Big Brother-ul facturilor a 7 milioane de cetățeni români
Am trimis astazi o scrisoare deschisă, cu cereri de a acționa către Avocatul Poporului și către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. Redăm aici conținutul în întregime.
Guvernul a adoptat - într-un regim de urgență total nejustificat și după o dezbatere publică care nu a existat, de fapt, - o nouă ordonanță de urgență (OUG 69/2024) care extinde sistemul e-Factura în relația cu consumatorii. Problemele principale vor fi probabil legate în special de cumpărăturile online, unde de obicei se emite o factură pentru orice achiziție online a unei persoane fizice.
Ceea ce pare o măsură pur fiscală este încă un exemplu de colectare excesivă, dar și un model de incompetență crasă față de datele personale ale cetățenilor si a drepturilor lor fundamentale
Includerea facturilor emise către consumatori în sistemul e-Factura va crea o bază de date uriașă de date personale, cu informații din sau legate de toate categoriile de date personale, inclusiv date personale cu caracter special (art 9 GDPR) sau datele personale ale copiilor. Copii folosesc deja magazinele online pentru a face achiziții, iar datele despre ce cumpără aceștia, deci date personale legate de persoane minore, vor apărea în această bază de date.
Cu o măsură care se aplică din 1 iulie 2024 (voluntar) și de la 1 ianuarie 2025 (obligatoriu), Guvernul își propune de fapt să facă o baza de date care va strânge date detaliate despre obiceiurile de cumpărare online (ce anume cumpără, data și ora exactă, de unde, etc.) de la peste 7 milioane de cetățeni (68% dintre cei care accesează Internetul în 2023) care cumpăra de la magazine online administrate de firme din România.
În acest mod propunerea pare a avantaja magazinele online care sunt administrate de firme din alte țări, care nu vor avea această obligație. Mai direct și ironic spus - datele tale personale nu ajung la statul român dacă cumperi de la chinezi.
În mod normal o astfel de măsură nu ar putea să fi fost nici măcar gândită fără o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal (conform art 35 GDPR). O astfel de analiză ar fi arătat că, de fapt, pentru rezolvarea problemelor de raportare fiscală orice prelucrare de date personale este excesivă (vezi principiile din art 5 GDPR). Pentru acest scop nu este nevoie de numele consumatorului, exact ce a cumpărat si/sau data și ora la care s-a făcut tranzacția.
Mai direct și ironic spus statul român nu are nevoie să știe dacă Ion Popescu a cumpărat cremă de hemoroizi pe 25 iunie 2024, la ora 17:02:02.
Și totuși ANAF cere acum aceste date. Iar soluția nu este una tehnică, de implementare, pentru că datele nu trebuie anonimizate o dată ce au ajuns pe serverele ANAF. Datele NU trebuie cerute deloc de la persoana juridică.
Este extrem de important să realizăm că lista tuturor lucrurilor pe care noi le-am cumpărat pot să genereze informații sensibile despre orice categorie specială de date, inclusiv despre starea noastră de sănătate, viața sexuală sau orientarea sexuală, despre opiniile confesiunea religioasă sau afinitatea politică. Mai mult, chiar dacă sistemul e-Factura nu colectează direct date personale cu caracter special, acestea pot fi deduse indirect din datele deja disponibile pe serverele ANAF. Practic nici conform OUG 69/2024 nu există niciun temei legal adecvat - conform art 9 GDPR - care ar permite colectarea în mod legal al acestor date din categoriile speciale! Chiar si fără datele din categoriile speciale datele acestea vor fi aur curat pentru orice data broker sau actor malițios pentru orice scop, în special profilare politică sau comercială
Caracterul extrem de sensibil al datelor din această bază de date o face o țintă valoroasă pentru atacuri cibernetice. Până și sustragerea unui subset din toate aceste date ar fi extrem de periculoasă și dăunătoare pentru cetățeni. Cea mai eficientă cale de a nu expune infrastructura ANAF unor atacuri este, deci, de a nu crea această bază de date în primă fază.
Nu e surprinzător ce adopta Guvernul, câtă vreme instituțiile publice din Romania sunt exceptate, în practică, de la obligația de a proteja datele cu caracter personal și a nu le colecta fără să fie nevoie, riscând doar un avertisment la prima încălcare a Regulamentului GDPR.
Cerem autorităților competente - în special Avocatului Poporului și Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal - să reacționeze public la aceasta încălcare grosolană a drepturilor cetățenilor si sa-și exercite de urgența atribuțiile legale având in vedere pericolul iminent (de la 1 iulie 2024) de colectare și procesare excesivă a unui set imens de date, cu riscuri majore pentru un procent majoritar al populației.
Cerem Guvernului să retragă acest OUG și să demareze procesul legal de analiza a procesului de colectare a datelor personale, inclusiv obligarea anonimizarii tuturor datelor personale înainte de transmiterea lor către ANAF.
Update: Ca să fie tacâmul complet, se pare că art 101alin (3) pare ca introduce si obligativitate colectării Codului Numeric Personal pe toate facturile și transmiterea si acestor date catre ANAF, pentru a beneficia de prezumtia de livrare/prestare:
(3) Livrările de bunuri/Prestările de servicii efectuate către o persoană fizică care se identifică în relația cu furnizorul/ prestatorul prin codul numeric personal se consideră efectuate în relația B2C.
Add new comment