Ce este legea Big Brother la români de dragul securității naționale? Suntem mai aproape de supravegherea în masă cu AI decât ai crede în România

În timp ce atenția publică este consumată de crize politice, moțiuni de cenzură și negocieri pentru guvernare, în Parlament se discută o lege cu potențial mult mai profund pentru viața de zi cu zi a cetățenilor. Proiectul 565/2025, aflat în procedură de urgență la Senat, promite să reglementeze modul în care autoritățile cu atribuții în securitatea națională pot prelucra date personale. În realitate, mai mulți experți consultați de Snoop avertizează că textul riscă să deschidă ușa către o formă de supraveghere extinsă, insuficient controlată, inclusiv cu ajutorul algoritmilor de inteligență artificială.

Pe hârtie, proiectul apare ca o încercare de aliniere la standardele impuse de Curtea Europeană a Drepturilor Omului, după cazuri în care România a fost criticată pentru lipsa unor reguli clare privind datele stocate sau folosite de serviciile de informații. În practică, problema este că legea introduce unele garanții, precum obligația verificării periodice a necesității păstrării datelor, dar lasă neclare exact zonele cele mai sensibile: cine poate fi introdus în sistemele de evidență, ce tipuri de baze de date pot fi create, ce înseamnă „alte resurse în mediul online” și cine controlează independent aceste mecanisme.

Ce ar permite noua lege serviciilor de informații

Proiectul dă autorităților din zona securității naționale, inclusiv SRI, SIE, SPP, MApN, MAI și structuri specializate din Ministerul Justiției, posibilitatea de a crea, dezvolta, administra și utiliza aplicații, baze de date, sisteme informatice, sisteme de comunicații și resurse online. Formularea pare tehnică și neutră, dar tocmai generalitatea ei ridică primele semne de întrebare. Fără definiții clare, aceeași formulă poate acoperi de la servere interne și aplicații administrative până la platforme complexe de analiză și colectare automată a datelor.

Un alt element esențial este posibilitatea de a prelucra date cu caracter personal prin mijloace automate sau neautomate. În limbajul tehnologic actual, „mijloace automate” poate însemna inclusiv folosirea unor algoritmi, sisteme AI sau instrumente capabile să proceseze volume uriașe de informații într-un timp foarte scurt. Aici apare riscul major: ceea ce înainte era limitat de resurse umane, timp și capacitate operațională poate deveni, prin automatizare, o infrastructură de monitorizare la scară mult mai mare.

Legea introduce și o obligație aparent pozitivă: datele trebuie verificate cel puțin o dată la cinci ani pentru a se stabili dacă mai este necesară păstrarea lor. Dacă nu au legătură cu vulnerabilități, riscuri sau amenințări la adresa securității naționale, acestea ar trebui șterse. Problema este că un interval de cinci ani este foarte lung pentru o persoană care nu știe că este inclusă într-un sistem de evidență și nu are un mecanism real de verificare independentă.

Mai delicat este controlul propus. În forma actuală, acesta ar urma să fie exercitat prin comisiile parlamentare permanente. Dacă o persoană consideră că i-au fost încălcate drepturile, se poate adresa comisiei de control, iar comisia cere un punct de vedere de la autoritatea vizată. Serviciul poate răspunde fără să ofere detalii despre surse, metode, mijloace, acțiuni sau operațiuni operative. Cu alte cuvinte, cetățeanul reclamă o posibilă încălcare, iar răspunsul depinde în mare parte chiar de instituția acuzată.

De ce este invocată supravegherea în masă cu AI

Temerea cea mai mare a specialiștilor nu este că serviciile ar primi calculatoare mai bune sau baze de date mai ordonate. Problema este că textul ar putea permite prelucrarea automată a datelor personale fără obligații clare de evaluare a impactului asupra drepturilor fundamentale. În legislația europeană privind protecția datelor, deciziile automate și profilarea sunt tratate cu prudență tocmai pentru că pot afecta accesul oamenilor la drepturi, libertăți, servicii sau protecție juridică.

Vezi și:

Microsoft pariază pe AI și calculul cuantic: compania promite un computer cuantic funcțional până în 2029

Digi România bate palma cu statul român într-un contract de 196 de milioane de euro pentru un „ChatGPT românesc”. Tot ce trebuie să știi despre finanțarea prin SAFE

Consultantul Tudor Galoș, citat de Snoop, avertizează că astfel se poate ajunge la un „Big Brother generalizat”. Logica este simplă: dacă un serviciu putea monitoriza manual un număr limitat de persoane, un sistem automatizat poate analiza simultan sute de mii de profiluri, relații, interacțiuni, metadate și tipare comportamentale. Nu trebuie să interceptezi conținutul fiecărei conversații ca să reconstruiești viața cuiva. Uneori, metadatele spun suficient: cine cu cine vorbește, când, cât de des, din ce locuri, prin ce canale și în ce rețele sociale sau profesionale se mișcă.

În zona AI, această putere devine și mai problematică. Un algoritm poate identifica tipare, poate grupa persoane, poate marca „anomalii” și poate genera suspiciuni pe baza unor criterii pe care cetățeanul nu le cunoaște și pe care nici măcar autoritățile nu le pot explica mereu complet. De aceea, specialiștii cer evaluări de impact privind protecția datelor și drepturile fundamentale. În forma descrisă de Snoop, aceste obligații nu sunt introduse explicit în proiect.

Exemplul cel mai sensibil este cel al sistemelor de tip Palantir Gotham, evocate de Bogdan Manolea, de la Asociația pentru Tehnologie și Internet. Astfel de platforme pot agrega date din surse multiple și pot construi rapid hărți de relații între persoane, instituții, comunicații, deplasări sau comportamente online. O asemenea tehnologie poate fi utilă în investigații reale de securitate, dar devine periculoasă atunci când legea nu stabilește limite clare, audit independent și criterii precise pentru includerea unei persoane în sistem.

Ce lipsește din proiect și de ce contează

Una dintre cele mai mari probleme este lipsa mandatului judecătoresc prealabil pentru crearea sau folosirea unor baze de date cu date personale în contextul noilor atribuții. În prezent, pentru interceptări, localizări sau supravegheri care restrâng drepturi fundamentale, serviciile au nevoie de autorizări. Proiectul discutat pare să creeze o zonă separată, în care colectarea și prelucrarea unor date sau metadate ar putea fi făcută fără același nivel de control.

Lipsesc și criteriile clare prin care o persoană ajunge într-un sistem de supraveghere sau evidență. Aici riscul nu este doar teoretic. Dacă noțiuni precum „amenințări hibride”, „vulnerabilități” sau „securitate națională” rămân largi și insuficient definite, ele pot fi interpretate extensiv. Un jurnalist, un activist, un ONG, un cercetător sau un cetățean vocal ar putea ajunge în atenția unui sistem automatizat fără să știe, fără să poată contesta eficient și fără să existe un filtru extern puternic înainte.

Consiliul Legislativ și Ministerul Justiției au semnalat, potrivit Snoop, probleme de claritate și predictibilitate. Expresii precum „sisteme informatice și de comunicații”, „aplicații” sau „alte resurse în mediul online” sunt considerate prea vagi. Într-un domeniu în care statul poate restrânge drepturi, legea trebuie să fie precisă. Cetățeanul trebuie să înțeleagă ce este permis, ce este interzis, cine decide, pe ce durată și cu ce garanții.

CEDO a arătat în mai multe cauze că supravegherea în masă nu poate funcționa într-un vid democratic. Nu este obligatoriu în toate cazurile ca fiecare operațiune să fie autorizată anterior de un judecător, dar trebuie să existe garanții puternice, control independent și posibilitatea reală de contestare. Dacă aceste garanții lipsesc sau sunt doar formale, legea devine vulnerabilă nu doar politic, ci și constituțional.

România are deja un istoric sensibil cu serviciile și datele personale

Cazurile Bucur și Toma contra României și Rotaru contra României arată că problema nu este nouă. În primul caz, România a fost condamnată la CEDO după ce Constantin Bucur, fost angajat SRI, a făcut publice informații despre interceptări ilegale ale unor jurnaliști, politicieni și oameni de afaceri. Curtea a considerat că dezvăluirea a fost făcută în interes public și că avertizorii de integritate trebuie protejați atunci când semnalează abuzuri.

În cazul Rotaru, problema a fost existența unui dosar SRI care conținea informații vechi și chiar false despre o persoană, fără ca aceasta să aibă o cale eficientă de verificare și corectare. CEDO a stabilit că legislația românească nu reglementa suficient de clar scopul, durata și procedurile de stocare a informațiilor de către serviciile de informații. Tocmai astfel de condamnări sunt invocate astăzi ca motiv pentru reglementarea domeniului.

Paradoxul este că proiectul actual încearcă să repare o problemă reală, dar ar putea crea una mai mare. România chiar are nevoie de reguli clare pentru datele personale din zona securității naționale. Serviciile nu pot funcționa într-o lume digitală cu instrumente legislative învechite. Dar modernizarea capacităților tehnice trebuie însoțită de modernizarea controlului democratic, nu de slăbirea lui.

Dacă legea va trece în forma actuală, riscul este ca România să facă un salt tehnologic în supraveghere fără un salt echivalent în transparență, audit, responsabilitate și protecția cetățeanului. Într-o democrație, securitatea națională nu poate fi folosită ca formulă magică pentru orice extindere de putere. Cu cât instrumentele statului devin mai puternice prin AI, cu atât garanțiile trebuie să fie mai clare, mai independente și mai greu de ocolit.

Companiile românești care puteau concura cu Digi pentru cele 196 de milioane de euro din SAFE. Cine putea primi contractul cu SRI