20 de ONG-uri au cerut public, joi, Avocatului Poporului să evalueze constituționalitatea ordonanței de urgență privind Cloud-ul guvernamental, spunând că nu se justifică urgența actului normativ, că nu pot fi adoptate prin ordonanță acte care afectează drepturi fundamentale și că SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale și nici îndeplinirea obligației de securitate a datelor.
În opinia ONG-urilor, actul normativ care a fost adoptat și publicat deja în Monitorul Oficial în 28 iunie 2022, ridică probleme cu privire la modul și felul în care a fost reglementat un domeniu care prin esența lui presupune prelucrarea pe scară largă de date personale, inclusiv date din categorii speciale.
Stimată doamnă Renate WEBER,
Pe data de 27.06.2022, Guvernul României a anunțat adoptarea Ordonanței de Urgență privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizat de autoritățile și instituțiile publice. Actul normativ a fost publicat în Monitorul Oficial 638 din 28 iunie 2022. Acest act normativ (OUG 89/2022) ridică, din punctul nostru de vedere, probleme cu privire la modul și felul în care a fost reglementat un domeniu care prin esența lui presupune prelucrarea pe scară largă de date personale, inclusiv date din categorii speciale.
Organizațiile semnatare, membre ale Grupului ONGuri pentru cetățean, și partenerii lor, vă solicită să evaluați oportunitatea contestării Ordonanței de Urgență menționate la Curtea Constituțională a României. Detaliem mai jos argumentele noastre, atât în ceea ce privește modul de legiferare, cât și conținutul actului normativ și impactul său asupra drepturilor și libertăților garantate de Constituția României:
- Nu se justifică urgența actului normativ
Practic Guvernul justifică urgența actului normativ doar prin propria inacțiune și prin depășirea propriilor termene propuse în cadrul PNRR.
Subiectul Cloud-ului guvernamental există în spațiul public în diverse formate de cel puțin 10 ani, iar inacțiunea guvernelor în acest domeniu nu reprezintă o justificare pentru legiferarea prin Ordonanță de Urgență a acestui domeniu.
Mai mult, primul draft al actualului act normativ a apărut în februarie, iar apoi a fost pus în dezabatere publica la jumătatea lunii martie. Noi am răspuns pe data de 25.03.2022, inclusiv cu cererea de organizare a unei dezbateri publice pe acest subiect conform Legii 52/2003, dar Guvernul a avut nevoie de 4 luni pentru a organiza aceasta dezbatere. După patru luni în care practic nu s-a dezbătut nimic, este ridicolă pretenția Guvernului că este vorba de o urgență ce nu suferă amânare, pentru a justifica ordonanța de urgență.
Nici măcar termenele din PNRR, care au fost asumate de către România în mod voluntar, fără a preciza că vreunul din actele normative adoptate ar trebui să fie trecut printr-o procedură de urgență și evitând procesul democratic normal, nu justifică adoptarea acestui act normativ fără contribuția Parlamentului și fără o dezbatere largă a acestui proiect. Mai mult primul termen de cerere de plată pentru PNRR este abia în octombrie 2022.
- Prin OUG nu se pot adopta acte normative care aduc atingere drepturilor fundamentale
Proiectul reglementează inclusiv aspecte legate de prelucrarea datelor personale în Cloud-ul Guvernamental și implicarea serviciilor secrete în acest proces, aspecte care pot aduce atingere dreptului la viața privată, ca drept fundamental precizat de Constituția României.
Conform art. 115 (6) din Constituție, “ordonanțele de urgență nu pot fi adoptate în domeniul legilor constituționale, nu pot afecta regimul instituțiilor fundamentale ale statului, drepturile, libertățile și îndatoririle prevăzute de Constituție, drepturile electorale și nu pot viza măsuri de trecere silită a unor bunuri în proprietate publică.”
Oricum aspectele legate de drepturile cetățenești au fost – pe tot parcursul dezbaterii publice – tratate minimalist:
- instrumentul de prezentare al proiectului de act normativ (Nota de fundamentare) nu include secțiunea dedicată analizei impactului asupra drepturilor omului, care este obligatorie conform prevederilor Legii nr. 24/2000 privind normele de tehnică legislativă. Chiar Guvernul Ciucă, prin Hotărârea nr. 443/2022, din 30 martie, a actualizat forma obligatorie a instrumentului de prezentare, făcând mai vizibilă secțiunea privind drepturile omului. Ministerul Cercetării, Inovării și Digitalizării a ales să ignore această hotărâre de guvern, cu toate că din text rezultă în mod evident că proiectul are un impact asupra vieții private. În mod ridicol textul actual spune că “prezentul proiect de act normativ nu afectează exercițiul drepturilor și libertățile fundamentale”, deși textul în sine conține dispoziții care ar trebui să reglementeze modul de prelucrare a datelor personale – deci o afectare există, chiar dacă aceasta poate fi necesară într-un stat democratic.
- Aspectele legate de prelucrarea datelor cu caracter personal ar fi trebuit să fie unul din elementele cheie ale acestei propuneri, bazate pe o analiză de impact (obligatorie conform art. 35 alin. 2 lit. d) din Regulamentul UE 679/2016, dar și a Deciziei ANSPDCP nr. 174 din 18 octombrie 2018 privind lista operaţiunilor pentru care este obligatorie realizarea evaluării impactului asupra protecţiei datelor cu caracter personal), inclusiv cu privire la capacitatea instituțiilor propuse de a efectua anumite activități. În schimb, articolul 9 propus reușește să nu reglementeze nimic clar – oferind posibilitatea instituțiilor (Ministerul Cercetării, Inovării și Digitalizării , Autoritatea pentru Digitalizarea României, Serviciul de Telecomunicații Speciale și Serviciul Român de Informații) să joace orice rol de prelucrare (operator sau persoană împuternicită) și copiind referințe la legislațiile actuale care oricum ar fi aplicabile, dar lăsând aspectele practice fie nereglementate (ceea ce înseamnă probabil că vor trebuie reglementate contractual sau prin alte legislații secundare între părți), fie făcând trimitere directă la o viitoare legislație secundară (vezi art. 10 alin. 8).
- Prin art. 6 se creează atribuții suplimentare ale SRI, de asigurare a “securității cibernetice a cloud-ului” (atribuție aproape identică cu cea a STS din art. 5 alin. 4!). Amintim că unica obligația legală unică a SRI, conform art. 2 din Legea nr. 14/1992 este de a desfășura “activități pentru culegerea, verificarea și valorificarea informațiilor (…)”.
Practic SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale (în special folosirea datelor exclusiv în scopul furnizării serviciilor din cloud) și nici îndeplinirea obligației de securitate a datelor (nici ca operator, nici ca persoană împuternicită), pentru că obligația sa legală din Legea nr. 14/1992 este contrară celor din Regulamentul UE 679/2016 GDPR (în special articolele 5, 6 și 32).
Mai mult, și jurisprudența Curții Constituționale a României este constantă în acest domeniu, chiar anterior intrării în vigoare a GDPR, o argumentație similară fiind inclusă în Decizia nr. 17/2015 a CCR cu privire la altă structură din cadrul SRI care ar fi trebuit să joace un rol relativ similar cu cel pe care SRI urmează să îl joace acum în implementarea Cloud-ului guvernamental, dar care nu poate oferi garanțiile minime necesare pentru respectarea dreptului la viață privată:
“Or, în condiţiile în care Centrul Naţional de Securitate Cibernetică constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidenţă că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţa intimă, familială şi privată şi la secretul corespondenţei.”
Având în vedere cele descrise mai sus, vă invităm să analizați potențialul de neconstituționalitate al Ordonanței de Urgență 89/2022 privind înființarea, administrarea și dezvoltarea infrastructurilor și serviciilor informatice de tip cloud utilizat de autoritățile și instituțiile publice și oportunitatea sesizării Curții Constituționale a României.
Semnatari:
Asociația pentru Tehnologie și Internet
ActiveWatch
CeRe: Centrul de Resurse pentru participare publică
Centrul pentru Inovare Publică
Asociatia Militia Spirituala
Asociatia Respiro
Asociația Rise OUT
Asociația dexonline
Centrul pentru Studiul Democrației
Asociația Română Anti-SIDA – ARAS
APADOR-CH
Centrul pentru Politici Durabile Ecopolis
Centrul pentru Legislație Nonprofit
Fundația pentru Dezvoltarea Societății Civile
Centrul FILIA
Asociația CIVICA
Consiliul Național al Dizabilității din România
Consiliul Tineretului din România
Átlátszó Erdély/Transilvania Transparentă
Funky Citizens
Nu prea le place actualilor oficiali,și le afectează viitorul electoral,dar au primit ordin de la “partenerul strategic” să organizeze capacitate de riposta în zona psihologică a războiului hibrid cu Rusia.Infrastructura în cauză deja există și funcționează, legalizarea e necesara pentru “a tăia cozile” altor servicii secrete pan-europene infiltrate serios în România…constituite exclusiv cu personal de origine și identitate românească…camuflate “evident”sub umbrela mișcărilor civice care semnează protestul de mai sus.
E absolut grotesc cum două imposturi aflate in contradicție se dau de ceasul morții că apără interesele României!
Sau pur și simplu este vorba de obișnuitul zel stupid de subordonare a autorităților tartorului american,penalizat oportun de “opoziție”…ha,ha,…Ha!