În timp ce Uniunea Europeană încearcă să limiteze utilizarea inteligenței artificiale în domenii sensibile precum securitatea și aplicarea legii, România dezbate o propunere legislativă care ar putea extinde, fără precedent, capacitatea instituțiilor cu atribuții în securitate națională de a colecta, procesa și corela date cu caracter personal.
Proiectul legislativ, trecut tacit de Camera Deputaților și aflat în circuit parlamentar, este justificat prin nevoia de adaptare la amenințări moderne: terorism, atacuri cibernetice, război hibrid, dezinformare și spionaj digital. Totuși, criticii atrag atenția că miza reală depășește actualizarea tehnică și vizează infrastructura de colectare și prelucrare automată a datelor la scară largă.
O lege despre securitate sau despre infrastructura supravegherii digitale?
Expunerea de motive a proiectului legislativ încearcă să justifice inițiativa printr-un spectru larg de amenințări contemporane, invocând în mod explicit: terorismul, sabotajul digital, operațiunile de influență externă, atacurile asupra infrastructurilor critice, spionajul cibernetic și migrația ilegală.
În această formulare, legea este prezentată ca un instrument de adaptare a statului la riscurile actuale de securitate, dominate de dimensiunea digitală și de noile forme de conflict informațional. Totuși, modul în care sunt agregate aceste amenințări ridică întrebarea dacă textul reglementează strict mecanisme de apărare națională sau dacă deschide, mai larg, cadrul pentru dezvoltarea unei infrastructuri extinse de colectare, corelare și analiză a datelor la scară digitală.
În mod comparativ, modernizarea capacităților tehnice ale serviciilor de informații este o practică obișnuită în statele occidentale, unde infrastructurile digitale sunt adaptate constant la noile tipuri de amenințări. Cu toate acestea, criticile formulate de juriști și organizații pentru drepturile omului nu vizează utilizarea tehnologiei în sine, ci arhitectura juridică în care aceasta este integrată.
În special, sunt semnalate probleme legate de lipsa unor limite normative clare, formulări legislative excesiv de generale, absența unor mecanisme independente de control și supraveghere efectivă, precum și riscul ca aceste prevederi să permită dezvoltarea unor infrastructuri permanente de colectare, corelare și analiză automată a datelor cu caracter personal, fără garanții suficiente de proporționalitate și transparență.
„Patchwork legislativ” și riscul de incoerență sistemică
România se confruntă cu o arhitectură normativă fragmentată în domeniul securității, protecției datelor și supravegherii, în care reglementările sunt dispersate între mai multe acte normative: Legea securității naționale nr. 51/1991, legislația de organizare a serviciilor de informații (SRI, SIE, SPP, STS, DGIA), Codul de procedură penală, cadrul european privind protecția datelor cu caracter personal GDPR, precum și viitorul cadru european privind inteligența artificială AI Act.
Această fragmentare legislativă generează un așa-numit „patchwork legislativ”, caracterizat prin lipsa unei arhitecturi unitare, ceea ce conduce la definiții inconsistente, standarde diferite de control, suprapuneri de competență și apariția unor zone gri juridice între instituțiile implicate.
Formulări largi care pot acoperi o gamă extinsă de activități
Una dintre cele mai controversate prevederi ale proiectului permite autorităților din domeniul securității naționale „să creeze, să dezvolte, să administreze și să utilizeze baze de date, sisteme informatice și de comunicații, precum și aplicații și alte resurse în mediul online”.
Problema esențială semnalată de specialiști nu este existența acestei competențe în sine, ci lipsa unor definiții clare care să o limiteze operațional. Textul nu precizează, printre altele, ce se înțelege prin „alte resurse online”, ce reprezintă exact „prelucrarea automată”, ce tipuri de baze de date pot fi create, care sunt limitele tehnice ale acestor sisteme, ce categorii de date pot fi colectate, ce autoritate aprobă infrastructurile digitale și ce mecanisme independente de verificare sunt prevăzute.
În absența acestor clarificări, formularea are un grad ridicat de deschidere interpretativă, care, din perspectivă tehnico-juridică, ar putea acoperi o gamă largă de funcționalități, inclusiv monitorizarea platformelor de social media, analiză comportamentală, profilare automată, corelarea metadatelor din surse multiple, procesarea datelor biometrice, recunoaștere facială, cartografiere relațională a rețelelor sociale și profesionale, precum și utilizarea unor sisteme de inteligență artificială pentru detectarea și evaluarea automată a tiparelor comportamentale.
Modelul tehnologic: infrastructuri de tip Palantir
În dezbaterea privind modificarea Legii nr. 51/1991, dimensiunea tehnologică a capacităților moderne de analiză a datelor devine un element central de interpretare. Evoluția globală din domeniul intelligence-ului digital a dus la apariția unor platforme integrate de tip analitic, utilizate pentru corelarea și procesarea unor volume masive de informații provenite din surse multiple.
Un exemplu frecvent invocat în acest context este Palantir Technologies, care a dezvoltat platforme precum Gotham, capabile să integreze și să coreleze date din surse variate, inclusiv comunicații, rețele sociale, baze de date guvernamentale, OSINT, date de localizare GPS, imagini, metadate, fluxuri operaționale și informații logistice sau relaționale.
Aceste platforme nu funcționează ca simple baze de date, ci ca infrastructuri complexe de analiză și corelare algoritmică, care permit procesarea simultană a unor volume de informații imposibil de gestionat prin metode tradiționale.
În termeni operaționali, astfel de platforme pot contribui la identificarea relațiilor indirecte dintre persoane, evenimente și organizații, la detectarea automată a tiparelor comportamentale, la cartografierea rețelelor sociale și profesionale, la prioritizarea persoanelor de interes în funcție de criterii de risc, precum și la generarea de evaluări predictive și simulări operaționale utilizate în planificarea activităților de securitate.
Asymmetric modernization și funcția de risc democratic
Problema centrală în dezbaterea privind modernizarea legislației de securitate nu este utilizarea tehnologiei în sine, ci apariția unui fenomen cunoscut în literatura de specialitate drept asymmetric modernization — modernizarea accelerată a capacităților tehnice ale statului, în absența unei modernizări echivalente a mecanismelor de control democratic, transparență și responsabilizare instituțională.
În acest context, riscul democratic devine relevant mai ales atunci când astfel de capabilități sunt implementate într-un sistem instituțional în care mecanismele de supraveghere sunt fragmentate, controlul independent este limitat, iar delimitările juridice sunt insuficient de precise, așa cum este cazul României.
În literatura de specialitate privind supravegherea digitală, acest fenomen este adesea asociat cu conceptul de function creep — extinderea graduală, incrementală și uneori netransparentă a scopului inițial al unei tehnologii sau infrastructuri de monitorizare, dincolo de justificarea pentru care a fost creată inițial.
Din perspectivă istorică, infrastructurile dezvoltate pentru situații excepționale tind să își extindă progresiv aria de aplicare: de la obiective strict definite, precum combaterea terorismului, către forme mai largi de utilizare, care pot include monitorizarea extinsă a mediului digital, analiză comportamentală, profilare, evaluări predictive sau monitorizarea preventivă a unor grupuri sociale ori profesionale.
În acest cadru, criticii proiectului legislativ atrag atenția că formulările ample și insuficient definite — precum „prelucrare automată”, „baze de date”, „sisteme informatice” sau „alte resurse în mediul online” — pot crea, în timp, premisele juridice pentru dezvoltarea unor infrastructuri digitale de analiză și corelare masivă a datelor cu caracter personal, fără delimitări operaționale clare și fără garanții explicite privind proporționalitatea și controlul independent.
Deși proiectul nu introduce în mod expres tehnologii precum recunoașterea facială, analiza predictivă sau sisteme de supraveghere comportamentală bazate pe inteligență artificială, specialiștii avertizează că formularea actuală este suficient de generală încât să permită, în evoluții legislative sau operaționale ulterioare, integrarea unor astfel de capabilități fără necesitatea unor clarificări normative suplimentare.
Noua zonă gri: infrastructură digitală fără mandat explicit
În forma actuală a legislației, serviciile de informații sunt obligate să obțină mandat judecătoresc pentru măsuri intruzive punctuale, precum interceptările comunicațiilor, localizarea prin GPS, activitățile de filaj operativ sau accesul direct la sisteme informatice în cadrul unor anchete determinate.
Proiectul de modificare a Legii nr. 51/1991 introduce însă o distincție mai puțin clară între aceste măsuri individualizate și dezvoltarea infrastructurilor digitale de analiză a datelor, ceea ce generează o zonă de ambiguitate juridică sensibilă. În practică, instituțiile cu atribuții în domeniul securității naționale — în special serviciile de informații sau structuri specializate din zona de siguranță publică — ar putea dezvolta sisteme extinse de colectare, corelare și analiză automată a datelor fără ca însăși infrastructura tehnologică să fie supusă unui regim clar de autorizare judecătorească.
Aceasta este esența criticii formulate de o parte a organizațiilor pentru drepturi civile și a experților în drept constituțional: nu faptul că legea ar introduce explicit supravegherea extinsă, ci faptul că ar putea permite construirea unei arhitecturi tehnice permanente de analiză a datelor, cu potențial de utilizare sistemică, în afara unui control judiciar individualizat.
Diferența dintre cele două modele este esențială din perspectivă juridică. Un mandat judecătoresc clasic presupune o intervenție punctuală, orientată către o persoană identificată, pe baza unor suspiciuni concrete, limitată în timp și supusă controlului de proporționalitate. În schimb, o infrastructură digitală de analiză la scară largă funcționează după o logică diferită: nu vizează exclusiv un individ, ci procesează continuu volume mari de date pentru a identifica relații, tipare și conexiuni între persoane, evenimente și comportamente.
Într-un astfel de model, accentul se deplasează de la supravegherea țintită către capacitatea sistemică de analiză, în care corelarea automată a datelor devine instrumentul principal. Această schimbare ridică întrebări importante privind limitele dintre investigație, prevenție și profilare, mai ales în absența unor definiții juridice precise și a unor mecanisme clare de control asupra infrastructurii tehnice în sine.
Într-un context instituțional în care, în România, mecanismele de supraveghere democratică sunt adesea percepute ca limitate sau insuficient consolidate, iar experiențele anterioare legate de relația dintre serviciile de informații, sistemul judiciar și sfera politică/economică au alimentat rezerve publice privind extinderea atribuțiilor structurilor de intelligence, riscul perceput nu mai vizează exclusiv utilizarea abuzivă a unor instrumente deja existente, ci posibilitatea normalizării unei capacități permanente de analiză algoritmică la nivel societal.
Inteligența artificială: marele gol legislativ al noii infrastructuri de securitate digitală
Una dintre cele mai sensibile și, în același timp, insuficient dezbătute componente ale proiectului este introducerea explicită a posibilității de prelucrare automată a datelor cu caracter personal în domeniul securității naționale.
La prima vedere, formularea are un caracter tehnic și aparent neutru. În realitate însă, ea deschide una dintre cele mai complexe probleme juridice ale erei digitale: integrarea inteligenței artificiale și a analizei algoritmice în infrastructurile de securitate ale statului, în absența unor limite legislative clar definite și a unor mecanisme independente de control tehnologic.
Această zonă de reglementare intră în contact direct cu standarde deja consolidate la nivel european, inclusiv Regulamentul general privind protecția datelor (GDPR), jurisprudența Curții Europene a Drepturilor Omului și noul cadru european privind inteligența artificială (AI Act), toate construite pe ideea limitării strict controlate a utilizării sistemelor automatizate în domenii cu impact asupra drepturilor fundamentale.
Ce permite concret legea
Textul proiectului conferă autorităților din domeniul securității naționale competențe explicite de colectare, stocare, organizare, corelare și prelucrare automată a datelor cu caracter personal.
Problema nu rezidă însă în simpla enumerare a acestor operațiuni, ci în absența unor definiții operaționale clare care să stabilească modul concret de implementare. În forma actuală, proiectul nu precizează:
– limitele procesării algoritmice;
– tipologia sistemelor automate admise;
– gradul de autonomie al algoritmilor utilizați;
– mecanismele de validare și verificare tehnică;
– condițiile exacte de utilizare a inteligenței artificiale;
– nivelul obligatoriu de intervenție umană;
– limitele profilării automate.
Din perspectivă juridică și tehnologică, această formulare este suficient de largă încât să permită, în practică, dezvoltarea și utilizarea unor sisteme avansate de:
– analiză comportamentală;
– corelare algoritmică a datelor;
– scoring de risc;
– detecție automată de tipare;
– analiză predictivă;
– profilare relațională;
– cartografiere socială și informațională.
Deși astfel de tehnologii nu sunt prevăzute explicit în textul legislativ, lipsa unor limite clare face ca aplicabilitatea lor viitoare să rămână insuficient circumscrisă normativ.
Articolul 22 din GDPR și problema deciziilor automatizate
O altă dimensiune juridică relevantă este raportarea la Articolul 22 din Regulamentul general privind protecția datelor (GDPR), care restricționează deciziile bazate exclusiv pe prelucrare automată atunci când acestea produc efecte semnificative asupra persoanelor.
În arhitectura juridică europeană, utilizarea algoritmilor în domenii sensibile este condiționată de respectarea unor principii esențiale, precum:
– proporționalitatea;
– necesitatea;
– transparența;
– explicabilitatea;
– minimizarea datelor;
– controlul uman efectiv;
– dreptul de contestare a deciziilor automatizate.
În schimb, proiectul analizat nu integrează explicit aceste garanții în raport cu sistemele de prelucrare automată din domeniul securității naționale. Mai exact, nu sunt clar definite:
– limitele algoritmice ale procesării;
– obligațiile de audit independent;
-evaluările obligatorii de impact asupra drepturilor fundamentale;
– standardele de transparență aplicabile sistemelor AI;
– cerințele de explicabilitate a rezultatelor generate automat;
– mecanismele procedurale de contestare;
– criteriile de validare și verificare a modelelor utilizate.
Rezultă astfel o asimetrie între nivelul de complexitate tehnologică permis și densitatea garanțiilor juridice prevăzute.
Absența evaluării impactului asupra drepturilor fundamentale
O altă omisiune semnificativă o reprezintă lipsa unor prevederi explicite privind evaluările de impact asupra protecției datelor și drepturilor fundamentale (Data Protection Impact Assessment – DPIA).
La nivelul Uniunii Europene, astfel de evaluări sunt considerate obligatorii în situațiile care implică:
– monitorizare sistematică;
– prelucrare de date la scară largă;
– profilare automatizată;
– utilizarea inteligenței artificiale;
– analiză comportamentală;
– tehnologii cu risc ridicat pentru drepturile și libertățile individuale.
Cu toate acestea, proiectul nu prevede în mod expres:
– obligativitatea realizării DPIA independente;
– audit tehnic extern al sistemelor utilizate;
– expertiză algoritmică autonomă;
– proceduri standardizate de verificare etică și juridică.
În paralel, în spațiul public nu există, până în acest moment, o evaluare detaliată din partea Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal și nici o analiză oficială privind compatibilitatea proiectului cu GDPR sau cu viitorul cadru european AI Act.
Această absență este relevantă în contextul în care proiectul se situează la intersecția dintre securitate națională, prelucrare automată de date și inteligență artificială — una dintre cele mai sensibile zone de reglementare ale dreptului european contemporan.
AI Act european și categoria „high-risk”
Noul cadru european privind inteligența artificială clasifică drept sisteme „high-risk” aplicațiile utilizate în domenii precum:
– securitate și ordine publică;
– aplicarea legii;
– controlul migrației;
– infrastructuri critice;
– evaluarea comportamentală;
– profilarea și analiza de risc.
Această clasificare reflectă impactul direct pe care astfel de sisteme îl pot avea asupra unor drepturi fundamentale, inclusiv:
– libertatea individuală;
– accesul la drepturi și servicii;
– prezumția de nevinovăție;
– viața privată;
– libertatea de exprimare;
– libertatea de asociere.
Modele comparate de supraveghere digitală și guvernanță a inteligenței în alte state
Analiza comparativă a regimurilor de supraveghere digitală din democrațiile occidentale relevă un fapt esențial: nu există un model unic de echilibru între securitatea națională și protecția drepturilor fundamentale, ci mai degrabă o serie de arhitecturi instituționale distincte, construite în funcție de tradiția constituțională, cultura juridică și experiențele istorice ale fiecărui stat. Cu toate acestea, dincolo de diferențele de formă, se conturează un set de trăsături comune care definesc infrastructurile moderne de intelligence în era digitală.
În toate cazurile analizate, evoluția tehnologică a condus la o tranziție structurală de la supravegherea individualizată, bazată pe mandat punctual, către modele de colectare și analiză masivă a datelor („bulk data collection”), în care accentul nu mai cade exclusiv pe intervenții țintite, ci pe capacitatea sistemică de a procesa volume mari de informații provenite din surse multiple. Această schimbare de paradigmă a determinat, la rândul său, reconfigurarea mecanismelor de control democratic, juridic și instituțional.
Germania – model constituționalizat și centrat pe drepturi fundamentale
Germania reprezintă un exemplu de abordare restrictivă, puternic influențată de jurisprudența Curții Constituționale Federale (Bundesverfassungsgericht) și de experiența istorică a supravegherii excesive. Activitatea serviciului de informații externe (BND) este strict limitată de principii constituționale de proporționalitate și necesitate, inclusiv în raport cu cetățenii străini.
Sistemul german se caracterizează printr-o abordare în care drepturile fundamentale constituie punctul de plecare al oricărei extinderi de capacitate operațională. Controlul este exercitat printr-un mecanism mixt, ce include o comisie parlamentară specializată (G10 Commission) și un control judiciar puternic, completat de obligații de transparență mai ridicate comparativ cu alte modele europene. În acest cadru, utilizarea colectării în masă este supusă unor constrângeri juridice semnificative, iar extinderea tehnologică este permanent corelată cu evaluări stricte de constituționalitate.
Regatul Unit – capacitate extinsă și control dual formalizat
În Regatul Unit, cadrul juridic instituit prin Investigatory Powers Act 2016 (cunoscut informal drept „Snooper’s Charter”) reprezintă unul dintre cele mai cuprinzătoare regimuri de supraveghere din Europa democratică. Acesta permite interceptarea în masă a comunicațiilor, accesul la metadate, reținerea datelor de către furnizorii de servicii și utilizarea tehnicilor de acces la dispozitive („equipment interference”), consolidând astfel o infrastructură tehnică avansată de colectare a informațiilor.
Controlul asupra acestor activități este structurat pe principiul „dual lock”, care presupune autorizarea atât la nivel executiv (ministru), cât și judiciar, prin intermediul Investigatory Powers Commissioner. În plus, există mecanisme de audit și supraveghere independentă.
Țările de Jos – extindere tehnologică și corecție prin feedback democratic
Cazul Olandei este relevant pentru dinamica dintre inovare legislativă și reacția societății democratice. Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017-The Intelligence and Security Services Act 2017) a introdus un regim extins de supraveghere digitală, incluzând interceptarea în masă a comunicațiilor și colectarea traficului de internet la scară largă.
Adoptarea acestei legislații a generat o reacție publică semnificativă, inclusiv un referendum consultativ rar utilizat în practica constituțională europeană, în care o majoritate a exprimat rezerve față de extinderea capacităților de supraveghere. În urma acestui proces, cadrul normativ a fost ajustat prin introducerea unor restricții suplimentare privind partajarea datelor și prin consolidarea rolului comisiilor independente de revizuire (CTIVD). Acest model ilustrează o dinamică de tip „extindere tehnologică urmată de corecție instituțională”, în care presiunea democratică funcționează ca mecanism de recalibrare a arhitecturii de securitate.
Franța – capacitate administrativă ridicată și control instituțional specializat
În Franța, regimul de supraveghere este consolidat prin Code de la sécurité intérieure și legislația adoptată începând cu 2015 privind activitățile de intelligence. Acest cadru permite interceptări administrative extinse, colectarea de metadate de la operatorii de comunicații și utilizarea unor sisteme algoritmice de detecție a potențialelor amenințări, inclusiv în zona terorismului.
Controlul este exercitat prin CNCTR (Commission nationale de contrôle des techniques de renseignement) și prin Consiliul de Stat, însă caracterul clasificat al multor operațiuni limitează accesul la informații detaliate privind funcționarea efectivă a sistemelor tehnice. Modelul francez este adesea descris ca o arhitectură în care capacitatea statului este ridicată, dar transparența operațională rămâne moderată, ceea ce generează un echilibru tensionat între eficiență și control democratic.
Statele Unite – infrastructură de intelligence la scară largă
În Statele Unite, cadrul juridic și operațional al supravegherii a fost extins semnificativ prin Foreign Intelligence Surveillance Act (FISA), inclusiv prin Secțiunea 702, alături de programe precum PRISM și Upstream collection administrate de NSA.
Aceste instrumente permit colectarea de date de la companii tehnologice, accesul la comunicații internaționale și analiza la scară masivă a fluxurilor informaționale globale. Controlul este exercitat prin FISA Court, un tribunal specializat cu proceduri confidențiale, prin comisii ale Congresului și prin inspectorate generale. Totuși, caracterul ex parte al procedurilor judiciare și nivelul ridicat de secretizare au generat critici consistente privind lipsa transparenței și dificultatea controlului public efectiv, aspecte intens dezbătute în urma dezvăluirilor realizate în spațiul public în ultimul deceniu.
Suedia – model de interceptare tehnică cu filtrare juridică strictă
Suedia oferă un exemplu de abordare intermediară, în care capacitatea tehnică de interceptare a traficului internațional de date, prin intermediul agenției FRA(autoritate civilă în subordinea mnisterului apărării), este însoțită de mecanisme stricte de autorizare și control. Fiecare operațiune relevantă trebuie aprobată de un tribunal specializat, iar accesul la informații este supus unor criterii riguroase de selecție, inclusiv la nivelul termenilor de căutare.
Acest model ilustrează o încercare de echilibrare între capacitatea tehnică extinsă și filtrarea juridică granulară a accesului la date.
Dincolo de diferențele instituționale dintre state, analiza comparativă evidențiază o serie de constante structurale în evoluția contemporană a sistemelor de supraveghere digitală, în special în ceea ce privește raportul dintre extinderea capacităților tehnice ale statului și configurarea mecanismelor de control democratic.
În primul rând, majoritatea jurisdicțiilor analizate au evoluat către modele de tip „bulk data”, în care colectarea de informații nu mai este strict individualizată, ci se realizează prin agregarea și procesarea unor volume extinse de date provenite din surse multiple. Această transformare reflectă trecerea de la un model bazat pe suspiciune individualizată și intervenție punctuală, la un model de analiză sistemică a mediului informațional, în care valoarea operațională derivă din corelarea datelor la scară largă.
În al doilea rând, se conturează o tensiune structurală între logica juridică a mandatului individualizat și logica tehnologică a infrastructurilor permanente de colectare și analiză. În timp ce mandatul judiciar clasic este conceput ca o autorizație punctuală, limitată în timp și în obiect, infrastructurile digitale moderne operează continuu, independent de cazuri individuale, prin procesarea constantă a fluxurilor de date și generarea de corelații și tipare la nivel agregat. Această discrepanță ridică problema adaptării instrumentelor tradiționale de autorizare la arhitecturi tehnologice de tip infrastructural.
În al treilea rând, se observă consolidarea unui model de control democratic stratificat, care depășește schema exclusiv parlamentară și combină mai multe niveluri instituționale de supraveghere. În practică, acest model este evidențiat în mod particular în jurisdicții precum Germania și Suedia, unde controlul asupra activităților de intelligence este distribuit între instituții cu roluri distincte și complementare, configurate astfel încât să acopere atât dimensiunea juridică, cât și cea operațională și tehnică a supravegherii.
În Germania, arhitectura de control este puternic constituționalizată și se bazează pe un echilibru între control parlamentar specializat, supraveghere jurisdicțională exercitată de Curtea Constituțională Federală și standarde stricte de proporționalitate dezvoltate jurisprudențial. Elementul central al acestui model îl reprezintă ideea că orice ingerință în sfera drepturilor fundamentale trebuie să fie justificată nu doar formal, ci și material, prin raportare la criterii de necesitate, proporționalitate și limitare strictă a scopului, inclusiv în contextul securității naționale.
În Suedia, controlul este construit printr-o arhitectură instituțională mixtă, în care interceptarea comunicațiilor și accesul la date sunt supuse autorizării judiciare specializate, completate de supravegherea unor organisme independente cu atribuții de control ex ante și ex post. Un element distinctiv al acestui model îl constituie accentul pus pe filtrarea și autorizarea granulară a accesului la date, inclusiv la nivelul interogărilor individuale, ceea ce limitează utilizarea nediferențiată a infrastructurilor de colectare și impune o trasabilitate procedurală strictă.
În al patrulea rând, se constată o tendință convergentă în statele democratice avansate către extinderea controlului instituțional în direcția unor forme de supraveghere tehnică și procedurală tot mai specializate. Acestea includ comisii independente de control, autorități de supraveghere cu competențe tehnice și mecanisme de audit ex-post asupra activităților de colectare, stocare și procesare a datelor.
Cu toate acestea, evaluarea modului în care sunt corelate datele, funcționarea sistemelor predictive sau criteriile utilizate în procesele automatizate de prioritizare reprezintă în continuare o zonă dificil de supus unui audit extern complet, în principal din cauza complexității tehnice, a caracterului integrat al acestor sisteme și a dependenței de infrastructuri opace din punct de vedere operațional.
Analiza comparativă sugerează astfel că provocarea centrală a guvernanței supravegherii digitale nu mai privește exclusiv existența sau absența controlului democratic, ci gradul său de granularitate și capacitatea reală de a pătrunde în nivelul tehnic al infrastructurilor algoritmice.
În acest context, dezbaterea contemporană se deplasează de la întrebarea dacă statele pot colecta date către problema în ce măsură aceste procese pot fi efectiv înțelese, verificate și auditate instituțional, astfel încât controlul democratic să fie nu doar formal, ci operațional și verificabil în raport cu arhitectura tehnică a sistemelor utilizate.
În raport cu aceste standarde comparative, proiectul legislativ analizat în România integrează doar parțial sau insuficient mecanismele de control aferente, ceea ce evidențiază un decalaj între amplitudinea capacităților tehnologice permise și densitatea garanțiilor juridice și instituționale asociate.
Această diferență devine relevantă în special în contextul în care, în jurisdicțiile cu arhitecturi consolidate de control democratic al activităților de intelligence, extinderea capacităților de colectare și analiză a datelor a fost însoțită de dezvoltarea unui sistem de supraveghere multistratificat, în care fiecare nivel instituțional exercită un tip distinct de control: juridic, parlamentar, tehnic și jurisdicțional.
În Germania, acest model se manifestă prin integrarea controlului parlamentar specializat cu supravegherea jurisdicțională constituțională și cu standarde riguroase de proporționalitate impuse de jurisprudență, ceea ce limitează nu doar utilizarea, ci și arhitectura tehnică a sistemelor de colectare a datelor. În Suedia, accentul cade pe autorizarea granulară și pe controlul continuu al accesului la date, prin mecanisme independente care verifică atât legalitatea, cât și necesitatea fiecărei interogări sau operațiuni de acces.
În contrast, în contextul românesc, dezbaterea privind extinderea capacităților de prelucrare automată a datelor evidențiază încă o asimetrie între complexitatea tehnologică a instrumentelor propuse și nivelul de dezvoltare al mecanismelor de control tehnic specializat. Modelul de supraveghere rămâne predominant ancorat în control parlamentar și judiciar clasic, în timp ce dimensiunile de audit algoritmic, evaluare tehnică independentă și verificare a infrastructurilor digitale sunt insuficient dezvoltate la nivel instituțional.
În acest sens, problema centrală nu privește exclusiv existența unor garanții juridice formale, ci capacitatea acestora de a funcționa efectiv în raport cu sisteme caracterizate prin opacitate algoritmică, integrare multisursă și complexitate tehnologică ridicată.
În absența unui model de control stratificat, comparabil cu cel existent în jurisdicțiile europene consolidate, riscul structural nu este neapărat acela al utilizării explicite a unor instrumente intruzive, ci dificultatea sistemică de verificare, audit și limitare efectivă a modului în care infrastructurile de analiză a datelor sunt configurate și utilizate în practică.
De la supraveghere țintită la analiză societală asistată de inteligență artificială
Specialiștii în drept și securitate atrag atenția că transformarea adusă de inteligența artificială nu constă doar în creșterea eficienței operaționale, ci mai ales în schimbarea de scară a capacităților de analiză. Dacă, în mod tradițional, activitatea de supraveghere era orientată către un număr relativ redus de persoane, în baza unor suspiciuni punctuale, sistemele algoritmice actuale permit procesarea simultană a unor volume foarte mari de date, incluzând sute de mii de profiluri, conexiuni și comportamente digitale.
În acest context, o parte semnificativă a experților vorbește despre tranziția de la supravegherea țintită, individualizată, la forme de analiză cu caracter societal, în care accentul se deplasează de la investigația punctuală către evaluarea agregată și continuă a mediului informațional.
În absența unor limite juridice clare, a unor mecanisme independente de control și a unei dezbateri publice substanțiale asupra arhitecturii acestor sisteme, există riscul formulat frecvent în literatura de specialitate privind apariția unei infrastructuri permanente de supraveghere asistată algoritmic, cu funcționare la nivel societal.
Aprobarea tacită a modificărilor legislative de către Camera Deputaților ridică semne de întrebare
Faptul că un proiect cu implicații atât de sensibile a fost adoptat tacit în Camera Deputaților ridică întrebări suplimentare privind calitatea procesului democratic și a dezbaterii parlamentare. În mod obișnuit, astfel de inițiative legislative ar necesita o analiză detaliată, având în vedere impactul potențial asupra drepturilor fundamentale și asupra arhitecturii instituționale de securitate.
În acest context, pot fi identificate mai multe explicații posibile pentru absența unei dezbateri consistente: un interes politic redus față de subiect, complexitatea tehnică ridicată a reglementării, lipsa expertizei digitale specializate la nivel parlamentar, dificultatea reală de a evalua implicațiile infrastructurilor moderne de supraveghere, precum și posibila influență exercitată de instituțiile direct interesate de cadrul legislativ.
În lipsa unei dezbateri publice transparente și aprofundate, problema devine cu atât mai relevantă cu cât proiectul legislativ reglementează în mod direct echilibrul dintre prerogativele statului în materie de securitate și protecția drepturilor și libertăților fundamentale ale cetățenilor.
Umbra trecutului: de ce nivelul de încredere publică este scăzut
Dezbaterea privind această lege nu se desfășoară într-un vid istoric. În România, discuțiile despre extinderea capacităților de supraveghere sunt inevitabil influențate de memoria instituțională a perioadei comuniste, în care aparatul de securitate exercita un control extins asupra societății prin rețele informative și mecanisme de monitorizare generalizată.
Nici perioada post-1989 nu a reușit să elimine complet suspiciunile și controversele legate de activitatea serviciilor de informații și relația acestora cu alte zone ale statului.
În ultimii ani, în spațiul public au fost invocate frecvent o serie de episoade și controverse, printre care:
– discuțiile privind protocoalele de colaborare dintre Serviciul Român de Informații și instituții din sistemul judiciar;
– neclaritățile persistente legate de documentele din arhiva SIPA și posibila lor utilizare în context judiciar;
– dezbaterile privind conceptul de „câmp tactic” în justiție;
– acuzații referitoare la extinderea informală a atribuțiilor serviciilor de informații;
– controverse privind amploarea și utilizarea mandatelor de siguranță națională;
– întrebări privind influența infrastructurilor tehnice asupra procesului penal și actului de justiție.
O parte semnificativă a acestor aspecte nu a fost nici până în prezent clarificată în mod complet și transparent pentru publicul larg. În consecință, persistă o imagine incompletă asupra unor elemente esențiale precum:
– amploarea reală a cooperării operative dintre instituții;
– gradul de acces al serviciilor la dosare și date judiciare;
– rolul infrastructurilor tehnice în procesele decizionale;
– eventualele influențe asupra derulării procesului penal.
Această moștenire instituțională influențează în mod direct nivelul de încredere publică într-o legislație care extinde tocmai capacitățile digitale ale acelorași instituții. În orice democrație consolidată, extinderea instrumentelor de supraveghere digitală este însoțită de un nivel ridicat de încredere instituțională și de mecanisme robuste de control independent — condiții care, în percepția multor observatori, rămân încă insuficient consolidate în România.
De asemenea, afectează inevitabil nivelul de încredere într-o lege care extinde capacitățile digitale ale acelorași instituții.
În orice democrație matură, extinderea supravegherii digitale necesită încredere instituțională ridicată și mecanisme puternice de control independent.
România are încă probleme serioase exact la aceste capitole.
Control parlamentar sau control formal?
Proiectul legislativ prevede că activitățile desfășurate în domeniul securității naționale vor fi supuse controlului parlamentar prin intermediul comisiilor de specialitate.
În plan teoretic, acest mecanism este conceput ca o garanție esențială a controlului democratic, în logica în care Parlamentul supraveghează activitatea serviciilor de informații, iar acestea funcționează în interiorul unui cadru de control civil.
În practică însă, eficiența reală a controlului parlamentar asupra serviciilor de informații din România este frecvent contestată și considerată limitată(aproape inexistentă) de o serie de actori instituționali și experți, inclusiv foști membri ai comisiilor de control, magistrați, specialiști în securitate, organizații pentru drepturile omului, juriști constituționali și analiști ai relației dintre intelligence și statul de drept.
Problema de fond este structurală: infrastructurile moderne de supraveghere digitală și sistemele de analiză algoritmică sunt semnificativ mai complexe decât instrumentele de control parlamentar concepute în anii ’90, ceea ce creează un decalaj între nivelul de sofisticare tehnologică și capacitatea efectivă de supraveghere instituțională.
Limitele structurale ale controlului parlamentar
Criticii susțin că mecanismul actual de control parlamentar asupra serviciilor de informații funcționează, în practică, preponderent ca un instrument formal, cu eficiență limitată în exercitarea unui control substanțial și independent.
Printre vulnerabilitățile recurente semnalate în dezbaterea publică se numără:
– dependența politică a comisiilor de control față de configurațiile majoritare din Parlament;
– absența unei expertize tehnice independente, necesare evaluării infrastructurilor digitale complexe;
– accesul restrâns la sistemele operaționale reale ale serviciilor de informații;
– imposibilitatea verificării directe a algoritmilor și arhitecturilor informatice avansate;
– caracterul predominant clasificat al activităților supuse controlului;
– lipsa unui mecanism extern, autonom, de audit tehnic și operațional;
– dificultăți structurale în evaluarea proporționalității reale a măsurilor de supraveghere.
În plan operațional, rapoartele de activitate ale serviciilor:
– sunt adesea prezentate cu întârziere;
– au un caracter general și descriptiv;
– includ un volum redus de informații tehnice relevante;
– nu sunt, în mod sistematic, accesibile integral publicului;
– nu permit o verificare independentă detaliată a eventualelor disfuncționalități.
În plus, în spațiul public au fost reiterate, de-a lungul timpului, aprecieri critice potrivit cărora:
– unele comisii parlamentare ar fi funcționat mai degrabă ca structuri de avizare decât ca mecanisme de control efectiv;
– nivelul de acces la infrastructurile tehnice ar fi fost insuficient pentru exercitarea unui control real;
– relația instituțională dintre comisii și serviciile de informații ar fi fost influențată de factori politici sau instituționali;
– anumite structuri de intelligence ar fi acumulat o influență semnificativă în zone sensibile ale statului.
În acest context, în dezbaterea publică au fost invocate frecvent episoade precum:
– cazul unor generali SRI;
– discuțiile privind așa-numitul „binom” servicii–justiție;
– acuzațiile referitoare la influențarea unor dosare judiciare;
– ipoteza existenței unor mecanisme informale de exercitare a puterii.
Indiferent de interpretările politice asociate acestor cazuri, în analiza instituțională se conturează o concluzie constantă:
nivelul perceput de încredere în eficiența controlului democratic asupra serviciilor de informații rămâne redus.
Această problematică devine cu atât mai relevantă într-un context în care arhitecturile moderne de intelligence depășesc sfera tradițională a activităților operative, incluzând:
– sisteme automatizate de corelare a datelor;
– procese de analiză algoritmică la scară largă;
– infrastructuri bazate pe inteligență artificială;
– integrarea multiplă a bazelor de date;
– analiză relațională și comportamentală;
– prelucrarea extensivă a metadatelor.
În aceste condiții, modelele clasice de control parlamentar, concepute într-un cadru instituțional și tehnologic specific anilor ’90, prezintă limitări structurale în raport cu auditarea unor infrastructuri digitale complexe, opace și puternic tehnologizate.
Problema expertizei tehnice: cine verifică algoritmii?
Una dintre vulnerabilitățile structurale ale proiectului este absența unui cadru dedicat de audit tehnologic și algoritmic independent, adaptat complexității infrastructurilor digitale moderne.
În forma actuală, proiectul nu prevede în mod explicit:
– instituirea unui auditor tehnic independent;
– crearea unei autorități autonome de supraveghere digitală;
– mecanisme externe de verificare a sistemelor algoritmice;
– audit specific privind utilizarea inteligenței artificiale;
– obligații de expertiză tehnologică specializată;
– forme de control independent asupra procesării automate a datelor.
În acest context, în cazul sistemelor avansate de analiză informațională, întrebarea centrală nu mai vizează exclusiv existența unui mandat legal, ci modul concret de funcționare al infrastructurii algoritmice în ansamblu.
În absența unei expertize tehnice specializate, controlul exercitat la nivel parlamentar întâmpină limite semnificative:
– imposibilitatea auditării modelelor de corelare a datelor;
– dificultăți în evaluarea sistemelor predictive;
– incapacitatea de verificare a mecanismelor de scoring algoritmic;
– imposibilitatea determinării gradului real de profilare;
– limitări în înțelegerea arhitecturii și logicii sistemelor AI opace;
– dificultăți în verificarea respectării principiului proporționalității la nivel tehnic.
În aceste condiții, se conturează o problemă esențială a guvernanței digitale contemporane: decalajul structural dintre complexitatea infrastructurilor algoritmice și capacitatea instituțiilor democratice tradiționale de a le înțelege și audita eficient.
Cetățeanul și iluzia mecanismului de contestare
Proiectul legislativ prevede, la nivel declarativ, posibilitatea ca o persoană să formuleze o plângere în cazul în care consideră că i-au fost încălcate drepturile. În practică însă, eficiența acestui mecanism ridică o serie de probleme structurale.
În primul rând, procedura de contestare presupune adresarea către instituții care fac parte chiar din arhitectura de control și implementare a sistemului, fără intervenția unei autorități independente specializate în supravegherea tehnologiilor de analiză și prelucrare automată a datelor.
În al doilea rând, cadrul normativ stabilește limite semnificative privind transparența informațiilor furnizate, instituțiile nefiind obligate să comunice date referitoare la:
– operațiunile desfășurate;
– metodele utilizate;
– sursele de informații;
– infrastructurile tehnice implicate;
– personalul operativ;
– procedurile interne de lucru.
În aceste condiții, se conturează o dificultate esențială de natură juridică și practică: demonstrarea unui eventual abuz devine problematică în absența accesului la elementele fundamentale ale procesării datelor.
Mai concret, persoana potențial afectată se poate confrunta cu situații în care:
– nu are certitudinea că a fost subiectul unei analize sau al unei monitorizări;
– nu are acces la logica sau infrastructura sistemelor de procesare utilizate;
– nu poate verifica modul de funcționare al algoritmilor implicați;
– nu are acces la datele brute sau la modul de corelare a acestora;
– nu poate contesta în mod efectiv deciziile sau profilările generate automat.
Din această perspectivă, dreptul la contestare, deși existent formal în textul legislativ, riscă să funcționeze mai degrabă ca un mecanism teoretic decât ca un instrument efectiv de protecție juridică în practică.
Autoritatea pentru Protecția Datelor – lipsește din ecuație
Una dintre omisiunile semnificative ale proiectului este lipsa unui rol clar și consolidat pentru Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, în contextul noilor competențe extinse de prelucrare automată a datelor.
Într-un cadru normativ care:
– permite prelucrarea automată a datelor cu caracter personal;
– deschide posibilitatea implementării infrastructurilor algoritmice avansate;
– implică volume semnificative de date sensibile;
– poate avea impact direct asupra vieții private și a altor drepturi fundamentale;
absența unor atribuții explicite și operaționalizate ale autorității de protecție a datelor devine relevantă din perspectivă instituțională și juridică.
În forma actuală, proiectul nu prevede în mod clar:
-obligații sistematice de audit GDPR;
– mecanisme independente de verificare a conformității;
– evaluări obligatorii de tip DPIA (Data Protection Impact Assessment);
– controale periodice privind proporționalitatea prelucrării;
– standarde de transparență aplicabile procesării automate.
În dezbaterile europene contemporane privind inteligența artificială și securitatea națională, astfel de instrumente sunt considerate componente esențiale ale arhitecturii de garanții, menite să prevină extinderea netransparentă a capacităților de supraveghere digitală.
De ce standardele europene favorizează controlul multiplu, nu exclusiv parlamentar
În numeroase state membre ale Uniunii Europene, sistemele de supraveghere digitală și prelucrare avansată a datelor sunt supuse unui model de control instituțional stratificat, care include:
– control parlamentar;
– control judiciar;
– autorități independente de protecție a datelor;
– audit tehnic extern;
– organisme specializate pentru supravegherea sistemelor de inteligență artificială;
– evaluări periodice privind impactul asupra drepturilor fundamentale.
Rațiunea acestui model este una structurală: nici o singură instituție nu dispune, în mod realist, de capacitatea juridică, tehnică și operațională necesară pentru a evalua integral infrastructuri digitale complexe, caracterizate prin:
– analiză automatizată de date;
– utilizarea inteligenței artificiale;
– integrarea multisursă a informațiilor;
– profilare și corelare avansată;
– procesare masivă de metadate.
În acest context, abordarea europeană contemporană consideră că un control exclusiv parlamentar, de unul singur, nu mai este suficient pentru a asigura guvernanța eficientă a sistemelor de supraveghere digitală asistate algoritmic.
Problema fundamentală: cine îi supraveghează pe cei care supraveghează?
Întreaga dezbatere revine, în esență, la o întrebare clasică a statului de drept, amplificată însă de complexitatea erei digitale: cine controlează infrastructura puterii digitale a statului?
Pe măsură ce tehnologia devine mai sofisticată, arhitectura controlului democratic ar trebui să evolueze în mod corespunzător, devenind:
– mai tehnică;
– mai independentă instituțional;
– mai transparentă în funcționare;
– mai specializată din punct de vedere profesional.
În absența unor astfel de mecanisme adaptate noilor realități tehnologice, riscul nu se limitează la eventuale abuzuri punctuale. Se conturează, mai degrabă, posibilitatea apariției unei infrastructuri digitale cu capacități extinse, gestionată prin instrumente de control instituțional insuficient calibrate pentru nivelul de complexitate al sistemelor bazate pe inteligență artificială.
România între standardele CEDO și riscul de repetare a vulnerabilităților
Expunerea de motive face trimitere la o serie de hotărâri relevante ale Curții Europene a Drepturilor Omului, între care:
– Rotaru împotriva României;
– Bucur și Toma împotriva României;
– Dumitru Popescu împotriva României.
În aceste cauze, România a fost condamnată, în esență, pentru:
– lipsa de claritate a cadrului legal privind supravegherea;
– stocarea excesivă sau insuficient reglementată a datelor;
– absența unui control efectiv și independent;
– dificultăți majore în contestarea măsurilor de supraveghere.
În acest context, proiectul legislativ actual propune anumite garanții, precum:
– verificarea periodică a datelor, la intervale de maximum cinci ani;
– obligația de ștergere a informațiilor în anumite condiții;
– reguli privind stocarea, păstrarea și transferul datelor.
Totuși, în analiza critică, apare un paradox structural: în timp ce introduce unele mecanisme de protecție procedurală, proiectul extinde simultan capacitatea de colectare și prelucrare digitală a datelor la nivel sistemic.
Din această perspectivă, o parte a juriștilor avertizează că noul cadru ar putea genera, în timp, o nouă serie de litigii la Strasbourg, în logica jurisprudenței CEDO privind supravegherea și protecția vieții private.
Elasticizarea conceptului de „amenințare”
Un alt element sensibil ține de utilizarea unor noțiuni largi și flexibile, precum:
– „vulnerabilități”;
– „riscuri”;
– „amenințări hibride”.
În practica legislativă comparată, astfel de formulări au fost criticate în numeroase contexte pentru potențialul lor de interpretare extensivă, inclusiv în raport cu:
– monitorizarea jurnaliștilor;
– supravegherea organizațiilor neguvernamentale;
– urmărirea activităților civice sau protestatare;
– extinderea graduală a competențelor serviciilor de informații.
Riscul democratic devine mai pronunțat în momentul în care noțiunea de „amenințare potențială” poate fundamenta mecanisme de supraveghere preventivă cu aplicare extinsă.
Într-un context dominat de inteligență artificială și de capacități avansate de analiză predictivă, această elasticitate conceptuală poate conduce, în absența unor limite clare, la o transformare graduală a excepției de securitate într-o practică permanentă de monitorizare.
O lege care cere foarte multă încredere și oferă foarte puțin control
Proiectul legislativ analizat evidențiază o tensiune structurală între două dimensiuni esențiale ale reglementării: pe de o parte, invocarea unor garanții pentru protecția drepturilor fundamentale, iar pe de altă parte, extinderea semnificativă a infrastructurii legale de supraveghere și prelucrare digitală a datelor.
Din perspectivă democratică, problema centrală nu rezidă în utilizarea de către stat a unor instrumente tehnologice avansate, ci în dezechilibrul dintre:
– nivelul ridicat de încredere instituțională solicitat;
– gradul redus de control efectiv prevăzut;
– caracterul vag al limitelor care definesc exercitarea puterii.
În acest cadru, combinația dintre inteligență artificială, securitate națională, prelucrarea datelor cu caracter personal și absența unor mecanisme robuste de control independent este considerată, în literatura de specialitate, una dintre cele mai sensibile configurații normative din perspectiva riscurilor pentru drepturile fundamentale.
Un cadru legislativ actualizat parțial într-o realitate tehnologică depășită
O întrebare esențială care derivă din analiza proiectului vizează nu doar conținutul acestuia, ci și arhitectura normativă existentă: măsura în care extinderea capabilităților digitale ale serviciilor de informații este realizată în absența unei reforme sistemice a cadrului legislativ general privind securitatea națională.
În prezent, arhitectura juridică a sistemului românesc de intelligence se sprijină în principal pe:
– Legea nr. 51/1991 privind securitatea națională;
– Legea nr. 14/1992 privind organizarea și funcționarea SRI;
– Legea nr. 1/1998 privind SIE;
– reglementări privind STS, SPP, DIPI, DGIA;
un ansamblu normativ elaborat într-un context tehnologic și geopolitic fundamental diferit.
Aceste acte normative au fost concepute într-o perioadă caracterizată prin:
– absența internetului în forma actuală;
– inexistența rețelelor sociale;
– lipsa conceptelor de big data și inteligență artificială;
– absența infrastructurilor digitale de analiză algoritmică la scară largă.
În ultimele trei decenii, evoluția tehnologică a fost accelerată și profund transformatoare, însă mecanismele de control democratic, audit instituțional și supraveghere independentă au rămas, în mare măsură, ancorate într-o logică normativă specifică anilor ’90.
Asimetria dintre modernizarea tehnologică și cea instituțională
Această discrepanță generează o vulnerabilitate structurală importantă: extinderea unor capabilități tehnologice avansate în cadrul unui sistem normativ fragmentat și insuficient adaptat realităților erei digitale.
În numeroase state europene, modernizarea infrastructurilor de securitate a fost însoțită de un pachet complementar de reforme, incluzând:
– consolidarea controlului parlamentar;
– instituirea unor mecanisme independente de audit;
– reglementarea explicită a utilizării inteligenței artificiale;
– dezvoltarea supravegherii juridice specializate;
– crearea unor autorități tehnice autonome;
– definirea strictă a limitelor privind profilarea și analiza automată.
În acest context comparativ, dezbaterea internă pare să se concentreze preponderent asupra extinderii capacităților tehnice, în absența unei modernizări echivalente a mecanismelor de control și responsabilizare democratică.
Această asimetrie ridică, în mod inevitabil, întrebări fundamentale privind echilibrul dintre:
– imperativele de securitate;
– expansiunea infrastructurii digitale a statului;
– protecția drepturilor fundamentale;
– eficiența controlului democratic efectiv.
Discuțiile privind modificarea Legii nr. 51/1991 privind securitatea națională readuc în prim-plan o dezbatere recurentă în Europa ultimilor ani: până unde poate merge statul în colectarea și prelucrarea datelor fără a afecta echilibrul dintre securitate și drepturile fundamentale.
În actuala formă a dezbaterii publice, pozițiile par polarizate. Susținătorii proiectului invocă necesitatea modernizării capacităților instituționale în fața amenințărilor cibernetice, a războiului hibrid și a operațiunilor de dezinformare. De cealaltă parte, criticii semnalează riscul extinderii infrastructurii de supraveghere digitală, pe fondul unor formulări legislative considerate vagi și al unor garanții insuficient detaliate.
Dincolo de această polarizare, rămâne însă o problemă de fond: nivelul dezbaterii nu reflectă încă complexitatea tehnologică a instrumentelor pe care legea le permite.
O lege care definește mai degrabă competențe decât limite
Una dintre prevederile centrale ale proiectului permite instituțiilor din domeniul securității naționale să creeze, administreze și utilizeze baze de date, sisteme informatice și aplicații online.
În principiu, o astfel de formulare este compatibilă cu funcționarea unui stat modern. Totuși, lipsa unor definiții operaționale clare — în special pentru concepte precum „alte resurse online” sau „prelucrare automată” — lasă un spațiu larg de interpretare, în care evoluția tehnologică poate depăși cadrul de control juridic.
În acest context, nu este suficient de clar unde se trasează linia dintre analiza de date și decizia cu efecte asupra persoanelor — distincție esențială în era sistemelor bazate pe inteligență artificială.
Analiză automată și decizie automată: o distincție esențială
În practică, utilizarea instrumentelor automatizate de analiză a datelor este deja o realitate în arhitecturile moderne de securitate. Problema juridică nu privește existența acestor tehnologii, ci gradul lor de autonomie.
În dreptul european, inclusiv în interpretarea articolului 22 din GDPR, deciziile care produc efecte semnificative asupra persoanelor nu pot fi luate exclusiv pe baza prelucrării automate, fără intervenție umană.
În forma actuală a proiectului, această delimitare nu este suficient de clar definită. Nu rezultă explicit dacă sistemele utilizate pot rămâne la nivelul analizei de date sau dacă pot genera automat profiluri operaționale cu potențial impact indirect asupra persoanelor vizate.
Ambiguitatea devine relevantă mai ales în contextul utilizării sistemelor de inteligență artificială capabile să coreleze volume mari de date și să genereze evaluări de risc sau conexiuni relaționale.
Riscul profilării extinse
Un alt aspect insuficient clarificat privește profilarea. În absența unor limite explicite, rămâne deschisă interpretarea potrivit căreia pot fi realizate forme extinse de corelare între date comportamentale, relaționale și sociale.
În lipsa unei distincții clare între analiza punctuală, pe bază de mandat, și profilarea sistemică la scară largă, controlul juridic devine preponderent ulterior, nu preventiv.
Din perspectivă democratică, aceasta reprezintă o zonă sensibilă, întrucât profilarea este mecanismul prin care datele brute pot fi transformate în evaluări operaționale.
Lipsa auditului algoritmic independent
Dezbaterea actuală se concentrează în principal pe controlul parlamentar și judiciar. Totuși, infrastructurile moderne de analiză ridică o altă problemă: verificarea algoritmilor și a sistemelor de inteligență artificială utilizate.
Proiectul nu prevede în mod explicit mecanisme precum:
– audit algoritmic independent
– verificarea sistemelor AI
– testarea bias-ului și a erorilor sistemice
– transparență tehnică privind procesarea automată
În absența acestor instrumente, controlul democratic rămâne preponderent formal, întrucât instituțiile de supraveghere nu dispun, în mod necesar, de capacitatea tehnică de a evalua funcționarea reală a sistemelor.
Evaluarea impactului și guvernanța algoritmică
Un alt element absent este obligativitatea evaluărilor de impact asupra protecției datelor și drepturilor fundamentale (DPIA), în cazul sistemelor de prelucrare automatizată.
În mod obișnuit, astfel de evaluări sunt considerate esențiale în situații care implică profilare, analiză comportamentală sau utilizarea inteligenței artificiale în contexte sensibile.
De asemenea, proiectul nu introduce o autoritate tehnică independentă care să poată audita infrastructurile digitale utilizate în domeniul securității naționale, ceea ce menține controlul într-un registru exclusiv juridic și parlamentar, în raport cu sisteme profund tehnologice.
Mandat și infrastructură: o schimbare de paradigmă
Actualul cadru juridic este construit în jurul ideii de mandat pentru măsuri punctuale — interceptări, localizare sau acces la date.
Noile tehnologii introduc însă o schimbare de paradigmă: de la acțiuni individuale la infrastructuri permanente de analiză a datelor. Acestea permit procesarea continuă a unor volume mari de informații, fără autorizare separată pentru fiecare operațiune în parte.
Această tranziție nu este încă reflectată suficient de clar în arhitectura legislativă propusă.
Control democratic și complexitate tehnologică
Una dintre tensiunile majore ale epocii digitale este decalajul dintre ritmul dezvoltării tehnologice și capacitatea instituțiilor democratice de a o controla eficient.
Parlamentul și instanțele reprezintă instrumente esențial juridice. Infrastructurile moderne de securitate sunt însă, în mod fundamental, sisteme tehnice.
În absența unor mecanisme intermediare — audit tehnic independent, expertiză algoritmică și transparență parțială a sistemelor — controlul riscă să rămână formal, chiar dacă este corect procedural.
Ce ar necesita o reglementare echilibrată
O abordare completă ar presupune, printre altele:
– definirea clară a diferenței dintre analiză automată și decizie automată
– limitarea explicită a profilării generale
– audit algoritmic independent periodic
– evaluări de impact obligatorii (DPIA) fără excepții generale
– definirea restrictivă a conceptelor vagi precum „alte resurse online”
– control independent asupra infrastructurilor, nu doar asupra operațiunilor
– interzicerea deciziilor exclusiv automate cu efect juridic sau semnificativ
Aceste garanții nu restricționează activitatea de securitate, ci o aliniază la standardele europene actuale privind protecția datelor și guvernanța inteligenței artificiale.
În acest context, rolul Parlamentului nu ar trebui redus la o funcție formală de validare a unor inițiative legislative deja finalizate la nivel executiv sau instituțional. Într-un stat democratic funcțional, Parlamentul trebuie să își exercite pe deplin funcția deliberativă, ceea ce implică o dezbatere reală, substanțială și informată asupra implicațiilor tehnice și juridice ale unor astfel de reglementări, nu doar o aprobare procedurală a unor texte deja conturate.
Această exigență devine cu atât mai importantă în domeniul securității naționale și al infrastructurilor digitale, unde complexitatea tehnologică depășește adesea capacitatea de analiză rapidă a procesului legislativ clasic. Parlamentul nu poate funcționa ca o cameră de ratificare, ci ca un veritabil spațiu de filtrare democratică, în care sunt evaluate critic atât necesitatea măsurilor, cât și proporționalitatea și riscurile lor sistemice.
În același timp, controlul democratic nu poate fi redus exclusiv la nivel parlamentar. Este esențială implicarea efectivă a altor instituții cu rol de supraveghere și expertiză, care pot contribui la evaluarea independentă a impactului acestor tehnologii. Autoritățile de supraveghere relevante — inclusiv cele cu atribuții în domeniul protecției datelor, al drepturilor fundamentale sau al conformității administrative — ar trebui să aibă un rol consultativ și de avizare reală, nu pur formal, inclusiv prin emiterea de puncte de vedere motivate, analize de impact și evaluări tehnico-juridice.
Chiar și în situațiile în care cadrul legal nu prevede în mod explicit un aviz obligatoriu, absența unei poziționări instituționale din partea acestor autorități ridică probleme de transparență și de calitate a procesului decizional. Într-un ecosistem instituțional complex, lipsa unui punct de vedere specializat nu ar trebui interpretată ca neutralitate, ci ca o posibilă lacună de guvernanță.
De aceea, pe lângă Parlament, devine esențială implicarea coerentă a ansamblului de autorități cu competențe în supraveghere, reglementare și protecția drepturilor fundamentale, astfel încât decizia legislativă să fie rezultatul unei evaluări pluraliste, și nu al unui circuit instituțional unilateral.
Dezbaterea privind modificarea legislației securității naționale nu este, în esență, despre oportunitatea utilizării tehnologiei avansate — aceasta este deja o realitate.
Miza reală este dacă arhitectura juridică și instituțională este suficient de precisă și robustă pentru a controla utilizarea acestor tehnologii.
În absența unor definiții clare, a unui audit tehnic independent și a unei separări explicite între analiză și decizie, riscul nu este doar abuzul punctual, ci consolidarea unei infrastructuri de putere digitală dificil de evaluat și controlat democratic.
Într-un stat modern, întrebarea centrală nu mai este doar cine are acces la date, ci cine poate înțelege și verifica sistemele care le procesează.
Iar acest răspuns nu mai poate fi exclusiv juridic. Trebuie să fie și tehnic.
În plus, înainte de a adopta sau extinde astfel de măsuri privind colectarea și prelucrarea extinsă a datelor, România ar trebui să își actualizeze în mod prioritar legislația de securitate națională, precum și cadrul normativ care reglementează activitatea serviciilor de informații, întrucât acestea sunt în prezent în mare parte învechite, insuficient adaptate realităților tehnologice actuale, marcate de lipsă de claritate și un grad ridicat de opacitate instituțională, ceea ce face dificilă asigurarea unui control democratic efectiv și a unei delimitări precise a competențelor.
Accesează și:
– Palantir Technologies: Arhitectura datelor în era digitală – ”stiridigitale.ro”
– Independența justiției și foștii ofițeri de informații: România are nevoie de „cooling-off” – ”stiridigitale.ro”
– Luju.ro: SERVICIILE SECRETE NU POT FI LASATE SA-SI FACA DE CAP – Interviu cu senatorul Claudiu Tarziu – ”stiridigitale.ro”
Foto: ”magnific.com”
