Judecătorii Curţii Constituţionale au decis ieri, cu majoritate de voturi, că legea privind securitatea cibernetică a României este neconstituţională "în ansamblul ei". Curtea a găsit multe incoerenţe şi neclarităţi în lege. Cel mai controversat articol al legii, privind obligaţia firmelor deţinătoare de infrastructuri cibernetice (servere, reţele) de a permite accesul la echipamente serviciilor secrete fără un mandat judecătoresc, a fost de asemenea respins de CCR, din cauza "lipsei garanţiilor legale (autorizarea de către o instanţă judecătorească).

Aceasta este a treia lege care implică datele personale ale utilizatorilor de comunicaţii din România, care ar fi ajutat serviciile secrete în munca operativă, care pică însă la CCR din cauză că nu respectă drepturile şi libertăţile garantate de Constituţia României. Anul trecut, judecătorii CCR au respins alte două legi: cea privind obligaţia furnizorilor de telefonie şi internet de a reţine 6 luni datele utilizatorilor şi cea privind obligaţia de a solicita datele personale utilizatorilor de cartele telefonice prepay şi de reţele wifi publice. "Curtea a reţinut că întregul act normativ suferă de deficienţe sub aspectul respectării normelor de tehnică legislativă, coerenţă, claritate, previzibilitate, precum şi sub aspectul respectării procedurii legislative, prin lipsa avizului Consiliului Suprem de Apărare a Ţării", arată judecătorii CCR. Judecătorii constituţionali au mai constatat că mai multe prevederi ale legii nu respectă Constituţia: definirea noţiunii de "deţinători de infrastructuri cibernetice" (art.2 din lege), desemnarea Serviciului Român de Informaţii ca autoritate naţională în domeniul securităţii cibernetice (art.10), lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească) aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite accesul reprezentanţilor autorităţilor competente la datele deţinute, relevante în contextul solicitării (art.17), lipsa reglementării prin lege a criteriilor în funcţie de care se realizează selecţia infrastructurilor cibernetice de interes naţional, cât şi a modalităţii prin care se stabilesc acestea (art.19), autoritatea care efectuează auditarea de securitate cibernetică (art.20 lit.c), lipsa reglementării prin lege a circumstanţelor în care este necesară notificarea, precum şi a conţinutului acesteia (art.20 lit.c), lipsa consacrării legale a controlului judecătoresc cu privire la actele administrative emise de autorităţile competente şi care sunt susceptibile a prejudicia drepturi sau interese legitime (art.16-23), lipsa predictibilităţii normelor referitoare la procedurile de monitorizare şi control, respectiv a celor privind constatarea şi sancţionarea contravenţiilor (art.27, 28, 30), lipsa garanţiilor legale (autorizarea de către o instanţă judecătorească)  aferente respectării obligaţiei deţinătorilor de infrastructuri cibernetice de a permite autorităţilor competente să efectueze inspecţii, inclusiv inopinate, la orice instalaţie, incintă sau infrastructură (art.27 alin.(2). De asemenea, Curtea a constatat încălcarea dispoziţiilor constituţionale cuprinse în art.1 alin.(3), (4) şi (5) referitoare la principiul statului de drept, principiul separaţiei puterilor în stat, respectiv principiul legalităţii, în art.21 alin.(1) şi (3) referitor la accesul liber la justiţie şi dreptul la un proces echitabil, în art.26 privind viaţa intimă, familială şi privată şi în art.28 referitor la secretul corespondenţei, din perspectiva lipsei garanţiilor necesare respectării acestor drepturi, precum şi în art.53 privind restrângerea exerciţiului unor drepturi sau al unor libertăţi.