Bune şi rele în proiectul de lege pentru păstrarea datelor de trafic
Articol scris pentru Marketwatch si publicat in numarul din mai 2007. Cum nu am vazut ca proiectul sa fi fost deja adoptat de guvern, cine stie - poate textul asta le mai da unora idei bune. O parte din idei le-am sustinut deja prin pozitia APTI, insa unele aspecte pozitive nu au fost foarte clar reliefate si e important de facut si acest lucru. Din pacate, dupa acea masa rotunda nu se mai aude nimic de la MCTI cu proiectul. Tocmai cind se laudau ca va fi adoptat pina in Sept 2007.
Iata si articolul original :
Ministerul Comunicaţiilor şi Tehnologiei Informaţiei (MCTI) a prezentat în cursul lunii aprilie un prim proiect de implementare a directivei europene cu privire la pastrarea datelor de trafic informaţional. Cum am mai scris despre acest proiect in revista Marketwatch, credem ca este util să facem şi o analiză succintă a proiectului propus de MCTI, cu observaţia că este posibil ca proiectul să fie modificat la ora apartiţiei acestui articol, în funcţie şi de comentariile primite în perioada de consultare publică ce s-a încheiat pe data de 10 Mai.
Ce apreciem la proiectul propus
1.Proiectul încearcă sa pună în balanţă interesul autorităţilor de acces la datele de trafic cu dreptul la viaţă privată, ca unul din drepturile omului şi să creeze un echilibru necesar. Aceasta este atitudinea corectă şi ne bucurăm ca instituţiile statului au înţeles acest fapt esenţial.
2.Textul propus este fără echivoc în ceea ce priveşte stabilirea obligaţiilor numai în ceea ce priveşte datele de trafic, excluzând în mod expres conţinutul comunicaţiilor de la scopul acestui act. Mai mult, textul propune şi incriminarea ca infracţiune a pastrării conţinutului comunicaţiilor de către furnizorii de comunicaţii electronice, dar şi accesul fără autorizarea legală la datele de trafic stocate de către aceştia. Considerăm benefică aceasta abordare, care poate să aducă reguli precise cu privire la rolul intermediarilor comunicaţiilor.
3.În ceea ce priveşti subiecţii obligaţiilor de stocare a datelor de trafic, proiectul este clar încă din titlu care se referă la “furnizorii de servicii de comunicaţii electronice destinate publicului sau de reţele publice de comunicaţii„. Practic aceasta înseamnă că obligaţia revine doar operatorilor de telefonie fixă, mobilă şi furnizorilor de acces la Internet care au servicii publice şi deci nu furnizează exclusiv pentru nevoi proprii aceste servicii de comunicaţii ( am fi preferat totuşi pentru coerenţa legislativa folosirea aceleiaşi terminologii ca în Ordonanţa de Urgenţă 79/2002 art.4 alin 7 ). Practic daca eşti un furnizor de comunicaţii electronice care ai notificat la ANRCTI, iti revine şi aceasta obligaţie. Prin stabilirea exactă a subiecţilor textul exclude de la aceasta obligaţie alţi furnizori de servicii online, cum ar fi serviciile de gazduire, e-mail gratuit sau administratori de pagini web, forumuri ori alte mijloace de comunicare pe Internet. Este foarte bine ca s-a stabilit clar aceasta distincţie şi s-a pastrat scopul directivei europene.
4.Putem nota într-o notă pozitivă şi de asemenea şi explicitarea faptul că aceste date pot fi folosite doar pentru anumite infracţiuni, numite grave în text, şi care sunt precizate explicit : infracţiunile prevăzute în art. 2, lit. b) din Legea nr. 39 din 21 ianuarie 2003 privind prevenirea şi combaterea criminalităţii organizate şi cele prevăzute în Capitolul IV din Legea nr. 535/2004 privind prevenirea şi combaterea terorismului. Această definiţie tranşează o serie de discuţii din Parlamentul European privind proiectul directivei şi categoria infracţiunilor pentru care accesul la datele de trafic este permis.
5.Susţinem şi stabilirea precisă a actelor de procedură penală necesare pentru accesul la aceste date de trafic (vezi Capitolul III) de către procurori şi impunerea unui control judecătoresc în vederea obţinerii autorizaţiei de acces. În acelaşi timp considerăm că, ar fi bine dacă dispoziţiile respective ar putea fi corelate şi cumulate cu normele procesuale referitoare la criminalitatea informatică într-un act normativ unitar.
6.O altă dispoziţie care trebuie aplaudată este stipularea expresă a obligaţiei de distrugere „prin proceduri automatizate, ireversibil” a datelor reţinute, după perioada de 12 luni. Aceasta este implementarea principiului deja exprimat în art. 5 din legea 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice
Ce criticăm la proiectul propus
1.Modalitatea de transpunere a directivei în legislaţia internă o reprezintă un nou proiect de lege dedicat acestui subiect, dar şi traducerea, în mare parte, a directivei (vezi în acest sens şi tabelul comparativ propus de MCTI). Deşi aceasta metodă este fără îndoiala cea mai uşoară din punct de vedere al legiuitorului, totuşi ea este criticabilă din mai multe motive.
În primul rând implementarea unei directive trebuie să ţină seama de specificitatea legislaţiei naţionale în domeniul respectiv. Cum păstrarea datelor de trafic este legată atât de domeniul comunicaţiilor electronice (OUG 79/2002), cel al protectiei datelor cu caracter personal în domeniul comunicaţiilor electronice (Legea 506/2004) , dar şi de cel procesual penal prevăzut deja de legislaţia privind criminalitatea informatică ( Legea 161/2003 - Titlul III), considerăm că ar fi de discutat dacă nu ar fi fost corectă completarea unuia din aceste acte.
În al doilea rând preluarea cuvânt cu cuvânt a dispoziţiilor ne plasează în aceleaşi poziţie de care, sinceri sa fim, deja ne-am plictisit în adoptarea acquis-ului comunitar. Nu trebuie sa preluam o directiva fara comentarii, daca credem ca ea nu este in regula avind in vedere legislatia nationala. Directiva privind pastrarea datelor de trafic deja este puternic contestata de alte state ca Irlanda sau Slovenia care au atacat-o la Curtea Europeană de Justiţie, sau în Germania unde este atacată ca fiind neconstituţională.
În al treilea rând existenţa unui act normativ pentru fiecare segment cu modificarea expresă sau tacită a altor acte normative existente creează probleme serioase practicienilor în identificarea actului normativ aplicabil şi a ţinerii pasului cu modificarile legislaţiei, care devine din ce în ce mai stufoasă.
2. Continuând ideea de la punctul precedent, se observă o serie întregă de necorelări ale actului normativ cu alte acte deja existente în special 161/2003 (dispoziţiile privind criminalitatea informatică ) , Ordonanţa de Urgenţă nr. 43/2002 privind Departamentul Naţional Anticorupţie sau, deja respinsa Ordonanţa de Urgenţă nr. 131/2006 referitoare la DIICOT. In cazul ultimelor 2 acte normative au existat aprige dezbateri referitoare tocmai la termenul de acces la anumite date informatice, care erau in fapt date de trafic (dupa cum a rezultat din explicatiile date). Mai mult, aceleasi date de trafic care fac obiectul principal al prezentului act normativ au fost deja definite in legea 161/2003 prin date referitoare la traficul informational – art 35. alin 1 lit f. Dar aceastea nu sunt luate in considerare în prezentul act, ceea ce va duce iaraşi la încercări de interpretare a juriştilor astfel încât să avem un cadru normativ coerent.
3. Daca am apreciat claritatea textului propus cu privire la situaţiile în care procurorii pot avea acces la datele de trafic, suntem extrem de neplacut suprinşi cu privire la textul vag şi interpretabil al articolului 16 cu privire la situaţiile în care organele de securitate pot avea acces la datele de trafic stocate :
În cazul existenţei unei ameninţări la adresa securităţii naţionale solicitarea datelor prevăzute la art.3 se va face în condiţiile şi de către organele abilitate prin legile care reglementează activitatea de realizare a securităţii naţionale.
Credem ca este nevoie de o rescriere urgentă într-un limbaj fără echivoc a prezentului articol, altfel având de a face cu un arbitrariu ce ar strica echilibrul pe care îl evocam la începutul articolului.
4.Autoritatea care este recomandată de directiva europeană pentru a avea responsabilităţi cu privire la supravegherea modului cum se face implementarea la nivel naţional este cea pentru protecţia datelor cu caracter personal (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal - ANSPDCP în Romania). Acest lucru este prevăzut clar în art. 17 unde ANSPDCP este numită autoritatea competentă să monitorizeze aplicarea prevederilor prezentei legi. În aceste condiţii este de neînţeles motivaţia acordării unor atrbuţii ANRCTI, care ar privi doar colectarea de date statistice şi trimiterea lor la UE (vezi art.11). În orice caz nu se pot raporta date privind cazurile în care s-a avut acces la aceste date , ci doar numărul lor, în caz contrar având de a face cu o ingerinţă în actul de justiţie.
În orice caz singura autoritate care ar trebui să aibe competenţe în supravegherea acestui domeniu este ANSPDCP, unde ar trebui probabil explicitat atribuţii conform legii de funcţionare. (Legea 102/2005)
5.Termenul de 12 luni propus în actul normativnu este justificat prin nici un raport care să indice acest termen ca fiind cel util în cazul unei investigaţii judiciare. În condiţiile în care se recunoaşte ca prin acest act normativ se aduce atingere unui drept al omului (cel referitor la respectarea vieţii private), credem că este necesar ca acest lucru să se facă la nivelul minim posibil. Având in vedere şi costurile serioase pentru furnizorii de comunicaţii electronice de implementare a acestui act normativ, considerăm că termenul minim de 6 luni prevăzut în directivă este mi adecvat situaţiei României.
Acestea ar putea fi principalele idei de dezbătut cu privire la actualul act normativ propus. Mai sunt posibile şi alte modificări minore ale textului care să rezulte într-o lege cât mai uşor de implementat. Aşteptăm cu interes şi alte discuţii pe tema acestui act normativ, inclusiv în perioada dezbaterilor legislative din Parlamentul României. Şi chiar daca termenul din directivă de aplicare in legislaţia naţională - 15 Septembrie 2007 va fi depăşit - nu poate fi vreo problemă atâta vreme cât România a intrat în UE abia la 1 Ianuarie 2007 şi este în plin proces legislativ pe acest subiect. Mai importantă este realizarea unui text corect şi care să nu creeze confuzie sau probleme pe piaţă.
3 comments
Comment from: sarah
Comment from: bogdan
Daca nu se adopta actul prin OUG, data intrarii in vigoare poate sa fie doar estimata grosso-modo…
E ciudat sa se faca normel de aplicare cind nu se cunoaste textul legii.. Si nu ar trebui autoriteate acre aplica legea - ANSPDCP sa lucreze la ele ? Sau e secret, pentru ca se luc reaza pentru noi ;-D
Comment from: sarah
pai, bogdan, eu zic ca nu vor adopta prin OUG.tocmai de aceea dureaza atat.din cate am vazut la consultarea publica au spus ca la norme vor lucra toti ca se au ca fratii :))
auzisem un zvon cum ca s-ar lucra deja la normele de aplicare.in plus la intalnirea cu mcti pentru incheierea consultarii publice au spus ca se asteapta ca ea (legea) sa intre in vigoare prin ianuarie 2008.deci mai avem de asteptat!