Tudose: Am dori ca CSM să aibă un cuvânt de spus înainte de promulgarea legii securităţii cibernetice

"Am găsit necesar, atât pe Ordonanţa de Urgenţă 111/2011, cât şi pe modificarea la Legea 506/2004, să formulăm anumite observaţii, în aşa fel încât să aibă acces la un judecător, în aşa fel încât să fie analizate de un judecător. Cu privire la Legea securităţii cibernetice, noi am găsit de cuviinţă să dezbatem, într-un grup de lucru, în ce măsură avem posibilitatea să intervenim în faza în care este această procedură", a spus Marius Tudose, întrebat despre propunerea făcută în şedinţa de plen a CSM de către judecătorul Horaţius Dumbravă.

Întrebat în legătură cu promulgarea Legii securităţii cibernetice fără un aviz al CSM, Marius Tudose a spus: "Noi ne-am dori promulgarea legii cu condiţia ca, înainte de promulgare, CSM să aibă un cuvânt de spus în această chestiune".

Judecătorul Horaţius Dumbravă a susţinut joi, în şedinţa plenului, că CSM trebuie să susţină necesitatea autorizării prealabile a unui judecător pentru acces la datele necesare identificării unui abonat chiar şi de către un serviciu de informaţii sau alte instituţii publice.

"Este necesar un control judecătoresc prealabil accesării datelor. Această lipsă de prevedere din textul legii lasă semne de îndoială cu privire la protejarea interesului public şi dreptul la viaţă privată, intimă şi de familie", a susţinut Dumbravă, în şedinţa CSM, în timpul discuţiilor despre legea "Big Brother".

Citeşte şi: Dumbravă despre Legea Big Brother: CSM trebuie să susţină necesitatea autorizării prealabile a unui judecător pentru accesul servicilor de informaţii la datele personale

Dumbravă a spus că nu a fost solicitat avizul CSM cu privire la implicarea autorităţii judecătoreşti în cazul Ordonanţei de Urgenţă nr. 111/2011 privind comunicaţiile electronice.

El a arătat că CSM ar trebui să ceară preşedintelui Klaus Iohannis, în funcţie de decizia pe care Curtea Constituţională o va da, să nu promulge proiectul de lege privind securitatea cibernetică şi să solicite Parlamentului să discute toate legile privind comunicaţiile electronice în regim de urgenţă, pentru a nu exista sincope de reglementare între aceste proiecte de lege.

Grupul Interministerial Strategic pentru prevenirea şi combaterea macrocriminalităţii a stabilit recent ca legea "Big Brother" şi cea privind cartelele preplătite să fie repuse pe agenda Guvernului, a Parlamentului şi a societăţii civile, directorul SRI susţinând că aceste mijloace sunt necesare întrucât există nevoia identificării tuturor factorilor de risc, în contextul noilor ameninţări teroriste.

Reglementările vizează retenţia datelor generate sau prelucrate de furnizorii de reţele publice de comunicaţii electronice, stabilirea cadrului juridic clar, bine definit, predictibil şi previzibil în domeniul utilizării cartelelor preplătite, dar şi necesitatea utilizării, în condiţii legale, a imaginilor obţinute din sistemele publice de monitorizare video, potrivit MInisterului Afacerilor Interne.

Directorul Serviciului Român de Informaţii, George Maior, a susţinut că aceste mijloace legale sunt necesare serviciilor cu atribuţii în domeniul securităţii naţionale, întrucât, în momentul de faţă, există nevoia identificării corecte a tuturor factorilor de risc.

Referindu-se la situaţia generată de ultimele evenimente din Franţa, directorul SRI a arătat că noile ameninţările teroriste sunt de natură să pune în pericol grav securitatea naţională şi ordinea publică, dar şi credibilitatea şi autoritatea instituţiilor de aplicare a legii.

Legea 82/2012, cunoscută drept legea "Big Brother", prevedea obligativitatea furnizorilor de telefonie fixă şi mobilă şi de internet să reţină, timp de şase luni, anumite date ale abonaţilor, care să fie trimise, la cerere, autorităţilor din domeniul siguranţei naţionale pentru acţiunile de prevenire, cercetare, descoperire şi urmărire a infracţiunilor grave. Curtea Constituţională a decis, în 8 iulie 2014, că Legea "Big Brother" este neconstituţională.

În 16 septembrie 2014, şi Legea privind identificarea utilizatorilor de cartele telefonice pre-pay a fost declarată neconstituţională în ansamblu de către CC, care a stabilit că dispoziţiile legii nu au un caracter precis şi previzibil. De asemenea, Curtea a constatat că modalitatea prin care sunt obţinute şi stocate datele necesare pentru identificarea utilizatorilor serviciilor de comunicaţii electronice pentru care plata se face în avans (cartele pre-pay), respectiv a utilizatorilor conectaţi la puncte de acces la internet (wi-fi) nu reglementează garanţii suficiente care să permită asigurarea unei protecţii eficiente a datelor cu caracter personal faţă de riscurile de abuz, precum şi faţă de orice accesare şi utilizare ilicită a acestor date.

Senatul a adoptat, în 19 decembrie 2014, proiectul de lege privind securitatea cibernetică a României, care prevede constituirea Sistemului Naţional de Securitate Cibernetică, coordonarea unitară a activităţilor acestui sistem fiind făcută de MAE, MAI, MApN, SRI, SIE, STS, SPP, ORNISS şi CSAT. Senatul este Cameră decizională, după ce legea a trecut tacit de Camera Deputaţilor, pe 17 septembrie.

Legea stabileşte cadrul general de reglementare în domeniul securităţii cibernetice şi obligaţiile ce revin persoanelor juridice de drept public sau privat în scopul protejării infrastructurilor cibernetice, inclusiv furnizorii de servicii de internet, şi prevede obligaţii privind asigurarea securităţii sistemelor lor şi notificarea clienţilor în situaţia unor incidente/atacuri cibernetice şi luarea de măsuri pentru a restabili condiţiile normale de funcţionare.

Comisia de apărare a Senatului preciza atunci că proiectul de lege nr 580/2014 privind securitatea cibernetică a României nu se adresează persoanelor fizice, utilizatoare de internet, prevederile aplicându-se "persoanelor juridice de drept public sau privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de infrastructuri cibernetice»".

Legea mai prevede că, la nivel naţional, se constituie Sistemul Naţional de Alertă Cibernetic, care reprezintă un ansamblu de măsuri şi proceduri destinat prevenirii şi contracarărilor atacurilor cibernetice. Instituirea nivelurilor de alertă cibernetică precum şi trecerea de la un nivel la altul de alertă se stabileşte de către CSAT.

La articolul 17 al proiectului de lege se prevede că "(1) Pentru realizarea securităţii cibernetice, deţinătorii de infrastructuri cibernetice au următoarele responsabilităţi: "a) să acorde sprijinul necesar, la solicitarea motivată a SRI, MApN, MAI, ORNISS, SIE, STS, SPP, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării; b) să informeze, de îndată, autorităţile şi instituţiile publice prevăzute la lit. a) cu privire la incidentele cibernetice identificate, conform procedurilor stabilite prin normele metodologice la prezenta lege. (2) Deţinătorii de infrastructuri cibernetice pot solicita asistenţă de specialitate autorităţilor şi instituţiilor publice cu atribuţii în domeniul securităţii cibernetice, pentru asigurarea securităţii cibernetice în domeniul lor de activitate".

Conform articolului 18 din lege, deţinătorii de infrastructuri cibernetice, furnizorii de servicii de internet, au obligatia de a-şi notifica, de îndată, clienţii, persoane de drept public şi privat, în situaţiile în care sistemele informatice utilizate de aceştia au fost implicate in incidente sau atacuri cibernetice şi de a dispune măsurile necesare în vederea restabilirii condiţiilor normale de funcţionarem dar nu mai târziu de 24 de ore din momentul în care au fost sesizaţi de autorităţile competente.

Monitorizarea şi controlul aplicării legii se asigură de către Camera Deputaţilor şi Senat, Administraţia Prezidenţială, Guvern, CSAT precum şi instituţiile şi autorităţile publice prevăzute la articolul 10, şi anume Ministerelor de Externe, de Interne, Apărării, cel pentru Societatea Informaţională, SRI, SIE, STS, SPP, ORNISS.

Legea prevede că în vederea exercitării atribuţiilor, conducătorii autorităţilor desemnează persoane abilitate să desfăşoare activităţi de control, care, în baza şi limitele împuternicirii au dreptul de a solicita declaraţii sau orice documente necesare pentru efectuarea controlului, să facă inspecţii, inclusive inopinate, la orice instalaţie, incintă sau infrastructură, cu respectarea prevederilor legale în vigoare şi să primească, la cerere sau la faţa locului, informaţii sau justificări.

Contravenţiile includ amenzi de la 500 la 5.000 de lei, pentru nerespectarea de către deţinătorii de infrastructuri cibernetice a obligaţiei privind punerea în aplicare a politicii de securitate cibernetică şi amenzi de la 1.000 la 10.000 de lei, pentru nerespectarea obligaţiei de a permite autorităţilor să intervină, precum şi a obligaţiei de a reţine şi asigura integritatea datelor referitoare la incidentele cibernetice.