Atenție - text foarte lung !
Stimate domnule ministru,
Cu deosebit respect, în baza Legii 52/2003, vă
rog să primiți mai jos observațiile și sugestiile mele cu privire la proiectul
pus în dezbatere publică de către MCSI sub titlul: ” Cadrului naţional de
referinţă pentru realizarea interoperabilității în domeniul tehnologiei
informației şi comunicațiilor”. Pentru claritate voi insera principalele puncte
de interes apoi voi reveni cu susținerea acestora.
Pe scurt:
1. Există posibilitatea
unor erori de tehnică legislativă – inclusiv inițierea ca Lege și nu HG.
2. Sunt necesare dar
omise referiri /modificări ale altor legi și hotărâri de guvern.
3. Zona de protecție a
datelor personale nu este aliniată cu prevederile Reg. UE 2016/679 (GDPR).
4. Există suspiciunea
unor vicii de constituționalitate cu privire la claritate, protecția vieții
private și caracterul general al reglementării.
5. Copierea prevederilor
de natură salarială din L99/2018 cu privire la înființarea Centrului Național
pentru Informații Financiare este incompletă, denaturând sensul acesteia și
făcând improbabilă avizarea de către MFP cu repercusiuni directe asupra
aplicabilității acestui proiect.
6. Ideile acestui
proiect prezintă o asemănare izbitoare cu unele dintre prevederile OUG 73 /
2007 privind organizarea şi funcționarea Agenției pentru Serviciile Societății
Informaționale ASSI – o analiză comparativă istorică este necesară și
edificatoare
Pe larg, observații și sugestii cu argumentele aferente:
Tehnică legislativă
Lege sau HG ? : Pentru a evita interpretarea prevederilor
proiectului de lege subliniez din Expunerea de Motive : „Legea este complementara cu Hotărârea
nr. 908/2017 pentru aprobarea Cadrului Naţional de interoperabilitate”
(pag2 - 2.Schimbări preconizate) precum și „Legea aduce clarificări privind
funcțiile de reglementare, monitorizare, control şi evaluare a realizării
politicilor din domeniul interoperabilității precum şi integrarea Comitetului
Tehnico-Economic pentru Societatea Informaţională in noul context legislativ.”
(Pag 4). Nefiind specialist în acest domeniu mă limitez a argumenta că o Lege
nu poate fi complementară unui HG (implică același nivel) și nici nu poate
aduce clarificări unui HG (implică un nivel de reglementare inferior acestuia).
Sugestie: Analiza prevederilor proiectului, în special
caracterul său non-obligatoriu pentru administrația locală, sugerează
oportunitatea unui adoptări sub forma unei Hotărâri de Guvern emise în baza
L161/2003 cu beneficii certe în privința duratei procesului de adoptare și
flexibilității ulterioare.
Lipsa definirii ”datelor autentice”: Conceptul apare în
proiect la
Art.10 (2) Este interzisă stabilirea de registre
publice pentru datele care sunt deja colectate ca date autentice în
registrele de bază, caz în care este obligatorie preluarea acestora din
registrele de bază existente.
Cea mai apropiată definiție din proiect:
Art.3 j) registru autentic - registru care
conţine date colectate în mod direct sau date generate în cadrul instituţiei
care administrează registrul, dar nu şi date preluate din alte registre
nu rezolvă această problemă și ar trebui să țină
seama de NCPCV Art 287 Datele din înscrisurile autentice sau sub semnătură
privată redate pe microfilme şi alte suporturi accesibile de prelucrare
electronică a datelor, făcute cu respectarea dispoziţiilor legale, au aceeaşi
putere doveditoare ca şi înscrisurile în baza cărora au fost redate.
Observăm deci că valoarea legală a registrului
derivă direct din valoarea datelor conținute. Folosirea cuvântului ”autentic”
este discutabilă întrucât în NCV art. 269 se prevede că ” (2) Este, de asemenea, autentic orice
alt înscris emis de către o autoritate publică şi căruia legea îi conferă acest
caracter.” așadar nu există un beneficiu
in reinventarea acestui termen.
Menționez că în
data de 21 Aug 2017 a avut loc o discuție organizată de SGG cu participarea
unui număr de instituții publice inclusive MCSI prin dl G.Sârbu și AADR prin dl
L.Stoica în care s-a abordat și cadrul legal necesar funcționării unui HUB de
date. Opinia general a fost că este optimă
bazarea funcționării acestuia pe legislație generală – referiri la NCV
și NCPCV ( Art.277 - Valoarea prezumată; Art. 282 - Bază pentru autorizarea copiei digitale, Baza pentru
migrarea datelor; Art.283 - Hash și
log sunt suficiente, nu e nevoie de semnătură electronica) astfel asigurându-se
o adopție mai ușoară și rapidă a sistemului.
Sugestie: modificarea
definițiilor după cum urmează:
Registru autentic – registru electronic care
conține date autentice
Date autentice – date create de o instituție
publică în baza atribuțiilor instituționale în conformitate cu Art. 269 (2) Cod
Civil.
Referirea unor HG-uri : Referirea HG
941/2013 în cuprinsul Art.6:
b)funcţia MCSI de monitorizare, control şi
evaluare a realizării politicilor în domeniul interoperabilităţii se realizează
inclusiv prin avizarea proiectelelor de informatizare ale instituţiilor publice
prin Comitetul Tehnico-Economic pentru Societatea Informaţională, organism
al MCSI, înfiinţat prin Hotărârea Guvernului nr. 941/2013 privind
organizarea şi funcţionarea Comitetului Tehnico-Economic pentru Societatea
Informaţională
este departe de a fi o bună practică întrucât
creează un conflict cu dreptul Guvernului de a emite/anula HG-uri. Dacă HG 941
ar fi anulat de Guvern ar însemna că acesta afectează această Lege dar și
imposibilitatea renunțării la un HG afectează atributele Guvernului. Există
exemplul concret al L161/2003 care conține prevederi cu privire la HG 271/2001:
Articolul 19 (1) Grupul de Promovare a
Tehnologiei Informatiei în România, înfiinţat prin Hotărârea Guvernului nr.
271/2001, aproba proiectele din domeniul guvernarii electronice, propune
Guvernului alocarea fondurilor necesare prin bugetele anuale ale autorităţilor
administraţiei publice şi supervizeaza implementarea serviciilor publice prin
procedura electronică, ţinând cont de: ....
Astăzi acest grup de lucru nu mai există, HG
271/2001 a fost abrogată prin HG 13/2009 fără însă a se putea specifica și o
înlocuire în textul legii 161 care a rămas astfel cu prevederi inaplicabile.
O altă problemă a acestui articol este definirea
greșită a CTE ca fiind ”organism al MCSI” cât timp în conformitate cu HG
941/2013 Art.1 (1) ” În scopul
elaborării politicii Guvernului în domeniul societăţii informaţionale şi
monitorizării implementării acesteia, precum şi al corelării cu politicile
europene, Ministerul pentru Societatea Informaţională este asistat de
Comitetul Tehnico-Economic pentru Societatea Informaţională, organism fără
personalitate juridică, denumit în continuare Comitetul Tehnico-Economic.”
Sugestie: eliminarea
Art.6 b) din proiect.
Deficiențe în definirea CNRTIC : Art.5 (1)
definește CNRTIC ca fiind ” un set de norme prin care se reglementează” - nu se specifică niciunde în proiect însă
modalitatea de emitere a acestor norme, spre exemplu prin HG. Observăm că Art.4
– colecția de principii – nu poate reprezenta aceste norme fiind formulate fără
aplicabilitate directă.
Prevederea ”Art.5 (2) CNRTIC stabileşte
arhitectura TIC comună tuturor instituţiilor şi autorităţilor publice
” implică atât autoritățile centrale cât și locale producând un conflict
juridic cu prevederile:
HG 21/2017[1] ART.
4 (1) Secretariatul General al Guvernului, printr-un secretar de stat desemnat,
coordoneaza domeniul tehnologiei informatiei la nivelul intregii administratii
publice centrale. In acest sens, secretarul de stat desemnat are urmatoarele
atributii:
….
c) definirea arhitecturii de sistem in
domeniul tehnologiei informatiei la nivelul administratiei publice centrale si
implementarea cadrului national de interoperabilitate;
Prevederea Art. 6. Relaţia CNRTIC cu documente
de politici publice
(1)Prin CNRTIC se reglementează modul de
gestionare al resurselor TIC ale administraţiei publice la nivelul fiecărei
instituţii şi autorităţi publice, conform strategiei naţionale din domeniul
tehnologiei informaţiei elaborate de Ministerul Comunicaţiilor şi Societăţii
Informaţionale, denumit în continuare MCSI, precum şi a strategiilor sectoriale
sau politicilor publice elaborate de minister, în concordanţă cu
aceasta.
Ridică mai multe probleme:
1. Implică un atribut de
reglementare directă pentru documentele de tip politică publică (strategii,
memorandumuri, planuri de măsuri etc.)
2. Nu specifică pentru
strategiile sectoriale despre care minister se face vorbire. Este vorba de MCSI
sau de ministerul aferent sectorului respectiv ? Dacă este vorba de MCSI se
elimină prin acest proiect atributul unui minister de a-și stabili propria
strategie ITC pe zona sa de activitate ?
3. Menționarea ”
strategiei naţionale din domeniul tehnologiei informaţiei” are un grad de
precizie neadecvat prin forma articulată
folosită care implică o strategie unică. Care este astăzi această strategie ?
Prevedera Art.6 b) funcția MCSI de
monitorizare, control şi evaluare a realizării politicilor în domeniul
interoperabilităţii se realizează inclusiv prin avizarea proiectelor de
informatizare ale instituţiilor publice
aduce din nou în prim-plan confuzia acestui
proiect între procesele dedicate politicilor publice și implementările tehnice
de proiecte. Reamintesc că noțiunea de politică publică este definită prin HG
775/2005[2]
care, printre altele, definește la Art.4 h) implementarea variantei de
politici publice - etapa a procesului politicilor publice care consta în
totalitatea activităților prin care o varianta de politici publice este pusă în
aplicare, prin adoptarea unuia sau mai multor acte normative, respectiv
aplicarea unui plan de acţiune corespunzător; - așadar rezultatul
implementării unei politici publice sunt acte normative și nu platforme ITC. În
același sens vine și Legea 52/2003[3]
cu Art.3 j) documente de politici publice - instrumentele de
decizie prin intermediul cărora sunt identificate posibilele soluţii pentru
rezolvarea problemelor de politici publice...
Sugestie: regândirea
CNRTIC prin consultare cu celelalte ministere și SGG. Dacă se dorește în
continuare să se pună accentul pe politicile publice este necesară implicarea
Cancelariei Prim-Ministrului SGG care stabilește metodologiile cu privire la
politicile publice.
Listă incompletă avizatori: deși expunerea de
motive prevede “Scopul legii propuse fiind: instituirea la toate nivelurile
administrative a unui un cadru de guvernantă a activităţilor lor aferente
interoperabilităţii.” (pag 3 - 2.Schimbări preconizate), respectiv include
administrația locală, totuși lipsește MDRAP dintre avizatori.
Sugestie: Introducerea MDRAP între avizatori.
Corelări legislative
Suprapunere cu Legea 161 / 2003 Titlul 2[4] : La o cercetare
atentă Sistemul Electronic Național SEN stabilit de L161/2003 diferă ca obiect
de prezentul proiect de lege doar prin reglementarea circulației documentelor
electronice spre deosebire de cea a datelor. Această diferență dispare dacă
considerăm definiția documentului electronic din Legea 109/2007 (referitoare la
datele din sectorul public):
L 109/2007Art.4 b) document - orice conţinut
informaţional sau orice parte a unui asemenea conţinut, indiferent de forma de
stocare a datelor;
Un alt exemplu de suprapunere divergentă este
chiar definiția interoperabilității:
L161/2003 Art.11 i) interoperabilitatea este
capacitatea sistemelor informatice, produselor-program, aplicatiilor sau
serviciilor accesibile prin Sistemul Electronic Naţional de a comunică şi
schimba informaţii într-o modalitate efectivă şi compatibila.
Proiect : Art.3 b) interoperabilitate -
capacitatea instituţiilor şi autorităţilor publice de a partaja informaţii şi
cunoştinţe prin intermediul propriilor sisteme TIC, în scopul furnizării de
servicii publice electronice;
Sugestie: reorientarea acestei inițiative spre modificarea
L161/2003 Titlul 2 care are oricum numeroase prevederi neaplicate/neaplicabile
sau transformarea în HG cu alinierea la L161.
Suprapunere cu HG Nr. 575 bis
din 1992 : Acest HG este în vigoare fiind referit curent în legislație. Definește
și nomenclatorul ”adrese poştale”
care pare a fi similar cu Art. 10 b)registrul adreselor din proiectul
propus. Definește modalități tehnice de schimb de date – desigur la nivelul
tehnic al anului 1992.
Sugestie: Anularea HG 575 / 1992 și preluarea prevederilor
în prezentul proiect.
Alinierea la Reg. UE 2016/679 (GDPR)[5]
Introducerea sintagmei ” cu respectarea
legislaţiei privind protecţia datelor cu caracter personal” in textul unui
act normativ este facilă dar inutilă. Exigențele GDPR și a legislației
subsecvente impun, încă din faza de concepere a unui act normativ, lămurirea
câtorva aspecte esențiale prin elaborarea documentului ” Evaluarea impactului
asupra protecției datelor”.
Astfel GDPR Art.35 prevede că (10) Atunci
când prelucrarea [este] în temeiul [acestui proiect], iar
dreptul respectiv [acest proiect] reglementează operațiunea de
prelucrare specifică sau setul de operațiuni specifice în cauză și deja s-a
efectuat o evaluare a impactului asupra protecției datelor ca parte a unei
evaluări a impactului generale în contextul adoptării respectivului temei
juridic, alineatele (1)-(7) [obligația efectuării unei evaluări de impact],
nu se aplică …
Așadar lipsa unei evaluări de impact realizată de
MCSI și aprobată de ANSPDCP la momentul redactării proiectului obligă
instituțiile publice (titularii de registre si consumatorii datelor) să
efectueze individual evaluarea de impact iar în cazul în care ajung la
concluzia că prevederile acestui proiect nu corespund exigențelor protecției
datelor personale sunt exonerați de a-l aplica. Această variantă practic
elimină potențialul de progres al acestui proiect făcându-l opțional pentru
orice instituție publică.
Totodată trebuie semnalată prevederea:
GDPR Art.36 (4)
Statele membre consultă autoritatea de supraveghere în cadrul
procesului de pregătire a unei propuneri de măsură legislativă care urmează să
fie adoptată de un parlament național sau a unei măsuri de reglementare
întemeiate pe o astfel de măsură legislativă ...
care impune obținerea unui aviz consultativ din
partea ANSPDCP pe un proiect de lege înaintea punerii sale în procedura de
transparență decizională. Acest aviz precum și Evaluarea impactului sunt
documente de interes public ce trebuie publicate în procedura de dezbatere
publică.
Problematica protecției datelor personale se
completează cu consecințele deciziei Curții Constituționale în privința
protecției vieții private conform celor detaliate mai jos.
Sugestie: Implicarea ANSPDCP. Realizarea unei evaluări de impact
de către compartimentul MCSI care a redactat acest proiect și avizarea acesteia
de către Responsabilul cu protecția datelor personale (DPO) al MCSI. Publicarea
rezultatului.
Suspiciunea unor vicii de constituționalitate
Acest subiect este mai greu demonstrabil
necesitând aplicarea de principii și indicații constituționale emise de Curtea
Constituțională cu prilejul unor cazuri asemănătoare. Totuși o vulnerabilitate
în această privință nu este dezirabilă.
Protecția Vieții Private este relevantă prin
DECIZIA[6]
nr. 498 din 17 iulie 2018 a CCR cu privire la ” sistemul dosarului electronic
de sănătate al pacientului”. Avem
următorul enunț în care, mutatis mutandis, ocrotirea sănătății echivalează buna
guvernare.
42. Cu alte cuvinte, dacă statul a instituit,
prin lege, o măsură în aplicarea dreptului la ocrotirea sănătății persoanei,
tot acestuia îi revine obligația de a proteja și garanta caracterul
confidențial al informațiilor medicale prelucrate, printr-un act normativ de
același nivel, respectiv prin lege. Astfel, din acest punct de vedere,
obligațiile pozitive asociate celor două drepturi sunt corelative și
interdependente, trebuind să existe un just echilibru între acestea. Statului
nu îi este permis ca, protejând un drept constituțional, să o facă în
detrimentului celuilalt drept deopotrivă ocrotit, pentru că s-ar putea ajunge
la situația în care afectarea acestuia din urmă să fie atât de puternică, încât
avantajul inițial obținut să apară ca fiind nesemnificativ în această ecuație.
Prin urmare, la nivel normativ, complementaritatea și proporționalitatea
trebuie să caracterizeze relația dintre cele două drepturi constituționale
antereferite
Întrucât proiectul în Art. 11 (3) instituie ”o
infrastructură informatică dedicată, denumită în continuare nod de
interoperabilitate, care funcţionează ca o poartă de acces automat la toate
registrele publice naţionale” adica un mijloc de prelucrare a datelor este
necesar ca proiectul să conțină și mecanismele de protecție/asigurare a datelor
personale. În principal este vorba de asigurarea drepturilor individuale
stabilite de GDPR în CAPITOLUL III Drepturile persoanei vizate.
Sugestie: completarea proiectului cu articole care sa
reglementeze informarea cetățeanului cu privire la datele schimbate despre el,
adăugarea posibilității consimțământului pentru anumite schimburi de date (ar
putea aduce in HUB și actori privați crescând adoptarea acestuia), etc.
În privința Clarității proiectului există
numeroase precedente constituționale. Dintre prevederile acestui proiect
principala problemă o ridică:
Art. 11.
Registrul Naţional al Registrelor
(1)Se
instituie Registrul Naţional al Registrelor, denumit în continuare RNR, care
funcţionează ca depozit al metadatelor şi standardelor de date, necesar
în vederea asigurării interoperabilităţii sistemelor informatice publice pentru
furnizarea serviciilor publice electronice.
(3)Suportul
tehnic al RNR este asigurat de o infrastructură informatică dedicată, denumită
în continuare nod de interoperabilitate, care funcţionează ca o poartă de acces
automat la toate registrele publice naţionale şi care permite schimbul de
date între instituţiile şi autorităţile publice în vederea asigurării
interoperabilităţii sistemelor informatice publice pentru furnizarea
serviciilor publice electronice.
Avem
definit RNA ca fiind un depozit de metadate (care, prin definiție, nu
prelucrează date, inclusiv personale) dar acesta este sprijinit printr-un
mecanism care asigură acces automat la toate registrele naționale (care
prelucrează astfel date, inclusive personale). Cum natura mecanismului de
implementare trebuie să fie aliniată conceptual sistemului implementat
contradicția de mai sus produce o neclaritate gravă care afectează scopul
principal al proiectului.
Sugestie:
Platforma
tehnică necesită un capitol dedicat care să abordeze în mai multe articole
toate aspectele relevante. Dacă elucidarea acestei neclarități este existența
doar a unui depozit de metadate atunci acest proiect devine complet inutil.
În
privința caracterului general al reglementării, principiu constituțional
regăsibil în numeroase decizii ale Curții Constituționale, acesta este încălcat
de prevederile Art.14 și Art.15 care își propun, la nivel de lege, să
reglementeze organigrama AADR (subiect de HG). Mai mult, Art.14 (2) desemnează
responsabilități pentru DGCETIC, o entitate care nici măcar nu are
personalitate juridică proprie.
Sugestie:
Aceste
prevederi pot exista doar sub forma unui HG, de preferință prin modificarea HG
1132/2013 cu privire la funcționarea AADR.
Copierea defectuoasă a prevederilor de natură salarială aferente CNIF
Este
esențială existența unei echipe tehnice competente iar lipsa unei salarizări
corespunzătoare poate fi un impediment. Reluctanța acordării de excepții
vis-a-vis de cadrul național de salarizare este puternică și orice exemplu de
succes este benefic. Totuși articolul din OUG 77 / 2017[7]
are următoarea formă:
(1) În
vederea dezvoltării de noi proiecte și soluții de îmbunătățire și eficientizare
a sistemelor și platformelor software gestionate, Ministerul Finanțelor Publice
poate angaja personal calificat în domeniul tehnologiei informației, personal
contractual încadrat cu contract individual de muncă pe perioadă determinată,
încheiat prin derogare de la prevederile art. 82 alin. (3)-(5) și ale art. 84
alin. (1) din Legea nr. 53/2003 - Codul muncii, republicată, cu modificările și
completările ulterioare.
Astfel
soluția CNIF are următoarele caracteristici care nu se regăsesc în acest proiect:
· Contractele de muncă
sunt temporare, cu posibilitate de prelungire de oricâte ori. Astfel angajatul
care beneficiază de această salarizare este stimulat să performeze, altfel
putând a fi concediat simplu, prin neprelungirea cu un nou contract de 3 luni.
·
Această salarizare este aplicabilă doar persoanelor care
(2) își desfășoară activitatea în funcții de specialiști în tehnologia
informației și comunicațiilor,
Prin
comparație acest proiect își propune să salarizeze superior 20 de angajați AADR
fără niciun criteriu / măsură de siguranță cu privire la performanța și
calificarea acestora.
Sugestie:
Preluarea
completă a prevederilor CNIF pentru a avea o oarecare șansă de avizare din
partea MFP.
Asemănări ale proiectului cu prevederi istorice aferente ASSI
Agenţia
pentru Serviciile Societăţii Informaţionale ASSI este precursorul actualului AADR fiind
reglementată prin OUG[8]
73/2007 în perioada 2007 – 2009. Similar cu prevederile acestui proiect, ASSI a
avut reglementată:
· Salarizare motivantă,
comparabilă cu cea propusă de acest proiect, stabilită prin negociere în cadrul
Contractului Colectiv de Muncă.
· Dreptul de a înainta
către MCSI propuneri de acte normative
· Dreptul de a face
observații cu caracter obligatoriu pe caietele de sarcini aferente sistemelor
cu care intra in relații de interoperabilitate.
· Mai mult, exista
prevederea:
o
(4) În scopul asigurării interoperabilităţii dintre
autorităţile administraţiei publice centrale şi Sistemul Electronic Naţional,
instituţiile publice care deţin registre electronice vor asigura, în
condiţiile legii, accesul electronic al ASSI la informaţiile necesare
asigurării interoperabilităţii cu Sistemul Electronic Naţional cuprinse în
aceste registre, pentru utilizare în vederea construirii şi operării
aplicaţiilor de guvernare electronică, precum şi a aplicării procedurii
electronice. Accesul ASSI se realizează pe bază de protocoale-cadru încheiate
cu autorităţile administraţiei publice centrale.
a cărei nerespectare,
spre deosebire de actualul proiect, era sancționată cu amendă ”de la 3.000
de lei la 5.000 de lei pentru fiecare zi de întârziere în asigurarea accesului”
După ce 2
ani în această organizare au produs prea puține rezultate palpabile, ministrul
MCSI al acelei date a declarat[9]
:
"Tot
aceşti angajaţi sunt aceia care au considerat că ASSI este un fel de SRL şi, în
loc să eficientizeze sistemele de e-guvernare, adică să-şi facă treaba, au
preferat ca ASSI să depună în bănci fonduri, bugetul Agenţiei, pentru a ridica
o dobândă necesară plăţii salariilor foarte mari. Au încercat chiar un şantaj
prin blocarea tuturor sistemelor, însă cu eforturi susţinute am reuşit să
evităm potenţiale pierderi masive"
Sugestie: Istoria ASSI rezistă
încă în memoria instituțiilor publice partenere și a mass-media. Corelările
dintre acest proiect și ASSI pot fi dezvoltate dincolo cele de mai sus. Este
necesară o strategie de comunicare publică și inter-instituțională bazată pe ipoteza neacordării de către
parteneri, ab initio, a prezumției bunei-credințe.
Spațiul
limitat mă împiedică să abordez absolut toate sugestiile posibile, îmi exprim
speranța ca alți participanți în dezbaterea publică să abordeze și alte
subiecte precum definițiile și principiile din acest proiect.
Stimate
domnule ministru vă rog să primiți disponibilitatea mea de a participa la o
eventuală ședință publică organizată în baza L52 precum și în oricare altă
formă de organizare considerată potrivită de dvs.
Niciun comentariu:
Trimiteți un comentariu