Noutăți privitoare la proiectele de cybersecurity și înregistrarea cartelelor SIM preplatite și ale hotspot-urilor WiFi din Camera Deputaților

Săptămâna aceasta au avut loc doua evenimente de importanță majoră pentru drepturile digitale (dar nu numai) ale cetățenilor României. După cum am semnalat mai devreme, Comisia de Tehnologia Informațiilor și Comunicații din cadrul Camerei Deputaților avea în lucru două proiecte de acte normative.

Primul dintre aceste doua proiecte este propunerea de lege privind securitatea cibernetica (PLx. 263/2014, unde Camera Deputaților este prima camera sesizata, deci Senatul va avea votul decisiv). Pentru acest proiect, Comisia de IT a organizat o a doua întâlnire cu părțile interesate (prima fiind cea care a avut loc pe 11 Iunie) pentru a discuta amendamentele propuse la textul original.

ApTI, alături de Asociația pentru Apărarea Drepturilor Omului în România - Comitetul Helsinki (APADOR-CH), Activewatch Agenția de Monitorizare a Presei și Centrul pentru Jurnalism Independent, a pregătit o propunere de amendamente care a fost susținută cu prilejul întâlnirii din 24 Iunie, de la Comisia de IT. La întâlnire au mai participat, printre alții, reprezentanți ai operatorilor de telefonie mobilă, ANCOM, CERT-RO și SRI. Operatorii de telefonie mobilă au depus și ei propuneri de amendamente dar nu le-au susținut. Unul dintre reprezentanții operatorilor a avut totuși o intervenție prin care a reamintit ca multe țări Europene importante au ales să implementeze politici de securitatea informației doar prin măsuri cu rol consultativ, nu prin legislație.

Restul întâlnirii s-a scurs cu SRI-ul, pe de o parte, încercând să justifice de ce au nevoie de și mai multe puteri decât au deja oricum, și câțiva deputați (Daniel Vasile Oajdea, Președintele Comisiei de IT, PP-DD și Daniel Iane, PNL), pe de alta, încercând să-i aducă înapoi cu picioarele pe pământ.

Mai multe detalii despre aceasta parte a întâlnirii pot fi găsite în articolul scris de APADOR-CH și publicat pe blogul organizației.

Concluzia întâlnirii a fost că, fie că se așteaptă adoptarea directivei UE privind securitatea informatică (directiva NIS) și se creează o lege bazata pe directivă, fie că se creează o lege autohtonă care va fi, după adoptarea directivei NIS, armonizată cu directiva, asta nu se va întâmpla înainte de Septembrie, după întoarcerea din vacanța parlamentară.

Al doilea proiect de care vorbeam la începutul articolului este propunerea de lege privind înregistrarea cartelelor pre-pay și a identificării utilizatorilor de hotspot-uri WiFi publice (PLx. 277/2014, unde Camera Deputaților este camera decizională).

La sfârșitul întâlnirii din 24 Iunie pe proiectul de cybersecurity, descrisă mai sus, reprezentanții SRI au vrut sa discute și pe marginea proiectului de înregistrare a cartelelor pre-pay și hotspot-urilor WiFi, deși acest subiect nu era pe ordinea de zi. Președintele Comisiei le-a răspuns că acest lucru nu este pe ordinea de zi și că va trebui organizată o nouă întâlnire pentru asta, ceea ce se va putea întâmpla abia în Septembrie.

Surpriza a venit a doua zi, Miercuri, 25 Iunie, când pe Mediafax a apărut știrea că Comisia de IT a adoptat proiectul privind înregistrarea cartelelor pre-pay și a hotspot-urilor WiFi.

Din informațiile noastre, se pare că Biroul Permanent a făcut presiuni asupra Comisiei de IT să voteze acest proiect, altfel Biroul Permanent l-ar fi trecut doar cu raportul Comisiei Juridice (care deja îl adoptase pe nerăsuflate). Așadar, Comisia de IT a ales să-l adopte cu o serie de amendamente. Din păcate, aceste amendamente nu repară mare lucru. Singurul amendament cu vreo însemnătate din punct de vedere al dreptului la intimitate este că persoanele juridice care pun la dispoziție publicului hotspot-uri WiFi trebuie să rețină doar datele de identificare ale persoanelor care se conectează prin hotspot-urile lor, nu și datele de trafic generate de acestea. Aceasta mică concesie este nesemnificativă din două motive:

1. Zilele retenției (legale a) datelor sunt numărate, conform deciziei CEJ, așa că legislația locală va trebui să fie modificată mai devreme sau mai târziu;
2. Reținerea datelor de identificare ale persoanelor care se conectează la hotspot-uri gratuite este oricum o încălcare a dreptului la viața privată. Mai mult decât atât, în momentul în care decizia CEJ va fi adoptată în România și legea retenției datelor va fi respinsă, există pericolul ca înregistrarea utilizatorilor de hotspot-uri gratuite să fie păstrată sub pretextul că ceea ce se cere nu sunt date de trafic, și deci nu intra sub incidenta legislației de retenție a datelor.

Așadar, s-ar putea ca acest amendament, pe termen lung, să facă mai mult rău decât bine.