Asociația pentru Tehnologie și Internet a trimis o scrisoare deschisă către Avocatul Poporului și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal pe tema ordonanței de urgență E-Factura. Reproducem această scrisoare cu acordul APTI.
Guvernul a adoptat – într-un regim de urgență total nejustificat și după o dezbatere publică care nu a existat, de fapt – o nouă ordonanță de urgență (OUG 69/2024) care extinde sistemul e-Factura în relația cu consumatorii.
Problemele principale vor fi probabil legate în special de cumpărăturile online, unde de obicei se emite o factură pentru orice achiziție online a unei persoane fizice.
Ceea ce pare o măsură pur fiscală este încă un exemplu de colectare excesivă, dar și un model de incompetență crasă față de datele personale ale cetățenilor și a drepturilor lor fundamentale.
Includerea facturilor emise către consumatori în sistemul e-Factura va crea o bază uriașă de date personale, cu informații din sau legate de toate categoriile de date personale, inclusiv date personale cu caracter special (art 9 GDPR) sau datele personale ale copiilor.
Copii folosesc deja magazinele online pentru a face achiziții, iar datele despre ce cumpără aceștia, deci date personale legate de persoane minore, vor apărea în această bază de date.
Cu o măsură care se aplică din 1 iulie 2024 (voluntar) și de la 1 ianuarie 2025 (obligatoriu), Guvernul își propune de fapt să facă o bază de date care va strânge date detaliate despre obiceiurile de cumpărare online (ce anume cumpără, data și ora exactă, de unde, etc.) de la peste 7 milioane de cetățeni (68% dintre cei care accesează Internetul în 2023) care cumpără de la magazine online administrate de firme din România.
În acest mod propunerea pare a avantaja magazinele online care sunt administrate de firme din alte țări, care nu vor avea această obligație. Mai direct și ironic spus – datele tale personale nu ajung la statul român dacă cumperi de la chinezi.
În mod normal o astfel de măsură nu ar putea să fi fost nici măcar gândită fără o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal (conform art 35 GDPR).
O astfel de analiză ar fi arătat că, de fapt, pentru rezolvarea problemelor de raportare fiscală orice prelucrare de date personale este excesivă (vezi principiile din art 5 GDPR). Pentru acest scop nu este nevoie de numele consumatorului, exact ce a cumpărat și/sau data și ora la care s-a făcut tranzacția.
Mai direct și ironic spus statul român nu are nevoie să știe dacă Ion Popescu a cumpărat cremă de hemoroizi pe 25 iunie 2024, la ora 17:02:02.
Și totuși ANAF cere acum aceste date. Iar soluția nu este una tehnică, de implementare, pentru că datele nu trebuie anonimizate odată ce au ajuns pe serverele ANAF. Datele NU trebuie cerute deloc de la persoana juridică.
Este extrem de important să realizăm că lista tuturor lucrurilor pe care noi le-am cumpărat pot să genereze informații sensibile despre orice categorie specială de date, inclusiv despre starea noastră de sănătate, viața sexuală sau orientarea sexuală, despre opiniile confesiunea religioasă sau afinitatea politică.
Mai mult, chiar dacă sistemul e-Factura nu colectează direct date personale cu caracter special, acestea pot fi deduse indirect din datele deja disponibile pe serverele ANAF.
Practic conform OUG 69/2024 nu există niciun temei legal adecvat – conform art 9 GDPR – care ar permite colectarea în mod legal a acestor date din categoriile speciale!
Chiar și fără datele din categoriile speciale datele acestea vor fi aur curat pentru orice data broker sau actor malițios pentru orice scop, în special profilare politică sau comercială.
Caracterul extrem de sensibil al datelor din această bază de date o face o țintă valoroasă pentru atacuri cibernetice. Până și sustragerea unui subset din toate aceste date ar fi extrem de periculoasă și dăunătoare pentru cetățeni. Cea mai eficientă cale de a nu expune infrastructura ANAF unor atacuri este, deci, de a nu crea această bază de date în primă fază.
Nu e surprinzător ce adoptă Guvernul, câtă vreme instituțiile publice din România sunt exceptate, în practică, de la obligația de a proteja datele cu caracter personal și a nu le colecta fără să fie nevoie, riscând doar un avertisment la prima încălcare a Regulamentului GDPR.
Cerem autorităților competente – în special Avocatului Poporului și Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal – să reacționeze public la aceasta încălcare grosolană a drepturilor cetățenilor și să-și exercite de urgență atribuțiile legale având în vedere pericolul iminent (de la 1 iulie 2024) de colectare și procesare excesivă a unui set imens de date, cu riscuri majore pentru un procent majoritar al populației.
Cerem Guvernului să retragă acest OUG și să demareze procesul legal de analiză a procesului de colectare a datelor personale, inclusiv obligarea anonimizării tuturor datelor personale înainte de transmiterea lor către ANAF.
