Sursa foto: Pixabay
Asociația pentru Tehnologie și Internet (Apti)critică proiectul ordonanței de urgență care reglementează guvernanța Cloud-ului Guvernamental, care urmează să fie adoptat în curând de Guvern. Asociația anunță că a trimis poziția sa în scris către Ministerul Cercetării, Inovării și Digitalizării, respectiv către Autoritatea pentru digitalizarea României. Poziția este formulată în urma consultării cu membrii comunității asociației pentru tehnologie și internet.
Economedia a scris deja despre controversele din jurul acestui proiect de ordonanță de urgență, AICI.
Redăm mai jos punctul de vedere al Asociației pentru Tehnologie și Internet:
Recomandări Video
Articolul continuă mai jos
Asociația este de părere că propunerea de OUG prevede în art. 6 (1) că SRI va „asigura securitatea cibernetică a Cloud-ului Guvernamental prin cunoașterea, prevenirea și contracararea atacurilor cibernetice, inclusiv a celor complexe, de tip APT”.
„Mai mult proiectul de ordonanță de urgență menționează în art. 9 că SRI va avea un rol de operator asociat, împreună cu celelalte instituții, deci va fi supus obligațiilor din GDPR (Regulamentul 679/2016), pentru că activitățile din proiect nu intră în domeniul exceptat de GDPR. Subliniem că protecția împotriva amenințărilor de tip APT nu se poate realiza printr-o singură soluție software și hardware, ci prin mai multe (protecția APT presupune integrarea de soluții cum ar fi sandbox, CASB, EDR, threat intelligence, forensic, analytics etc.). Rezultă că pentru a asigura protecția împotriva APT, SRI va gestiona toate echipamentele și aplicațiile de securitate, inclusiv cu acces la întreg traficul de la sau spre Cloud”, a scris asociația.
Conform art. 2 din Legea nr. 14/1992, obligația legală unică a SRI este de a desfășura „activități pentru culegerea, verificarea și valorificarea informațiilor (…)”.
Potrivit Asociației pentru Tehnologie și Internet, SRI nu poate garanta nici respectarea principiilor prelucrării datelor personale (în special folosirea datelor exclusiv în scopul furnizării serviciilor din cloud) și nici îndeplinirea obligației de securitate a datelor (nici ca operator, nici ca împuternicit), pentru că obligația sa legală din Legea nr. 14/1992 este contrară celor din Regulamentul UE 679/2016 GDPR (în special articolele 5, 6 și 32).
De altfel și jurisprudența Curții Constituționale a României este constantă în acest domeniu, chiar anterior intrării în vigoare a GDPR, o argumentație similară fiind inclusă în Decizia nr. 17/2015 a CCR cu privire la altă structură din cadrul SRI care ar fi trebuit să joace un rol similar cu cel pe care SRI urmează să îl joace acum în implementarea Cloud-ului guvernamental:
“Or, în condiţiile în care Centrul Naţional de Securitate Cibernetică constituie o structură militară, în cadrul unui serviciu de informaţii, subordonată ierarhic conducerii acestei instituţii, deci sub un control direct militar-administrativ, apare cu evidenţă că o atare entitate nu îndeplineşte condiţiile cu privire la garanţiile necesare respectării drepturilor fundamentale referitoare la viaţă intimă, familială şi privată şi la secretul corespondenţei.”
În mod normal, această atribuție de a asigura securitatea sistemului ar putea sa fie asigurată de DNSC – „Principala responsabilitate a DNSC este asigurarea securității cibernetice a spațiului cibernetic național civil” (art. 3 alin. 1 OUG 104/2021). Din păcate, DNSC are, conform art. 5 litera (b), funcția de autoritate competentă la nivel național de reglementare, supraveghere și control și asigură reglementarea și gestionarea securității cibernetice a României și a spațiului cibernetic național civil, iar conform punctului 5 de la același articol îndeplinește atribuțiile de autoritate națională pentru furnizorii (…) de servicii tip cloud. Deci DNSC nu poate să aibă un rol de control și de controlat în același timp.
În acest context singura variantă legală instituțional ar fi păstrarea atribuțiilor de securitate informatică a Cloud-ului la STS, iar dacă acesta are nevoie de un ajutor specializat, el ar putea să achiziționeze serviciile de securitate informatică din sectorul privat, de la orice auditor sau laborator acreditat de către DNSC (furnizor care va avea rolul de persoană împuternicită în contextul prelucrării datelor personale).
„O lege nu trebuie să interzică anumite soft-uri doar pentru că au o licență liberă”
Potrivit Asociației pentru Tehnologie și Internet, art. 10 alin. (2) și (3) prevede faptul că „softul aferent migrării” în Cloud „sunt” proprietate publică a statului, la fel ca și „componentele aferente securității cibernetice” (presupunem că este vorba despre hardware și software).
Aceștia spun că textul pare a face confuzie între proprietatea asupra bunurilor fizice, unde există conceptul de proprietate publică a statului, și drepturile de proprietate intelectuală, unde contează titularul acestor drepturi, iar conceptul de proprietate publică nu are niciun sens.
„Chiar și condițiile în care textul ar vrea să promoveze ideea că titularul drepturilor de proprietate intelectuală asupra acestor programe de calculator trebuie să fie ADR, trebuie sa subliniem că în practică o să fie aproape imposibil acest lucru (sau o să fie posibil la niște costuri imense și inutile), în condițiile în care – având în vedere și tipurile diferite de sisteme care vor trebui migrate – aceste programe de calculator există sub diverse tipologii de licențe – comerciale, libere, ca serviciu (SaaS) sau poate chiar titularul drepturilor de proprietatea intelectuală este altă instituție publică (de ex. Ministerul Finanțelor sau STS sau chiar Guvernul României)”, scrie asociația.
„Proiectul trebuie promovat ca o lege, nu ca un OUG”
În ciuda unor declarații generice, nu este absolut nimic în preambulul sau în expunerea de motive a Ordonanței de Urgență care să justifice o situație extraordinară, a cărei reglementare nu poate fi amânată şi care impune adoptarea de măsuri imediate pe calea ordonanţei de urgenţă.
Proiectul Cloud-ului guvernamental există în spațiul public în diverse formate și idei de cel puțin 10 ani, iar inacțiunea guvernelor în acest domeniu nu reprezintă o justificare în acest sens. Nici măcar termenele din PNRR, care au fost asumate de către România în mod voluntar, fără a preciza că vreunul din actele normative adoptate ar trebuie să fie trecut printr-o procedură de urgență și evitând procesul democratic normal, nu justifică adoptarea acestui act normativ fără contribuția Parlamentului și fără o dezbatere largă a acestui proiect.
Mai mult, proiectul reglementează inclusiv aspecte legate de prelucrarea datelor personale în Cloud-ul Guvernamental și implicarea serviciilor secrete în acest proces, aspecte care pot aduce atingere dreptului la viața privată, ca drept fundamental precizat de Constituția României.
Conform art. 115 (6) din Constituție, „ordonanțele de urgență nu pot fi adoptate în domeniul legilor constituționale, nu pot afecta regimul instituțiilor fundamentale ale statului, drepturile, libertățile și îndatoririle prevăzute de Constituție, drepturile electorale și nu pot viza măsuri de trecere silită a unor bunuri în proprietate publică.”
Ne facem datoria de vă atrage atenția, la fel ca și în trecut, că a continua cu aceasta practică va duce la declararea neconstituționalității acestui OUG strict pe motive formale – deci practic și noi și dvs. o sa pierdem timp prețios în implementarea acestui proiect, în loc să beneficiem de un proces transparent, previzibil și deschis de consultare publică pentru a găsi cea mai bună variantă de act normativ pentru societatea românească.
Asociaţia pentru Tehnologie și Internet (ApTI) este o organizaţie neguvernamentală care acționează pentru protecția drepturilor civile digitale prin garantarea unui mediu digital liber și deschis.