Pentru că nu au competența legală de a sesiza CCR, organizațiile semnatare s-au adresat azi, 21 decembrie, la 25 de ani de la abolirea regimului opresiv și securistic, acelor instituții care au această cădere, după cum urmează:
1. Parlamentului României, expresia cea mai înaltă a voinței populare. Legea a fost adoptată fără nicio dezbatere în Camera Deputaților, iar Senatul a ignorat orice punct de vedere venit din partea societății civile. Fie și în al doisprezecelea ceas, Parlamentul trebuie să se asigure că votul său, transpus în lege, asigură respectarea drepturilor omului consființite prin Constituție.
2. Înaltei Curți de Casație și Justiție, instanța supremă în România. Ne exprimăm speranța că ÎCCJ va fi la înălțimea așteptărilor cetățenilor și se va constitui în garant al primatului legii și al statului de drept.
3. Avocatului Poporului, care prin lege are ca scop apărarea drepturilor și libertăților persoanelor în raport cu autoritățile statului. Avocatul Poporului a intervenit într-o manieră asemănătoare în cazul unor legi de aceeași factură (cum ar fi legea cartelelor prepay) și sperăm că va rămâne consecvent acțiunilor sale în ceea ce privește respectarea dreptului la viață privată.
4. Președintelui Klaus Iohannis, cel în măsură să respingă promulgarea. Încă din prima zi de mandat, Președintele este în situația de a face dovada atașamentului său față de respectarea drepturilor omului în România. O eventuală promulgare a legii securismului cibernetic poate da tonul relației dintre cetățean și stat pentru următorii cinci ani.
Principalele critici ale organizațiilor semnatare la adresa Legii securității cibernetice sunt:
1. Problema: Access la date informatice într-un mod extrem de vag pentru foarte multe instituții.
– Soluție: Accesul la datele informatice se poate face doar în condițiile Codului de Procedură Penală (art 138 și 140).
2. Problema: Legea se aplică tuturor persoanelor de drept public și privat, deci o arie extrem de largă.
– Soluție: Legea trebuie să se aplice doar persoanelor de drept public și privat identificate ca Infrastructuri Critice. Lista acestora trebuie să fie în lege. (la fel ca în propunerea de Directivă NIS).
3. Problema: Legea acordă SRI competențe principale în domeniul securității cibernetice.
– Soluția: Conform propunerii de directivă NIS, aceasta ar trebui să fie „organisme civile, care să funcționeze integral pe baza controlului democratic, și nu ar trebui să desfășoare activități în domeniul informațiilor”.
Contraargumente la explicațiile date post vot de Senat:
1. Accesul la datele informatice.
Art 17 este, în forma actuală, astfel:
a) Să acorde sprijinul necesar, la solicitarea motivată a Serviciului Român de Informaţii, Ministerului Apărării Naţionale, Ministerului Afacerilor Interne, Oficiului Registrului Naţional al Informaţiilor Secrete de Stat, Serviciului de Informaţii Externe, Serviciului de Telecomunicaţii Speciale, Serviciului de Protecţie şi Pază, CERT-RO şi ANCOM, în îndeplinirea atribuţiilor ce le revin acestora şi să permită accesul reprezentanţilor desemnaţi în acest scop la datele deţinute, relevante în contextul solicitării.
Asta înseamnă că oricare din aceste instituții, dacă are o solicitare motivată ar trebui să fie lăsată să aibă acces la datele deținute.Cine stabilește dacă această solicitare este suficient de motivată și dacă datele sunt relevante? De ce nu un judecător, așa cum prevede acum Codul de procedură penală (art 138 și 140).
2. Legea nu se aplică calculatoarelor persoanelor fizice.
Nu direct, dar indirect da. Din 2 motive:
– Definiția de la art.2 este extrem de largă: „persoanelor juridice de drept public sau privat, care au calitatea de proprietari, administratori, operatori sau utilizatori de infrastructuri cibernetice”. Faptul că nu depinde cine este proprietarul calculatorului respectiv, ci doar dacă el este administrat, operat sau utilizat de către o persoană de drept public sau privat înseamnă că dacă vii cu calculatorul la serviciu sau îți folosești smartphone-ul și în scop de serviciu, poate însemna că el este utilizat de către persoana juridică de drept privat.
- Nici nu trebuie să se aplice direct persoanelor fizice. Toate datele de trafic de Internet ale persoanelor fizice se află în mâna unor furnizori privați. În plus operatorii de site-uri și de rețele de publicitate strâng enorm de multe date care pot fi ușor legate de către aceste instituții de un simplu IP.
3. Dacă nu e nimic grav în prevederile legii, așa cum pretind senatorii, de ce au refuzat în mod constant să dezbată subiectele? De ce chestiunile clare din propunerea de directivă NIS sunt pur și simplu ignorate în legea noastră?
Semnatari:
Maria-Nicoleta Andreescu, Asociația pentru Apărarea Drepturilor Omului în România – Comitetul Helsinki (APADOR-CH)
Bogdan Manolea, Asociaţia pentru Tehnologie şi Internet (ApTI)
Mircea Toma, ActiveWatch
Ioana Avădani, Centrul pentru Jurnalism Independent (CJI)
Ștefan Cândea, Centrul Român pentru Jurnalism de Investigație (CRJI)
Vasile Crăciunescu, Geo-spatial.org
Tiberiu Turbureanu, Fundația Ceata
Oana Preda, Centrul de Resurse pentru Participare Publică
Mihail Bumbeș, Miliția Spirituală
Toma Pătrașcu, Asociația Secular Umanistă din România (ASUR)
Gabriel Petrescu, Director Executiv, Fundația pentru o Societate Deschisă
Cătălin Hegheș, Director Executiv – Asociația Pentru Minți Pertinente AMPER
Ionuț Oprea, Asociația IAB România (Interactive Advertising Bureau)