Ο κυβερνητικός εκπρόσωπος, Παύλος Μαρινάκης, επιβεβαίωσε μεν τον σχεδιασμό για την διαμόρφωση ρυθμιστικού πλαισίου, αλλά επιχείρησε να διασκεδάσει τις εντυπώσεις από το χθεσινό δημοσίευμα του in που αποκάλυψε την ύπαρξη σχεδίου Προεδρικού Διατάγματος για τις προϋποθέσεις προμήθειας νέων λογισμικών ή συσκευών παρακολούθησης (τύπου Pegasus, Predator κλπ) από την ΕΥΠ, την Διεύθυνση Αντιμετώπισης Ειδικών Εγκλημάτων Βίας (Αντιτρομοκρατική Υπηρεσία) και τη Διεύθυνση Διαχείρισης και Ανάλυσης Πληροφοριών της ΕΛ.ΑΣ.
Ερωτηθείς σχετικά, ο κ. Μαρινάκης δήλωσε πως τα δημοσιεύματα αυτά παραποιούν την πραγματικότητα και πως δεν υπάρχει κανένα τέτοιο σχέδιο αγοράς. «Δεν ξέρουμε όλη αυτή η διαρροή από πού έγινε, ήταν αλλοιωμένη με εντυπώσεις που δεν έχουν σχέση με την πραγματικότητα», συμπλήρωσε.
Όμως, παραδέχθηκε ότι «υπάρχει ένα σχέδιο διαμόρφωσης του ρυθμιστικού πλαισίου -με βάση όσα προβλέπει ο νόμος- που θα διέπει συνολικά το καθεστώς τέτοιων περιπτώσεων. Ουσιαστικά μια διαδικασία διαμόρφωσης σχεδίου, το οποίο δεν έχει διαρρεύσει σε καμία περίπτωση από την κυβέρνηση, δεν είναι καν δηλαδή κάτι περισσότερο προχωρημένο. Όλη αυτή η διαρροή δεν ξέρουμε από πού έγινε, εν πάση περιπτώσει, δεν μπορούμε να κάνουμε κάποιο παραπάνω σχόλιο».
Άραγε, γιατί δημιουργείται ρυθμιστικό πλαίσιο, εάν δεν υπάρχει σκοπός προμήθειας και χρήσης λογισμικού παρακολούθησης;
Το σχέδιο του ΠΔ είναι, όμως, στη διάθεση του in από την πρώτη στιγμή που ήρθε εις γνώση του το θέμα αυτό.
Για να είναι σαφές και το αντικείμενο του, αναφέρουμε ότι στο άρθρο 2 του ΠΔ ορίζει ακριβώς το υλικό που σχεδιάζει να προμηθευτεί η κυβέρνηση:
«Λογισμικό ή συσκευή παρακολούθησης» του άρθρου 370ΣΤ είναι το λογισμικό ή η συσκευή που είναι ειδικά σχεδιασμένο/η ή τροποποιημένο/η για να αποφεύγει τον εντοπισμό του/της ή για να ξεπερνάει τα “προστατευτικά αντίμετρα” ενός υπολογιστή ή μιας δικτυακά συνδεόμενης συσκευής και για να εκτελεί οποιαδήποτε από τις ακόλουθες ενέργειες: α) την απομακρυσμένη εξαγωγή δεδομένων ή πληροφοριών από έναν υπολογιστή ή μια δικτυακά συνδεόμενη συσκευή, ή την τροποποίηση συστήματος ή δεδομένων χρήστη, η β) την τροποποίηση της τυπικής διαδρομής εκτέλεσης ενός προγράμματος ή μιας διεργασίας προκειμένου να επιτραπεί η εκτέλεση οδηγιών που δίνονται από εξωτερική πηγή».
Θυμίζουμε εδώ ότι το άρθρο 14 του ν. 5002/22 αναφέρει ότι: «Με προεδρικό διάταγμα, που εκδίδεται εντός τριών (3) μηνών από την έναρξη ισχύος του παρόντος, μετά από πρόταση των Υπουργών Προστασίας του Πολίτη, Εθνικής Άμυνας, Δικαιοσύνης και Ψηφιακής Διακυβέρνησης, καθορίζονται οι προϋποθέσεις υπό τις οποίες είναι επιτρεπτή η σύναψη συμβάσεων εκ μέρους κρατικών δομών για την προμήθεια λογισμικών ή συσκευών παρακολούθησης του άρθρου 370ΣΤ του Ποινικού Κώδικα για την εκπλήρωση των σκοπών τους, καθώς και επιπρόσθετοι όροι της χρήσης τους.»
Το δε άρθρο του 370ΣΤ του Ποινικού Κώδικα, όπως ισχύει μετά τον ν. 5002/22 είναι αυτό που αφορά την απαγόρευση διακίνησης λογισμικών, συσκευών παρακολούθησης και άλλων δεδομένων από ιδιώτες.
Σε αυτό το φόντο το σχέδιο ΠΔ έρχεται να εξειδικεύσει τι σημαίνει λογισμικό ή συσκευές παρακολούθησης που θα μπορούν να προμηθευτούν οι αρμόδιες κρατικές υπηρεσίες. Είναι δε σαφές από το απόσπασμα που παραθέσαμε πιο πάνω ότι αυτό περιλαμβάνει και λογισμικό τύπου spyware, όπως ήταν το Predator και το Pegasus. Και είναι επίσης σαφές ότι η αποσαφήνιση αυτή δεν μπορεί παρά να γίνεται στον ορίζοντα ενδεχόμενης προμήθειάς τέτοιων συστημάτων από κρατικές υπηρεσίες ασφαλείας.
Αναστάτωση στο Μαξίμου
Σύμφωνα με πληροφορίες, η δημοσιοποίηση της ύπαρξης του συγκεκριμένου σχεδιασμού προκάλεσε αναστάτωση στο Μέγαρο Μαξίμου δεδομένου ότι ήθελε – όπως είναι κατανοητό από μεριάς τους – να κρατήσει μυστική τη διαδικασία, ενόσω «τρέχει και έιναι ανοικτή» η διαδικασία για την υπόθεση των υποκλοπών.
Εξάλλου, οι ίδιες πληροφορίες επιμένουν πως το Μέγαρο Μαξίμου είχε την πρωτοβουλία να κινήσει τις διαδικασίες του ν. 5002/2022 και να ζητήσει από το υπουργείο Προστασίας του Πολίτη να προετοιμάσει το σχετικό ΠΔ, όπως προβλέπει ο νόμος που εισηγήθηκε και ψήφισε η παρούσα κυβέρνηση.
Το ΠΔ βρίσκεται αυτή τη στιγμή στην διαδικασία συλλογής γνωμοδοτήσεων (οι οποίες επικεντρώνουν βασικά σε θέματα αντισυνταγματικότητας) από αρμόδιες αρχές, στις οποίες διαβιβάστηκε, κατά πληροφορίες, από τον αντιστράτηγο Αστέριο Μαντζιώκα.
Αναπάντητα ερωτήματα για το λογισμικό
Τα ερωτήματα που προκύπτουν είναι συγκεκριμένα.
- Γιατί πάρθηκε η απόφαση να μην έχει λόγο η κατά το Σύνταγμα ανεξάρτητη αρχή και πραγματογνώμονας, η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών, επί των τεχνικών προδιαγραφών των λογισμικών ή συσκευών παρακολούθησης.
Στις περιγραφές των όρων χρήσης αναφέρεται ρητώς ότι «οι κρατικές δομές υποχρεούνται να καταρτίσουν Πολιτική Ασφαλείας, η οποία θα διέπει τη χρήση των συγκεκριμένων λογισμικών ή συσκευών παρακολούθησης». Ωστόσο προκύπτει το κρίσιμο ερώτημα:
- Θα έχουν λόγο για την πολιτική ασφαλείας οι αρμόδιες ανεξαρτητες αρχές, δηλαδή η ΑΔΑΕ κι η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, ώστε να υπάρχουν πραγματικές ασφαλιστικές δικλείδες απέναντι σε τυχόν αυθαιρεσίες των κρατικών υπηρεσιών;
Το ΠΔ αναφέρεται σε λογισμικά αλλά και συσκευές.
- Υπάρχει σκέψη για προμήθεια παραπάνω από ένα συστημάτων; Κι αν ναι, οι εισαγγελείς που θα υπογράφουν το βούλευμα έγκρισης παρακολούθησης θα γνωρίζουν με ποιο σύστημα θα πραγματοποιείται αυτή;
- Έχει ως σήμερα εφαρμοστεί η ρητή πρόβλεψη του ν. 5002/2022 ότι λογισμικά ή συσκευές παρακολούθησης πρέπει να καταγράφονται σε κατάλογο που συντάσσει η ολομέλεια της ΑΔΑΕ μετά από εισήγηση της Επιτροπής Συντονισμού για θέματα Κυβερνοασφάλειας;
- Θα τηρηθεί η πρόβλεψη ο κατάλογος αυτός να επικαιροποιείται το αργότερο κάθε 6 μήνες;