Mai multe organizaţii neguvernamentale au solicitat, joi, Avocatului Poporului Renate Weber să evalueze oportunitatea contestării la CCR a ordonanţei de urgenţă privind unele măsuri pentru adoptarea sistemului de guvernanţă a Platformei de Cloud Guvernamental, precum şi pentru stabilirea cadrului legal de organizare şi funcţionare a infrastructurilor informatice şi a serviciilor de tip cloud în procesul de transformare digitală. Acest act normativ, OUG 89/2022, ridică, din punctul nostru de vedere, probleme cu privire la modul şi felul în care a fost reglementat un domeniu care prin esenţa lui presupune prelucrarea pe scară largă de date personale, inclusiv date din categorii speciale, precizează sursa citată.
Organizaţiile non-guvernamentale semnatare ale scrisorii adresate Avocatului Poporului detaliază şi argumentele, atât în ceea ce priveşte modul de legiferare, cât şi conţinutul actului normativ şi impactul său asupra drepturilor şi libertăţilor garantate de Constituţia României, potrivit surse menţionate.
Nu se justifică urgenţa actului normativ
„Practic Guvernul justifică urgenţa actului normativ doar prin propria inacţiune şi prin depăşirea propriilor termene propuse în cadrul PNRR. Subiectul Cloud-ului guvernamental există în spaţiul public în diverse formate de cel puţin 10 ani, iar inacţiunea guvernelor în acest domeniu nu reprezintă o justificare pentru legiferarea prin Ordonanţă de Urgenţă a acestui domeniu. Mai mult, primul draft al actualului act normativ a apărut în februarie, iar apoi a fost pus în dezabatere publica la jumătatea lunii martie. Noi am răspuns pe data de 25.03.2022, inclusiv cu cererea de organizare a unei dezbateri publice pe acest subiect cf Legii 52/2003, dar Guvernul a avut nevoie de 4 luni pentru a organiza aceasta dezbatere. După patru luni în care practic nu s-a dezbătut nimic, este ridicolă pretenţia Guvernului că este vorba de o urgenţă ce nu suferă amânare, pentru a justifica ordonanţa de urgenţă
Nici măcar termenele din PNRR, care au fost asumate de către România în mod voluntar, fără a preciza că vreunul din actele normative adoptate ar trebui să fie trecut printr-o procedură de urgenţă şi evitând procesul democratic normal, nu justifică adoptarea acestui act normativ fără contribuţia Parlamentului şi fără o dezbatere largă a acestui proiect. Mai mult primul termen de cerere de plată pentru PNRR este abia în octombrie 2022.
Prin OUG nu se pot adopta acte normative care aduc atingere drepturilor fundamentale
Proiectul reglementează inclusiv aspecte legate de prelucrarea datelor personale în Cloud-ul Guvernamental şi implicarea serviciilor secrete în acest proces, aspecte care pot aduce atingere dreptului la viaţa privată, ca drept fundamental precizat de Constituţia României.
Conform art. 115 (6) din Constituţie, “ordonanţele de urgenţă nu pot fi adoptate în domeniul legilor constituţionale, nu pot afecta regimul instituţiilor fundamentale ale statului, drepturile, libertăţile şi îndatoririle prevăzute de Constituţie, drepturile electorale şi nu pot viza măsuri de trecere silită a unor bunuri în proprietate publică.”
Oricum aspectele legate de drepturile cetăţeneşti au fost – pe tot parcursul dezbaterii publice – tratate minimalist:
1. instrumentul de prezentare al proiectului de act normativ (Nota de fundamentare) nu include secţiunea dedicată analizei impactului asupra drepturilor omului, care este obligatorie conform prevederilor Legii nr. 24/2000 privind normele de tehnică legislativă. Chiar Guvernul Ciucă, prin Hotărârea nr. 443/2022, din 30 martie, a actualizat forma obligatorie a instrumentului de prezentare, făcând mai vizibilă secţiunea privind drepturile omului. Ministerul Cercetării, Inovării şi Digitalizării a ales să ignore această hotărâre de guvern, cu toate că din text rezultă în mod evident că proiectul are un impact asupra vieţii private. În mod ridicol textul actual spune că “prezentul proiect de act normativ nu afectează exerciţiul drepturilor şi libertăţile fundamentale”, deşi textul în sine conţine dispoziţii care ar trebui să reglementeze modul de prelucrare a datelor personale – deci o afectare există, chiar dacă aceasta poate fi necesară într-un stat democratic.
2. Aspectele legate de prelucrarea datelor cu caracter personal ar fi trebuit să fie unul din elementele cheie ale acestei propuneri, bazate pe o analiză de impact (obligatorie conform art. 35 alin. 2 lit. d) din Regulamentul UE 679/2016, dar şi a Deciziei ANSPDCP nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal), inclusiv cu privire la capacitatea instituţiilor propuse de a efectua anumite activităţi. În schimb, articolul 9 propus reuşeşte să nu reglementeze nimic clar – oferind posibilitatea instituţiilor (Ministerul Cercetării, Inovării şi Digitalizării , Autoritatea pentru Digitalizarea României, Serviciul de Telecomunicaţii Speciale şi Serviciul Român de Informaţii) să joace orice rol de prelucrare (operator sau persoană împuternicită) şi copiind referinţe la legislaţiile actuale care oricum ar fi aplicabile, dar lăsând aspectele practice fie nereglementate (ceea ce înseamnă probabil că vor trebuie reglementate contractual sau prin alte legislaţii secundare între părţi), fie făcând trimitere directă la o viitoare legislaţie secundară (vezi art. 10 alin. 8).
3. Prin art. 6 se creează atribuţii suplimentare ale SRI, de asigurare a “securităţii cibernetice a cloud-ului” (atribuţie aproape identică cu cea a STS din art. 5 alin. 4!). Amintim că unica obligaţia legală unică a SRI, conform art. 2 din Legea nr. 14/1992 este de a desfăşura “activităţi pentru culegerea, verificarea şi valorificarea informaţiilor (…)”.
Practic SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale (în special folosirea datelor exclusiv în scopul furnizării serviciilor din cloud) şi nici îndeplinirea obligaţiei de securitate a datelor (nici ca operator, nici ca persoană împuternicită), pentru că obligaţia sa legală din Legea nr. 14/1992 este contrară celor din Regulamentul UE 679/2016 GDPR (în special articolele 5, 6 şi 32).
Mai mult, şi jurisprudenţa Curţii Constituţionale a României este constantă în acest domeniu, chiar anterior intrării în vigoare a GDPR, o argumentaţie similară fiind inclusă în Decizia nr. 17/2015 a CCR cu privire la altă structură din cadrul SRI care ar fi trebuit să joace un rol relativ similar cu cel pe care SRI urmează să îl joace acum în implementarea Cloud-ului guvernamental, dar care nu poate oferi garanţiile minime necesare pentru respectarea dreptului la viaţă privată:
«Or, în condiţiile în care Centrul Naţional de Securitate Cibernetică constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidenţă că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţa intimă, familială şi privată şi la secretul corespondenţei.»
Având în vedere cele descrise mai sus, vă invităm să analizaţi potenţialul de neconstituţionalitate al Ordonanţei de Urgenţă 89/2022 privind înfiinţarea, administrarea şi dezvoltarea infrastructurilor şi serviciilor informatice de tip cloud utilizat de autorităţile şi instituţiile publice şi oportunitatea sesizării Curţii Constituţionale a României”, conform scrisorii adresate Renatei Weber.
Articolul de mai sus este destinat exclusiv informării dumneavoastră personale. Dacă reprezentaţi o instituţie media sau o companie şi doriţi un acord pentru republicarea articolelor noastre, va rugăm să ne trimiteţi un mail pe adresa abonamente@news.ro.
