusiv securităţii naţionale.
De asemenea, se observă faptul că legea face trimitere atât la ameninţarea cibernetică (art. 5 lit. a), atacul cibernetic (art. 5 lit. b) cât şi la incidentul cibernetic (art. 5 lit. e), fără a se clarifica în mod clar conţinutul acestora. În legătură cu acestea se statuează doar faptul că ceea ce se vizează de fapt este securitatea cibernetică (definită de art. 5 lit. n). Modul în care a fost definită însă securitatea cibernetică plasează însă o sumedenie de infracţiuni informatice sub incidenţa legii, fără a se mai realiza vreun examen la nivelul respectării principiului proporţionalităţii. De exemplu, securitatea cibernetică vizează inclusiv ideea de confidenţialitate (a se vedea art. 5 lit. n). Or, confidenţialitatea în sfera digitală poate fi pusă în discuţie, de exemplu, atunci când discutăm despre infracţiunea de acces neautorizat la un sistem informatic (art. 360 Cod penal) ori interceptarea unor date informatice (art. 361 Cod penal). Sunt aceste infracţiuni atât de grave in abstracto încât să justifice o ingerinţă de acest fel în viaţa privată a tuturor utilizatorilor infrastructurilor cibernetice? În ceea ce ne priveşte, răspunsul este unul negativ.
Datorită acestui considerent, apreciem că legea este criticabilă inclusiv prin raportare la necesitatea respectării principiului proporţionalităţii(pentru o analiză a principiului proporţionalităţii regăsit în jurisprudenţa Curţii Europene de Justiţie în materia datelor cu caracter personal se poate vedea C.B. Tranberg, Proportionality and the Data Protection in the Case of the European Court of Justice, în “International Data Privacy Law”, vol. 1, nr. 4, 2011, p. 239 şi urm.).
Este adevărat că o interpretare a cauzei Scarlet ar putea fi aceea că ceea ce s-a dovedit problematic a fost monitorizarea conţinutului datelor informatice, deoarece doar aşa se putea constata încălcarea dreptului de autor. Suntem însă de părere că o monitorizare sistematică a traficului de date poate duce la suprapunere a acestor două concepte. De asemenea, adresele web (web links) sunt dificil de încadrat în vreuna din aceste categorii deoarece acestea pot conţinte inclusiv cuvinte de căutare (keywords search) ce aparţin mai degrabă categoriei “content data“. Mai mult decât atât, dincolo de această distincţie, necesită observat faptul că ceea ce a fost esenţial în cauza Scarlet a fost problematica monitorizării continue a tuturor beneficiarilor serviciului de Internet. Acest aspect ar trebui să dea de gândit în primul rând legiuitorului. Faptul că nu discutăm despre o monitorizare a conţinutului prezintă relevanţă într-o analiză a proporţionalităţii. Cu toate acestea, caracterul continuu al monitorizării şi numărul nedeterminat de persoane afectate reprezintă un element cel puţin la fel de important precum obiectul acestei monitorizări.
Nu trebuie omis nici faptul că, actualmente, protecţia conferită vieţii private beneficiază de o protecţie sporită prin introducerea unor infracţiuni specifice precum cele prevăzute de art. 208 ori 226 Cod penal. Este oarecum paradoxal faptul că starea de temere cauzată de o supraveghere repetată poate atrage tipicitatea infracţiunii de hărţuire, dar monitorizarea perpetuă a traficului de date nu a fost apreciată de către legiuitor ca fiind problematică.
Este evident faptul că existenţa unui act normativ în acest domeniu atrage atenţia tuturor persoanelor aflate sub jurisdicţia statului faptul că traficul de date urmează a fi monitorizat în mod continuu, fără a se realiza vreo distincţie între persoanele suspectate de comiterea vreunei fapte prevăzute de legea penală şi cele ce au un comportament licit. În consecinţă, nu putem decât să ne întrebăm retoric care ar putea fi poziţia subiectivă a tuturor acelor persoane care cunosc faptul că traficul acestora de date este monitorizat fără a prezenta vreo importanţă dacă există ori nu vreo suspiciune de natură penală?
II. Accesibilitatea ori previzibilitatea
Nu dorim să insistăm foarte mult în legătură cu aceste aspecte. Subliniem însă faptul că în jurisprudenţa CEDO (a se vedea în acest sens cauza Segerstedt Wiberg c. Suedia) s-a statuat faptul că atunci când discutăm despre o ingerinţă în viaţa privată, aceasta trebuie să fie prevăzută de lege. Totuşi, simpla existenţă a unui temei legal ori a unui cadru procedural nu respectă această exigenţă atâta vreme cât din punct de vedere calitativ, cadrul legal supus discuţiei nu respectă condiţiile de accesibilitate şi previzibilitate (a se vedea în acest sens parag. 76 din hot.). Astfel, posibilitatea unei monitorizări în secret a traficului de date, fără a exista suficiente garanţii procesuale în acest sens, oferă cadrul unui posibil abuz din partea autorităţilor (a se vedea şi cauza Copland citată supra – parag. 45-46).
1. Subiecţii vizaţi de lege
Societatea civilă şi autorii excepţiei au susţinut faptul că deşi în aparenţă legea se aplică persoanelor juridice, există posibilitatea ca entităţile prevăzute la art. 10 din lege să aibă acces inclusiv la datele stocate în sistemele informatice ori mediile (mijloacele) de stocare aparţinând unor persoane fizice. O asemenea concluzie este nefondată. Din coroborarea textelor de lege rezultă faptul că doar persoanele juridice ce deţin o infrastructură cibernetică se află sub incidenţa obligaţiilor stipulate în lege.
Achiesăm totuşi opiniei potrivit căreia există o lipsă de previzibilitate în ceea ce priveşte sfera persoanelor juridice vizate de aceste obligaţii.
Astfel, art. 2 din lege prevede în mod expres faptul că dispoziţiile legii se aplică persoanelor juridice de drept public ori de drept privat care deţin, administrează, operează ori utilizează infrastructuri cibernetice. În consecinţă, chiar dacă infrastructurile cibernetice – aşa cum sunt definite la art. 5 lit. g) şi h) – pot fi deţinute, administrate, operate ori utilizate inclusiv de către persoane fizice, acest lucru nu înseamnă faptul că obligaţiile impuse entităţilor de la art. 2 se răsfrâng şi asupra persoanelor fizice.
Este evident faptul că nu putem discuta despre persoane juridice fără a discuta despre persoanele fizice din structura acestora. De asemenea, este de ordinul evidenţei faptul că obligaţiile stabilite de lege sunt duse la îndeplinire de acele persoane fizice ce reprezintă persoanele juridice prevăzute la alin. 2 din lege. Însă în niciun moment nu putem discuta, de exemplu, despre introducerea în acest raport obligaţional a clientului unui ISP (Internet Service Provider), atâta vreme cât acesta este o persoană fizică. O asemenea interpretare nu are nicio acoperire legală.
Cu toate că inclusiv Curtea Constituţională a apreciat faptul că “definirea expresiei deţinători de infrastructuri cibernetice este deosebit de importantă, deoarece includerea în această categorie implică pentru persoanele vizate obligaţia de a respecta prevederile legii, pe de o parte, şi justificarea pentru autorităţile desemnate de lege cu competenţe în domeniul securităţii cibernetice de a dispune măsuri speciale în ceea ce le priveşte” (p. 22 din hot.), nu a punctat de la bun început extrem de clar în legătură cu aspectul ce atrage neconstituţionalitatea. S-a sugerat neconcordanţa prevederilor legii cu art. 5 din Constituţie pe motivul că “legea nu delimitează în mod neechivoc sfera de incidenţă a normelor cuprinse în actul supus controlului de constituţionalitate”. Din motivare, rezultă la prima vedere că accentul a fost pus pe faptul că utilizatorii infrastructurilor cibernetice, ce deţin calitatea de persoană juridică, nu ar putea să îşi îndeplinească obligaţiile şi responsabilităţiile în ipoteza în care nu sunt proprietari, administratori sau operatori ai infrastructurilor cibernetice pe care le utilizează. În ceea ce ne priveşte, Curtea Constituţională putea să dezvolte argumentul echivocităţii raportându-se la un alt plan.
În primul rând, legea nu obligă doar utilizatorii (persoane juridice) infrastructurilor cibernetice de a avea un anumit comportament. Astfel, dacă utilizatorii acestor infrastructuri nu au posibilitatea tehnică ori dreptul de a interveni la nivelul politicilor de securitate – de exemplu – deoarece nu le administrează ori nu le deţin în proprietate, este evident că nu vor avea obligaţia de a lua acele măsuri care din punct de vedere obiectiv nu pot fi luate. Pot exista însă anumite aspecte ce pot fi avute în vedere inclusiv în ceea ce priveşte această categorie de persoane juridice – ce posedă doar calitatea de utilizator a infrastructurilor cibernetice. Ne referim aici îndeosebi la utilizarea adecvată a infrastructurii cibernetice fără a crea riscuri suplimentare celor inerente în ceea ce priveşte securitatea acesteia.
În ceea ce ne priveşte, nu acesta era însă elemental esenţial ce necesita a fi avut în vedere de către Curte. Mai important era faptul că art. 2 din lege oferă o definiţie cu un conţinut extrem de imprecis ce pune în discuţie respectarea principiului proporţionalităţii. Era necesară din punctul nostru restrângerea acestei definiţii doar la anumite persoane juridice – precum furnizorii de servicii de comunicaţii electronice ce au un asemenea obiect de activitate.
Curtea analizează totuşi acest aspect la un moment ulterior, statuând faptul că “pentru a evita impunerea unei sarcini disproporţionate asupra micilor operatori, cerinţele trebuie să fie proporţionale cu riscurile la care sunt expuse reţeaua sau sistemul informatic în cauză şi nu trebuie aplicat deţinătorilor de infrastructuri cibernetice cu importanţă nesemnificativă din punct de vedere al interesului general” (p. 30 din hot.). Acesta este o concluzie importantă, ce poate fi raportată inclusiv la cauza Scarlet.
2. Obiectul monitorizării
S-a susţinut faptul că prevederile legale sunt neclare, motiv pentru care s-ar putea ajunge la situaţia în care nu se monitorizează doar traficul de date ci şi conţinutul comunicărilor. Din nou, apreciem că o astfel de concluzie este una nefondată. Astfel, inclusiv în conţinutul art. 11 alin. 1 lit. j) din lege se face vorbire despre colectarea şi evaluarea datelor şi informaţiilor cu privire la incident. O prevedere similară se regăseşte şi în art. 12 lit. h) ce prevede faptul că entităţiile de la art. 10 alin. (1) şi (2) au drept atribuţie generală inclusiv asigurarea colectării şi evaluării datelor şi informaţiilor cu privire la incidente şi atacuri cibernetice. Rezultă aşadar că nu se au în vedere conţinutul comunicărilor ci datele informatice ce ţin de traficul de date.
Cu toate acestea, aşa cum am concluzionat deja supra, inclusiv monitorizarea continuă a traficului de date devine problematică din perspectiva respectării drepturilor omului şi a dreptului european în general. În cele din urmă, în cauzele reunite C-293/12 şi C-594/12 s-a pus în discuţie exact problematica monitorizării şi stocării datelor informatice aferent traficului de date.
3. Accesul la datele informatice stocate în sistemele informatice ori mediile de stocare aparţinând unor persoane fizice
Curtea constitutională a apreciat faptul că “datele la care se poate solicita accesul pot viza, de exemplu, jurnalele sistemelor de stocare, prelucrare şi transmitere a datelor, datele tehnice, datele de configurare ale sistemelor informatice, mesajele sau orice alte date de conţinut. Lipsa unei reglementări legale precise, care să determine cu exactitate sfera acelor date necesare identificării evenimentelor survenite în spaţiul cibernetic (ameninţări, atacuri sau incidente cibernetice), deschide posibilitatea unor abuzuri din partea autorităţilor competente”. În ceea ce ne priveşte, aşa cum am menţionat şi supra, în baza unei interpretări sistemice rezultă faptul că atât monitorizarea, cât şi accesul nu vizează conţinutul datelor informatice ci strict datele informatice ce se circumscriu traficului de date. Datorită faptul că legea nu este tranşantă cu privire la acest aspect, am putea fi însă de acord că se creează riscul unor interpretări abuzive.
Ceea ce este totuşi de apreciat e faptul că, în conformitate cu Decizia nr.440 din 8 iulie 2014 (publicată în M.Of., Partea I, nr.653 din 4 septembrie 2014) şi cu jurisprudenţa Curţii Europene de Justiţie, s-a readus în discuţie relaţia dintre traficul de date şi dreptul la viaţă privată. În acest sens, Curtea a reiterat faptul că nu doar conţinutul unei comunicări beneficiază de protecţia ce derivă din dreptul la viaţă privată, o asemenea protecţie existând şi în legătură cu traficul de date.
Curtea Constituţională a făcut o paralelă între noţiunea de acces din Legea privind securitatea cibernetică şi accesul avut în vedere de art. 138 alin. (1) lit. b) şi alin. (3) Cod proced. pen. În ceea ce ne priveşte, o asemenea parelelă este oarecum criticabilă. Suntem de acord că lipsa unei clarificări cu privire la conţinutul noţiunii utilizate în cuprinsul legii lasă loc de echivoc. Textul putea fi totuşi interpretat în sensul în care acesta nu reprezintă o derogare de la dreptul comun, nefiind vorba practic despre un acces propriu-zis la datele informatice supuse discuţiei ci despre o punere la dispoziţie a acestora – a se vedea în acest sens dispoziţiile art. 152 Cod proced. pen.
Suntem totuşi de acord cu faptul că sintagma permiterea accesului la datele deţinute despre care se face vorbire în conţinutul art. 17 alin. (1) lit. a) este neclară sub aspectul modului în care urmează a se realiza accesul. Cu toate acestea, suntem de părere că acesta nu vizează în nicio măsură datele stocate de alte entităţi decât cele prevăzute la art. 2 din lege. Ceea ce s-a dorit a fost aceea de a obliga persoanele juridice deţinătoare a unor infrastructuri cibernetice de a permite accesul la log-urile ce conţin elemente componente ale traficului de date. Acest aspect trebuia însă să reiasă cu certitudine din conţinutul legii, fără a fi nevoie de o interpretare relativ problematică în acest sens.
Având în vedere lipsa de claritate ce se răsfrânge în mod implicit asupra previzibilităţii textului, existând astfel riscul de a se ajunge la eludarea dispoziţiilor procedurale, apreciem totuşi poziţia Curţii ca fiind corectă. În cele din urmă, nu este permis ca o asemenea activitate să depindă de o interpretare a unui text caracterizat în primul rând prin echivocitate. Într-o asemenea ipoteză, este preferabilă eliminarea în totalitate a textului criticabil decât nutrirea speranţei că acesta urmează să fie interpretat într-un mod rezonabil.
Aceasta cu atât mai mult cu cât obligaţia de a permite accesul implică din partea persoanelor juridice ce deţin o infrastructură cibernetică de a stoca acest trafic de date pe propriile sisteme informatice (servere). De altfel, inclusiv art. 17 alin. (1) lit. a) vorbeşte despre datele deţinute. Prin urmare, nu discutăm doar despre o monitorizare la nivelul traficului de date ci şi despre o stocare a datelor informatice referitoare la acesta. În lipsa unei asemenea stocări, permiterea accesului devine problematică din punct de vedere tehnic. În consecinţă, dincolo de faptul că această componentă a stocării datelor la care urmează să se permită accesul nu beneficiază de un cadru legal – aspect extrem de criticabil -, în ceea ce priveşte acest subiect atât Curtea Constituţională cât şi Curtea Europeană de Justiţie (în cauzele la care am făcut trimitere supra) au apreciat că un asemenea mecanism se află în contradicţie cu drepturile fundamentale a tuturor persoanelor vizate.
Problematică este aşadar în primul rând retenţia sistematică a traficului de date provenit de la toţi utilizatorii infrastructurii cibernetice, însă nu negăm faptul că inclusiv simpla monitorizare a acestuia în vederea luării unor măsuri de prevenţie pune în discuţie respectarea drepturilor omului. Faptul că stocarea şi colectarea (sub forma retenţiei) sistematică a datelor cu caracter personal reprezintă o problemă raportat la obligaţia statului de a respecta dreptul la o viaţă privată (art. 8 din Convenţie) a fost obiectul discuţiei inclusiv în cauza Rotaru c. România. Am fi preferat ca prin hotărârea dată, Curtea Constituţională să statueze asupra acestor chestiuni la nivel de principiu pentru a stabili clar pe viitor care sunt limitele în care poate acţiona legiuitorul.
Dincolo de aceste aspecte, extrem de important este faptul că, în opinia Curţii Constituţionale, este necesar un control din partea instanţei ori a judecătorului de drepturi şi libertăţi, indiferent că discutăm despre accesarea propriu-zisă a datelor, fie că acestea sunt cerute de la deţinătorii infrastructurii cibernetice (a se vedea în acest sens p. 26-27 din hot.).
În măsura în care legiuitorul naţional va adopta un nou proiect de lege care să vizeze aspecte similare celor avute în vedere de Legea privind securitatea cibernetică a României, rămâne de văzut în ce măsură Curtea Constituţională îşi va menţine ori nu poziţia critică manifestată în legătură cu aceasta. În ceea ce ne priveşte, chiar dacă nu vom discuta despre implementarea propriu-zisă a unui instrument juridic European, va exista întotdeauna posibilitatea adresării unei întrebări preliminare Curţii Europene de Justiţie privitoare la conformitatea prevederilor naţionale cu dreptul european. În acest sens, se va putea face trimitere inclusiv la art. 16 din Tratatul de Funcţionare al Uniunii Europene, ce reglementează în mod expres dreptul la protecţia datelor cu caracter personal.
The following two tabs change content below.
Avocat, Baroul Cluj
Avocat specializat în drept penal, îndeosebi infracţiuni de criminalitate organizată precum cele informatice.
tel. 0748.149.840 / Email: contact@zlati.legal / george.zlati@protonmail.com
Cărţi publicate:
Codul de procedură penală comentat, ediţia 3, Ed. C.H. Beck, Bucureşti, 2020 (coautor, coordonator Mihail Udroiu)
Noul Cod penal. Partea specială, Ed. Universul Juridic, Bucureşti, 2014 (în colaborare cu Sergiu Bogdan şi Doris Alina Şerban)
Articole relevante (selecţie):
1. Sancţionarea accesului neautorizat la o reţea wireless şi utilizarea fără drept a serviciului de Internet. Analiză de lege lata, lege ferenda, cu trimitere la elemente de drept comparat - Caiete de drept penal, nr. 2/2011
2. Problematica violenţei exercitate într-un joc sportiv (II). Răspunderea penală a participanţilor la jocul sportiv - Caiete de drept penal, nr. 3/2011
3. Unele consideraţii cu privire la infracţiunile prevăzute de art. 5 lit. b) şi e) din Legea nr. 11/1991 privind combaterea concurenţei neloiale, Pandectele Române, nr. 9/2012
4. Unele aspecte în legătură cu infracţiunile informatice din perspectiva legislaţiei în vigoare, precum şi a noului Cod penal, Dreptul, nr. 10/2012
5. Dematerializarea obiectului material al infracţiunii în contextul evoluţiei tehnologice şi consecinţele acesteia, Dreptul, nr. 9/2013
6. Percheziţia sistemelor informatice şi a mijloacelor de stocare a datelor informatice (I), Caiete de drept penal, nr. 3/2014;
7. Percheziţia sistemelor informatice şi a mijloacelor de stocare a datelor informatice (II), Caiete de drept penal, nr. 4/2014;
8. Legitima apărare şi starea de necesitate în domeniul criminalităţii informatice (I), Dreptul, nr. 4/2015;
9. Legitima apărare şi starea de necesitate în domeniul criminalităţii informatice (II), Dreptul, nr. 5/2015.
10. Privilegiul contra autoincriminării şi criptografia, Penalmente Relevant, nr. 1/2016
11. Frauda informatică. Aspecte controversate, Caiete de Drept penal, nr. 4/2018
Latest posts by Avocat dr. George Zlati (see all)
- (Video) De la studenţie la profesiile juridice - 02/03/2022
- Portal Penalmente Relevant. Indexarea materialelor de drept penal - 01/17/2022
- (Video) Infracţiunile de evaziune fiscală - 01/04/2022
- (Video) Metode speciale de supraveghere şi cercetare - 06/29/2021
- (Video) Dezbatere în domeniul criminalităţii informatice: Zlati vs. Dobrinoiu - 05/21/2021
Cuvinte cheie: accesul la date, amenintare cibernetic, art. 8 Conventie, avocat specializat criminalitate informatica, avocat specializat infractiuni informatice, carta drepturilor fundamentale a uniunii europene, continutul datelor, Copland c. Marea Britanie, Curtea Constitutionala, Curtea europeana a drepturilor omului, Curtea Europeana de Justitie, dreptul la viata privata, incident cibernetic, infrastructura cibernetica, legea Big Brother, neconstitutionalitate, Peck c. Marea Britanie, principiul proportionalitatii, protectia datelor cu caracter personal, retentia datelor, Scarlet Extended, securitate cibernetica, Segerstedt Wiberg c. Suedia, traficul de date
