Legea care permite interceptările abuzive ale comunicaţiilor pe Internet, aproape de aprobare

Senatorii din Comisia Juridică au eliminat, marți, din proiectul privind Codul Comunicațiilor (Legea comunicaţiilor electronice) referințele pe baza cărora serviciile secrete puteau citi conversațiile de pe aplicațiile de mesagerie, precum WhatsApp, Telegram sau Signal, însă Asociația pentru Tehnologie și Internet (ApTI) susține că au rămas prevederi generale care lărgesc interceptările. Proiectul vizează în continuare companiile care oferă găzduire pe serverele lor pentru site-urile din România. Legea urmează să intre la vot în plenul Senatului, care este cameră decizională.
Bogdan Manolea, jurist specializat în legislația internetului și director executiv al Asociației pentru Tehnologie și Internet (ApTI), acuză, pe site-ul organizației, că proiectul de lege păstrează ideea de „lărgirea interceptării comunicațiilor” și după ce a fost dezbătut și amendat în comisiile Camerei superioare.

„Din păcate, Comisiile Senatului au rezolvat doar jumătate din problema interceptărilor adăugată pe șest și descoperită de noi în Codul Comunicațiilor în decembrie 2021, păstrând toate obligațiile pentru o categorie de furnizori extrem de larg definită (furnizor de servicii de găzduire electronică cu resurse IP) – fără a oferi vreo justificare logică sau legală”, scrie Manolea pe site.
Inițial, articolul 10 (principalul contestat) din proiect obliga furnizorii de servicii de găzduire și pe cei care oferă comunicații interpersonale ce nu se bazează pe numere să sprijine „organele de aplicare a legii și organele cu atribuții în domeniul siguranței naționale”.

WhatsApp, Telegram sau Signal au „scăpat”

Comisia Juridică din Senat a scos din proiect referirea la serviciile de comunicații interpersonale, astfel că documentul nu se mai referă acum la aplicațiile de chat precum WhatsApp, Telegram sau Signal. Însă rămân prevederile referitoare la companiile care găzduiesc pe serverele lor alte site-uri, și, dacă va fi votată, legea va permite ca procurorii și serviciile secrete să ceară informații de la acestea, conform lui Manolea.
„Furnizorii de servicii de găzduire nu erau incluși deloc în Codul de Procedură Penală, adică nu li se putea cere interceptarea comunicațiilor, nici date de trafic și nici obligația creării de infrastructură, astfel încât serviciile și procurorii să poată să primească acces”, a declarat Bogdan Manolea, pentru Libertatea.

„Legea este un cec în alb” pentru servicii

Juristul detaliază ce fel de informații pot cere serviciile secrete de la găzduitorii de site-uri. Aceştia pot accesa cine a intrat pe un site și să dea IP-ul. SRI-ul se poate duce apoi la furnizorul de internet să ceară să i spună cine a avut IP-ul respectiv cu nume și prenume la data și ora respectivă. Apoi, dacă găzduitorii respectivi au și un serviciu de e-mail, atunci serviciile vor putea avea acces și la e-mail. Bogdan Manolea: Acesta susține că unele prevederi intră în contradicție cu GDPR, regulamentul european privind protecția datelor, care spune că societățile nu trebuie să stocheze date care nu sunt necesare despre clienții lor și impune reținerea lor doar pe perioadă determinată.

„Dar poate vine SRI să spună că sunt necesare. Legea este un cec în alb”, acuză Bogdan Manolea.

Furnizorii români nu vor mai putea asigura confidenţialitatea

Directorul asociației spune că vor exista consecințe directe pentru români: furnizorii români de servicii de găzduire nu vor putea asigura confidențialitatea datelor; utilizatorii români de internet sunt sfătuiți de Manolea să nu folosească servicii de găzduire de la companii românești, dacă vor un minim de confidențialitate. Manolea mai spune că serviciile de găzduire trebuie să notifice la ANCOM – autoritatea de telecomunicații din România – datele lor și tipul de serviciu prestat. Acesta precizează însă că obligația în cauză contravine principiilor europene și încalcă un articol din legea 365/2002 privind comerțul electronic, care spune că „furnizarea de servicii ale societății informaționale de către persoanele fizice sau juridice nu este supusă niciunei autorizări prealabile”.

Gmail şi Facebook Messenger, în pericol

Mai mult, Manolea acuză și că termenii sunt definiți extrem de lax. Proiectul de lege definește un furnizor de găzduire electronică cu resurse IP drept „persoană care, pe teritoriul României, oferă servicii de stocare, distribuire a conţinutului şi asigurare a accesului la acesta, pe servere deţinute sau închiriate, prin gestionarea unui set de adrese IP în internet”. Directorul ApTI spune că astfel legea românească este atât de generală că se va putea aplica și unor companii din afara țării. El arată pe site o serie de exemple extreme de companii care ar fi obligate de lege să ajute serviciile secrete române: companii precum Facebook sau Google sau companii care găzduiesc site-uri în Moldova sau Tuvalu, dar care sunt accesibile din România serviciile care găzduiesc clienți din România, indiferent de jurisdicția acestora, precum companiile americane GoDaddy, DigitalOcean sau cea românească GTS servicii de cloud computing precum Amazon Web Services, Microsoft Azure cu Google Cloud companii care oferă servicii de facilitare a accesului la conținut pe internet prin rețelele lor, așa cum sunt societățile americane Cloudflare sau Akamai.
În practică, Manolea spune că obligațiile introduse la articolul 10 din proiect se traduc prin: obligarea Google ca serviciile secrete române să aibă acces la infrastructura sa pentru a avea acces la Gmail obligarea Facebook, care e găzduitor cu propriile adrese IP, să ofere acces la chatul din Facebook Messenger, obligarea GTS, companie românească ce oferă servicii de găzduire, să faciliteze accesul la datele site-urilor de pe serverele sale. El se așteaptă însă ca societățile străine să se opună prevederilor, pe care el le consideră drept „intruzive”.
În final, Manolea scrie pe site că textul de lege nu respectă dispozițiile Curții Constituționale, deoarece proiectul lărgește sfera de aplicare și nu reglementează garanții suficiente pentru persoanele ale căror date au fost păstrate.

Petiţie online pentru eliminarea articolului

În proiectul de lege (prima versiune fiind a Guvernului Dăncilă, în 2019) care urmează să transpună în legislație Codul european al comunicațiilor – o directivă europeană, a fost inserat „pe şest” acest articol legat de securitatea națională. Articolul 10 a apărut în proiectul de lege adoptat de către Guvernul Cîțu și trimis în Parlament cu trei zile înainte de a fi demis. Proiectul a fost adoptat, fără modificări, de către Camera Deputaților în data de 7 decembrie 2021, cu 256 de voturi pentru, 34 de voturi împotrivă și 7 abțineri. Proiectul se află acum la Senat, care este cameră decizională.

De aceea, Comunitatea Declic a iniţiat o petiţie online, parte a unei întregi campanii denumite Fără interceptări abuzive ale comunicaţiilor online, prin care cere scoaterea din proiectul de lege a controversatului articol 10. Până acum s-au strâns peste 15.500 de semnături, ţinta fiind 20.000.

Ce prevede articolul 10:

„(1) Furnizorii de servicii de găzduire electronică cu resurse IP şi furnizorii de servicii de comunicaţii interpersonale care nu se bazează pe numere au obligaţia să sprijine organele de aplicare a legii şi organele cu atribuţii în domeniul securităţii naţionale, în limitele competenţelor acestora, pentru punerea în executare a metodelor de supraveghere tehnică ori a actelor de autorizare dispuse în conformitate cu dispoziţiile Legii nr. 135/2010 privind Codul de procedură penală, cu modificările şi completările ulterioare, şi ale Legii nr. 51/1991 privind securitatea naţională, republicată, cu modificările şi completările ulterioare, respectiv:

a) să permită interceptarea legală a comunicaţiilor, inclusiv să suporte costurile aferente;
b) să acorde accesul la conţinutul comunicaţiilor criptate tranzitate în reţelele proprii;
c) să furnizeze informaţiile reţinute sau stocate referitoare la date de trafic, date de identificare a abonaţilor sau clienţilor, modalităţi de plată şi istoricul accesărilor cu momentele de timp aferente;
d) să permită, în cazul furnizorilor de servicii de găzduire electronică cu resurse IP, accesul la propriile sisteme informatice, în vederea copierii sau extragerii datelor existente.

(2) Obligaţiile prevăzute la alin. (1) lit. a) – c) se aplică în mod corespunzător şi furnizorilor de reţele sau servicii de comunicaţii electronice.”

Sursa foto: Declic.ro