„Lumea Justiției” a prezentat într-un articol distinct, integral, Decizia nr. 70/2023 prin care, în majoritate de 7 la 2, judecătorii Curții Constituționale a României au girat Legea securității cibernetice, cunoscută și ca Legea Big Brother, cu analiza pe care au făcut-o asupra semnificației cuvintelor, conform DEX, doar pentru a demonstra că prevederile noii legi care modifică inclusiv Legea nr. 51/1991 a SRI nu aduc atingere drepturilor fundamentale. Ei bine, în opinia separată a celor doi judecători constituționali care nu au aderat la argumentele majorității din CCR, sunt demontate, rând pe rând, toate argumentele aduse de cei șapte judecători constituționali majoritari.
Astfel, judecătorii CCR Attila Varga (foto stânga) și Gheorghe Stan (foto dreapta) în opinia separată pe care o prezentăm în continuare evidențiază absurdul situației reținute în Legea privind securitatea cibernetică, în care din dorința de o mai amplă acoperire a legii, scribii legii au vizat toți cetățenii acestei țări și toate societățile private. Concluzia celor doi judecători CCR contrazice chiar pomelnicul de argumente aduse de majoritatea din CCR pentru a demonstra că legea este inofensivă.
Căci, în forma în care a fost adoptată, Legea privind securitatea cibernetică încalcă principiul constituțional al legalității și mai mult, contravine chiar Deciziilor anterioare ale Curții Constituționale.
Redam in continuare pasaje relevante din Opinia separata a judecatorilor CCR Attila Varga si Gheorghe Stan:
„In acest context, retinem ca dispozitiile art.3 lit.c) teza finala din legea criticata nu fac distinctie din perspectiva destinatarilor normei intre persoanele juridice de drept public sau persoanele juridice de drept privat. Or, observam ca, potrivit principiului ubi lex non distinguit, nec nos distinguere debemus, atunci cand legiuitorul nu face el singur distinctia intre anumite elemente avute in vedere in momentul legiferarii, interpretul nu poate realiza aceasta distinctie (in acelasi sens, Decizia nr.355 din 4 aprilie 2007, publicata in Monitorul Oficial al Romaniei, Partea I, nr.318 din 11 mai 2007; Decizia nr.305 din 12 mai 2016, publicata in Monitorul Oficial al Romaniei, Partea I, nr.485 din 29 iunie 2016). Principiul general de drept anterior mentionat este aplicabil indiferent de caracterul normei supuse interpretarii sau de materia in care aceasta a fost adoptata. in acest sens, in practica judiciara s-a retinut ca „acolo unde legea nu distinge, nici interpretul nu trebuie sa distinga (…), chiar daca este in discutie o zona normativa speciala (…). Astfel (…), formularii generale a textului ii corespunde o aplicare in aceeasi masura generala, neputand fi introduse distinctii daca legea nu le incorporeaza” (Decizia nr.10 din 18 iunie 2012, pronuntata de Inalta Curte de Casatie si Justitie – Completul competent sa judece recursul in interesul legii, publicata in Monitorul Oficial al Romaniei, Partea I, nr.495 din 19 iulie 2012). in sensul celor anterior mentionate, a se vedea si Decizia Curtii Constitutionale nr.564 din 18 septembrie 2018, publicata in Monitorul Oficial al Romaniei, Partea I, nr.66 din 28 ianuarie 2019, paragraful 25.
Asa fiind, din modalitatea de reglementare a dispozitiilor criticate reiese ca legiuitorul a inteles sa includa in categoria destinatarilor legii supuse examinarii toate persoanele fizice, toate persoanele juridice de drept public, precum si toate persoanele juridice de drept privat care detin, organizeaza, administreaza sau utilizeaza retele si sisteme informatice si care furnizeaza servicii publice ori de interes public.
Mai mult, se observa ca legiuitorul nu a distins intre modalitatile si formele de constituire ale persoanelor juridice de drept privat, astfel ca, aplicand acelasi principiu (ubi lex non distinguit, nec nos distinguere debemus) rezulta ca acesta a avut in vedere orice forma de asociere care permite desfasurarea unor activitati economice, potrivit Legii societatilor nr.31/1990, republicata in Monitorul Oficial al Romaniei, Partea I, nr.1066 din 17 noiembrie 2004, sau Ordonantei de urgenta a Guvernului nr.44/2008 privind desfasurarea activitatilor economice de catre persoanele fizice autorizate, intreprinderile individuale si intreprinderile familiale, publicata in Monitorul Oficial al Romaniei, Partea I, nr.328 din 25 aprilie 2008.
Cu alte cuvinte, textul criticat se adreseaza tuturor persoanelor fizice, persoanelor juridice de drept public, societatilor in nume colectiv, societatilor in comandita simpla, societatilor pe actiuni, societatilor in comandita pe actiuni, societatilor cu raspundere limitata, persoanelor fizice autorizate, intreprinderilor individuale, intreprinderilor familiale. (…)
Plecand de la premisa ca analiza existentei „serviciului de interes public” nu comporta aspecte dificile, observam ca stabilirea destinatarilor actului normativ, potrivit art.3 lit.c) teza finala, nu a fost realizata de catre legiuitor in corelatie cu o anumita amploare a activitatii/serviciilor prestate/furnizate de catre acestia, a caror afectare (in sensul aparitiei unui incident de securitate cibernetica) sa aiba vreo relevanta la nivel national.
Un argument in acest sens, este modalitatea de reglementare a sanctiunilor contraventionale in cazul nerespectarii obligatiilor impuse prin actul normativ criticat, potrivit art.48 alin.(2) lit.b) si (5), anterior redat, care face referire la operatorii economici cu o cifra de afaceri neta de peste 1.000.000 lei, dar si la persoane fizice autorizate. Or, nu se poate afirma ca activitatea tuturor persoanelor fizice, societatilor in nume colectiv, societatilor in comandita simpla, societatilor pe actiuni, societatilor in comandita pe actiuni, societatilor cu raspundere limitata, persoanelor fizice autorizate, intreprinderilor individuale, intreprinderilor familiale, chiar calificata ca fiind un serviciu de interes public, se desfasoara intotdeauna cu o asemenea amploare incat un eventual incident de securitate cibernetica care afecteaza retelele si sistemele informatice detinute de acestea echivaleaza cu existenta unor situatii de pericol cu privire la infrastructuri de interes national.
Asa fiind, desi nu este definita expres, din cele anterior mentionate se poate trage concluzia ca un medic veterniar, care isi desfasoara activitatea potrivit legislatiei in vigoare, furnizeaza servicii de interes public. Totodata, se observa ca, potrivit art.27 alin.(1) din Legea nr.160/1998, medicul veterinar isi poate desfasura activitatea independent, ca persoana fizica autorizata (care, potrivit art.17 alin.(1) din Ordonanta de urgenta a Guvernului nr.44/2008, precitata, poate desfasura activitatile pentru care este autorizata, singura sau impreuna cu cel mult 3 persoane, angajate de aceasta). Totodata, mentionam definitia data de legiuitor retelei si sistemului informatic, in sensul ca acestea pot fi (1) orice dispozitiv sau ansamblu de dispozitive interconectate sau aflate in relatie functionala, dintre care unul sau mai multe asigura prelucrarea automata a datelor cu ajutorul unui program informatic sau (2) datele digitale stocate, prelucrate, recuperate sau transmise de elementele prevazute la pct.1 si 2 din art.3 lit.l) din Legea nr.362/2018 in vederea functionarii, utilizarii, protejarii si intretinerii lor.
Plecand de la aceste premise, se poate observa ca, un medic veterinar care isi desfasoara activitatea independent, ca persoana fizica autorizata (singur, fara a avea alti angajati), in mediu rural (sat/comuna) si care detine un dispozitiv care asigura prelucrarea automata a datelor cu ajutorul unui program informatic (cu alte cuvinte, un calculator pe care este instalat un program informatic cu ajutorul caruia se tine evidenta cazurilor) intra in categoria destinatarilor prevazuti de dispozitiile art.3 lit.c) teza finala din actul normativ criticat.
Avand in vedere aceste aspecte, apreciem ca metoda de reglementare a destinatarilor actului normativ criticat este realizata intr-o modalitate deficitara, prin instituirea unei sfere extrem de largi de aplicare a textului de lege criticat, ceea ce contravine art.1 alin.(5) din Constitutie, care consacra principiul legalitatii.
Or, destinatarii legii trebuie sa aiba o reprezentare clara, precisa si corecta a normelor juridice aplicabile, astfel incat sa isi adapteze conduita si sa prevada consecintele ce decurg din nerespectarea acestora, lipsa unei reglementari predictibile in acest sens constituind premisa unei aplicari neunitare, discretionare, in activitatea de securizare cibernetica a Romaniei (Decizia nr.17 din 21 ianuaire 2015, publicata in Monitorul Oficial al Romaniei, Partea I, nr.79 din 30 ianuarie 2015, paragraful 56).
Asa fiind, apreciem ca notiunile juridice cu care opereaza legea nu delimiteaza in mod neechivoc sfera de incidenta a normelor cuprinse in actul supus controlului de constitutionalitate, acesta neavand un caracter precis si previzibil, si, prin urmare, dispozitiile art.3 lit.c) teza finala contravin art.1 alin.(5) din Legea fundamentala.
(…)
In legatura cu acest aspect, observam ca, potrivit art.52 alin.(1) din actul normativ criticat, „categoriile de persoane prevazute la art.3 alin.(1) lit.c) se stabilesc prin hotarare a Guvernului, initiata de MCID, adoptata in maximum 60 de zile de la data intrarii in vigoare a prezentei legi”.
Retinem ca, analizand constitutionalitatea Legii privind securitatea cibernetica a Romaniei (PLX263/2014; L580/2014), prin Decizia nr.17 din 21 ianuarie 2015, precitata, paragrafele 66 – 68, Curtea a constatat ca modalitatea prin care se stabilesc criteriile in functie de care se realizeaza selectia infrastructurilor cibernetice de interes national si, implicit, a detinatorilor ICIN nu respecta cerintele de previzibilitate, certitudine si transparenta.
In acest context, Curtea a constatat ca „trimiterea la o legislatie infralegala, respectiv hotarari de Guvern, acte normative caracterizate printr-un grad sporit de instabilitate, pentru reglementarea criteriilor in functie de care devin incidente obligatii in materia securitatii nationale incalca principiul constitutional al legalitatii, consacrat de art.1 alin.(5) din Constitutie. Optiunea pentru o atare modalitate de reglementare apare cu atat mai nejustificata cu cat intr-o materie similara, cea a identificarii infrastructurilor critice nationale, Ordonanta de urgenta a Guvernului nr.98/2010 stabileste in chiar continutul sau criteriile intersectoriale de identificare a ICN. Mai mult, prin anexa la actul normativ se aproba lista sectoarelor, subsectoarelor infrastructurii critice nationale/infrastructurii critice europene (ICN/IGE) si autoritatilor publice responsabile (energetic, tehnologia informatiei si comunicatii, alimentare cu apa, alimentatie, sanatate, securitate nationala, administratie, transporturi, industria chimica si nucleara, spatiu si cercetare). Or, in cazul Legii privind securitatea cibernetica, dispozitiile art.19 fac trimitere la acte normative cu forta juridica inferioara legii, identificarea ICIN realizandu-se pe baza unei metodologii elaborate de Serviciul Roman de Informatii si de Ministerul pentru Societatea Informationala, in baza unei proceduri neprevazute de lege, netransparente, si deci, susceptibila dea fi calificata arbitrara. Prin urmare, Curtea a retinut ca atat criteriile in functie de care se realizeaza selectia infrastructurilor cibernetice de Interes national, cat si modalitatea prin care se stabilesc acestea trebuie prevazute de lege, iar actul normativ de reglementare primara trebuie sa contina o lista cat mai completa a domeniilor in care sunt incidente prevederile legale”.
Avand in vedere cele anterior expuse, apreciem ca cele retinute de Curtea Constitutionala in Decizia nr.17 din 21 ianuarie 2015, precitata, sunt aplicabile mutatis mutandis si in ceea ce priveste cauza dedusa in prezent controlului de constitutionalitate.
Astfel cum s-a demonstrat la pct.I, prevederile art.3 alin.(1) lit.c) teza finala din Legea privind securitatea si apararea cibernetica a Romaniei precum si pentru modificarea si completarea unor acte normative, prin care se reglementeaza una dintre categoriile destinatarilor actului normativ criticat nu respecta cerintele de previzibilitate, certitudine si transparenta. Or, in aceste conditii, reglementarea prin art.52 alin.(1) din actul criticat a competentei Guvernului de a stabili, printr-o legislatie infralegala – respectiv hotarari de Guvern – categoriile de persoane prevazute la art.3 alin.(1) lit.c) din acelasi act normativ incalca principiul constitutional al legalitatii, consacrat de art.1 alin.(5) din Constitutie.
In concluzie, apreciem ca dispozitiile art.52 alin.(1) din Legea privind securitatea si apararea cibernetica a Romaniei precum si pentru modificarea si completarea unor acte normativ incalca prevederile constitutionale cuprinse in art.1 alin.(5) care consacra principiul claritatii si previzibilitatii legii. (…)
De asemenea, potrivit art.29, persoanele prevazute la art.3 au obligatia sa elaboreze planuri proprii de actiune pentru fiecare tip de alerta cibernetica, potrivit metodologiei prevazuta la art.28 alin.(1) din actul normativ criticat, iar, la declararea starilor de alerta cibernetica, persoanele prevazute la art.3 pun in aplicare masurile din aceste planuri.
Totodata, persoanele prevazute la art.3 au obligatia de a asigura, pentru personalul propriu, formarea profesionala, educatia si instruirea in domeniul securitatii si apararii cibernetice prin cursuri, exercitii, conferinte, seminalii, precum si alte tipuri de activitati [potrivit art.37]. Dispozitiile art.41 dispun in sensul ca, persoanele prevazute la art.3 implementeaza procesele de management al riscurilor de securitate cibernetica specifice lantului de aprovizionare. Mai mult, art.42 prevede ca persoanele prevazute la art.3 desemneaza responsabili de securitate cibernetica, iar art.43 reglementeaza in sensul ca persoanele prevazute la art.3 dispun masurile necesare pentru organizarea de cursuri de instruire in domeniul managementului riscurilor de securitate cibernetica specifice lantului de aprovizionare, respectiv introducerea de teme noi in cadrul cursurilor si programelor de instruire existente.
Avand in vedere analiza realizata la pct.I din prezenta opinie separata, rezulta ca toate aceste obligatii incumba tuturor persoanelor prevazute de art.3 lit.c) teza finala, adica chiar si acelor forme de asociere care au chiar un singur angajat sau care isi desfasoara activitatea la o scara teritoriala care nu implica nicio relevanta in ceea ce priveste securitatea nationala/interesul national. In concret, referindu-ne la exemplul anterior dezvoltat, rezulta ca un medic veterinar care isi desfasoara activitatea independent, ca persoana fizica autorizata (singur, fara a avea alti angajati), in mediu rural (sat/comuna) si care detine un dispozitiv care asigura prelucrarea automata a datelor cu ajutorul unui program informatic (cu alte cuvinte, un calculator pe care este instalat un program informatic cu ajutorul caruia se tine evidenta cazurilor) are toate obligatiile prevazute de dispozitiile art.21 alin.(1), art.22, art.24, art.29, art.37 si art.41 din actul normativ criticat, in cazul nerespectarii acestora fiind pasibil de aplicarea unei amenzi contraventionale.
Or, Curtea a constatat anterior, prin Decizia nr.17 din 21 ianuarie 2015, precitata, paragraful 69, ca „obligatiile ce decurg din Legea securitatii cibernetice a Romaniei trebuie sa fie aplicabile in exclusivitate persoanelor juridice de drept public sau privat detinatoare sau care au in responsabilitate infrastructuri cibernetice de interes national (care includ, in baza legii, si administratiile publice), intrucat numai situatiile de pericol cu privire la o infrastructura de interes national pot avea implicatii asupra securitatii Romaniei, prin dimensiunea, dispersia si accesibilitatea unei astfel de infrastructuri, prin efectele economice, evaluate in functie de importanta pierderilor economice si/sau a degradarii produselor sau serviciilor, prin efectele asupra populatiei, evaluate in functie de impactul asupra increderii acesteia sau perturbarea vietii cotidiene, inclusiv prin pierderea unor servicii esentiale. Or, dispozitiile legale in forma supusa controlului de constitutionalitate prezinta un grad mare de generalitate, obligatiile vizand totalitatea detinatorilor de infrastructuri cibernetice, constand in sisteme informatice, aplicatii aferente, retele si servicii de comunicatii electronice, indiferent de importanta acestora care poata viza interesul national sau doar un interes de grup ori chiar particular. Pentru a evita impunerea unei sarcini disproportionate asupra micilor operatori, cerintele trebuie sa fie proportionale cu riscurile la care sunt expuse reteaua sau sistemul informatic in cauza si nu trebuie aplicat detinatorilor de infrastructuri cibernetice cu importanta nesemnificativa din punctul de vedere al interesului general. Prin urmare, riscurile vor trebui identificate la nivelul entitatilor care activeaza in domenii esentiale/vitale pentru buna desfasurare a serviciilor publice nationale, care vor decide ce masuri trebuie adoptate pentru a atenua riscurile respective”.
Apreciem ca cele statuate de catre Curtea Constitutionala in precedent sunt aplicabile mutatis mutandis si in prezenta cauza, in conditiile in care obligatiile impuse de actul normativ criticat se aplica tuturor persoanelor prevazute de art.3 lit.c) teza finala, indiferent de dimensiunea, dispersia si accesibilitatea retelei si sistemului informatic detinut, organizat, administrat sau utilizat de acestea.
Asa fiind, textele criticate impun sarcini disproportionate asupra micilor operatori, fara ca cerintele sa fie proportionale cu riscurile la care sunt expuse reteaua sau sistemul informatic in cauza fiind aplicate inclusiv acelor retele si sisteme informatice cu importanta nesemnificativa din punctul de vedere al interesului general.
Pentru motivele expuse mai sus apreciem ca dispozitiile art.21 alin.(1), art.22, art.24, art.29, art.37 si art.41 din actul normativ criticat incalca prevederile art.1 alin.(5) din Constitutie, intrucat nu respecta cerintele de previzibilitate, stabilitate si certitudine.
IV. In continuare, retinem ca autorii obiectiilor formuleaza critici de neconstitutionalitate si in ceea ce priveste completarea, prin actul normativ criticat, a art.3 din Legea nr.51/1991 privind securitatea nationala a Romaniei. Asa fiind, o prima critica de neconstitutionalitate se refera la introducerea, in cuprinsul articolului mentionat, a literei n), cu urmatorul continut: „amenintari cibernetice sau atacuri cibernetice asupra infrastructurilor informatice si de comunicatii de interes national”.
In acest context, observam ca in ceea ce priveste intelesul unor termeni si expresii legiuitorul primar a ales fie sa reglementeze acest inteles in chiar cuprinsul actului normativ criticat, fie sa adopte norme de trimitere la alte acte normative. (…)
Asa fiind, ratiunea reglementarii celor doua acte normative este diferit, Legea nr.163/2021 axandu-se pe adoptarea masurilor aplicabile autorizarii anumitor producatori a caror sfera de activitate se circumscrie actului normativ precitat, pe cand actul normativ criticat se axeaza pe organizarea si desfasurarea activitatilor din domeniile securitate si aparare cibernetica, mecanismele de cooperare si responsabilitatile institutiilor cu atributii in domeniile mentionate.
Astfel, intr-o interpretare comparativa, sistematica si teleologica, rezulta ca cele doua acte normative au finalitati diferite, care se reflecta si in modalitatea de interpretare si aplicare a prevederilor legilor amintite, inclusiv in ceea ce priveste intelesul termenilor si expresiilor utilizate.
Un alt argument in sensul celor anterior mentionate decurge tot din modalitatea diferita de reglementare si scopul diferit al celor doua acte normative anterior mentionate. Astfel, apreciem ca Legea nr.163/2021 nu poate fi calificata ca fiind dreptul comun in materia securitatii si apararii cibernetice a Romaniei pentru a putea fi aplicata chiar si in lipsa reglementarii exprese a unei dispozitii de trimitere.
In egala masura, raportul dintre cele doua reglementari – Legea nr.163/2021 si actul normativ criticat – nu poate fi calificat nici ca fiind unul de tip lege generala – lege speciala, situatie care ar determina aplicarea legii generale (Legea nr.163/2021) in cazul in care legea speciala (actul normativ criticat) nu reglementeaza un anumit aspect.
Asa fiind, in contextul in care expresiei infrastructura informatica si de comunicatii de interes national nu i se poate atribui intelesul stabilit prin Legea nr.163/2021, aceasta nebeneficiind nici la nivelul actului normativ criticat de o definitie legala astfel incat sa aiba un inteles specific sferei de reglementare a acestuia, rezulta ca intentia legiuitorului a fost de a-i atribui, in contextul reglementarii, intelesul ce rezulta din sensul comun al termenilor care o compun (a se vedea, mutatis mutandis, Decizia nr.315 din 9 iunie 2020, publicata in Monitorul Oficial al Romaniei, Partea I, nr.1130 din 24 noiembrie 2020) (…)
In ceea ce priveste expresia interes national, retinem ca aceasta nu este definita in legislatie, Curtea Constitutionala constatand ca legiuitorul constituant a utilizat-o, Legea fundamentala facand referire la acest concept in continutul prevederilor art.87 alin.(1), art.90, art.135 alin.(2) lit.b) si d), art.136 alin.(3). Curtea a constatat ca notiunea de „interes national” reprezinta el insusi un concept plurivalent, care nu comporta o definitie abstracta, ci se determina prin circumstantierea elementelor ce il compun. Curtea a constatat ca legiuitorul trebuie sa reglementeze cu atentie sfera elementelor a caror afectare determina existenta unei amenintari la adresa securitatii nationale. Acestea, in conditiile imposibilitatii definirii obiective, trebuie sa poata fi cel putin determinabile prin stabilirea concreta a elementelor componente. Pe de alta parte, Curtea a constatat ca notiunea de „securitate nationala” este indisolubil legata de elementele prevazute de art.3 din Legea nr.51/1991, sfera de cuprindere a acestei notiuni fiind determinata si de acestea. Or, Curtea a constatat ca sfera de cuprindere a notiunii de „interese ale tarii”, notiune echivalenta din punct de vedere semantic si cu aceeasi sfera de cuprindere ca si cea de „ interes national”, necesita ea insasi identificarea elementelor ce o compun (Decizia nr.802 din 6 decembrie 2018, publicata in Monitorul Oficial al Romaniei, Partea I, nr.218 din 20 martie 2019, paragrafele 72 si 73).
Cu alte cuvinte, utilizarea de catre legiuitor a notiunii de „interes national” determina in sarcina acestuia obligatia reglementarii elementelor la care cel chemat sa interpreteze si sa aplice legea trebuie sa se raporteze pentru a determina sfera de cuprindere a acestei notiuni.
Or, in ceea ce priveste dispozitia de lege criticata, pe de-o parte, astfel cum anterior s-a aratat, expresia infrastructura informatica se refera la toate infrastructurile informatice indiferent de marimea, relevanta sau detinatorul acestora, iar, pe de alta parte, legiuitorul nu a reglementat elementele necesare determinarii sferei de cuprindere a notiunii de interes national in materia analizata.
Mai mult, cum anterior s-a demonstrat, determinarea continutului unei astfel de notiuni nu poate fi realizata nici prin coroborarea anumitor dispozitii legislative. Astfel, continutul si limitele sintagmei „infrastructurilor informatice si de comunicatii de interes national” raman la libera apreciere a organului abilitat sa aplice legea, in/din aceasta categorie putand fi, astfel, introduse sau excluse elemente, care nu pot fi cunoscute de destinatarul normei. Caracterul larg al sintagmei criticate determina posibilitatea introducerii sau excluderii de elemente in/din aceasta categorie, actiune care se rasfrange si asupra limitelor de aplicare a dispozitiei de lege criticate. In acest mod, limitele de aplicare a dispozitiei de lege criticate nu mai pot fi cunoscute de destinatarii normei, care, astfel, nu isi pot corecta conduita si nu pot fi capabili sa prevada, intr-o masura rezonabila, consecintele care pot aparea dintr-un act determinat.
Asadar, apreciem ca dispozitiile criticate nu instituie reguli clare pentru a oferi destinatarilor normei o indicatie adecvata cu privire la circumstantele si conditiile care determina existenta unei amenintari la adresa securitatii nationale.
In concluzie, apreciem ca dispozitiile art.50 din Legea privind securitatea si apararea cibernetica a Romaniei precum si pentru modificarea si completarea unor acte normativ, cu referire la introducerea literei n) in articolul 3 din Legea nr.51/1991 privind securitatea nationala a Romaniei, incalca prevederile constitutionale cuprinse in art.1 alin.(5) care consacra principiul claritatii si previzibilitatii legii. (…)
In acest context, observam ca instanta de contencios constitutional a apreciat ca exista concepte pentru care oferirea unei definitii abstracte, atotcuprinzatoare este un deziderat imposibil de realizat. Aceasta deoarece, in functie de materia in legatura cu care acesta este analizat, elementele luate in considerare vor fi diferite (Decizia nr.551 din 13 iulie 2017, publicata in Monitorul Oficial al Romaniei, Partea I, nr.977 din 8 decembrie 2017, paragraful 28). Plecand de la aceste premise, Curtea a constatat ca in ceea ce priveste acestea concepte, dispozitiile Legii fundamnetale nu vor fi incalcate in masura in care, desi nu este oferita o definitie, sunt reglementate criterii exprese pe baza carora se poate determina elementele ce apartin/nu apartin acestora si, implicit, se poate stabili sfera de cuprindere a acestora (a se vedea mutatis mutandis Decizia nr.104 din 23 februarie 2021, publicata in Monitorul Oficial al Romaniei, Partea I, nr.583 din 9 iunie 2021, paragrafele 34 si 35).
Cu alte cuvinte, utilizarea de catre legiuitor a unor astfel de concepte naste in sarcina acestuia obligatia unei reglementari exprese si cat mai riguroase a criteriilor aplicabile in scopul determinarii sferei de cuprindere a notiunilor/expresiilor folosite.
Avand in vedere aceste aspecte, retinem ca in ceea ce priveste expresia „amenintarile de tip hibrid” legiuitorul nu a reglementat o definitie a acestui concept. Mai mult, nici in cuprinsul actului normativ criticat si nici in cel al Legii nr.51/1991, act normativ care se doreste a fi completat, nu sunt reglementate nici criterii exprese pe baza carora destinatarii normei sa poata determina acele elemente care capata caracteristicile unei amenintari de tip hibrid, neputandu-se determina nici limita de aplicare a dispozitiei de lege criticate. (…)
In concluzie, apreciem ca dispozitiile art.50 din Legea privind securitatea si apararea cibernetica a Romaniei precum si pentru modificarea si completarea unor acte normativ, cu referire la introducerea literei o) in articolul 3 din Legea nr.51/1991 privind securitatea nationala a Romaniei, incalca prevederile constitutionale cuprinse in art.1 alin.(5) care consacra principiul claritatii si previzibilitatii legii.
Avand in vedere aceste aspecte observam ca, potrivit art.13 lit.f) din Legea nr.51/1991, in situatiile prevazute la art.3 din acelasi act normativ, organele cu atributii in domeniul securitatii nationale pot, in conditiile legii privind organizarea si functionarea acestora, sa efectueze activitati specifice culegerii de informatii care presupun restrangerea exercitiului unor drepturi sau al unor libertati fundamentale ale omului desfasurate cu respectarea prevederilor legale, inclusiv interceptarea si inregistrarea comunicatiilor electronice, efectuate sub orice forma.
Or, avand in vedere aceste aspecte si caracterul intruziv al activitatilor specifice culegerii de informatii care presupun restrangerea exercitiului unor drepturi sau al unor libertati fundamentale ale omului, Curtea a constatat ca este obligatoriu ca acestea sa se realizeze intr-un cadru normativ clar, precis si previzibil, atat pentru persoana supusa acestei masuri, cat si pentru organele de urmarire penala si pentru instantele de judecata. in caz contrar, s-ar ajunge la posibilitatea incalcarii intr-un mod aleatoriu/abuziv a drepturilor fundamentale, esentiale intr-un stat de drept, privind viata intima, familiala si privata, precum si secretul corespondentei. Este indeobste admis ca drepturile prevazute la art.26 si art.28 din Constitutie nu sunt absolute, insa limitarea lor trebuie sa se faca cu respectarea dispozitiilor art.1 alin.(5) din Legea fundamentala, iar gradul de precizie a termenilor si notiunilor folosite trebuie sa fie unul ridicat, data fiind natura masurilor intruzive reglementate (a se vedea, in acelasi sens, Decizia nr.51 din 16 februarie 2016, precitata, paragraful 48).
In concluzie, apreciem ca instanta de contencios constitutional trebuia sa admita obiectiile de neconstitutionalitate si sa constate ca dispozitiile art.50 din Legea privind securitatea si apararea cibernetica a Romaniei precum si pentru modificarea si completarea unor acte normative sunt neconstitutionale.
Avand in vedere toate argumentele expuse, apreciem ca instanta de contencios constitutional trebuia sa admita obiectiile de neconstitutionalitate si sa constate ca dispozitiile art.3 lit.c) teza finala, art.21 alin.(1), art.22, art.24, art.29, art.37, art.41, art.50 si art.52 alin.(1) din Legea privind securitatea si apararea cibernetica a Romaniei precum si pentru modificarea si completarea unor acte normative sunt neconstitutionale.
JUDECATORI,
GHEORGHE STAN
ATTILA VARGA