„Statul nu are nevoie să știe dacă ai cumpărat online cremă de hemoroizi”. Big Brother-ul facturilor, reclamat la Avocatul Poporului

Includerea facturilor emise către consumatori în sistemul e-Factura va crea o bază de date uriașă de date personale, cu informații legate de toate categoriile de date personale, inclusiv ale copiilor, care fac deja achiziții online, atenționează Asociația pentru Tehnologie și Internet (ApTI). Asociația cere Avocatului Poporului și Protecției Datelor să reacționeze împotriva colectării excesive de date personale, iar Guvernului să anonimizeze aceste date înainte de a le trimite la ANAF.

Asociația pentru Tehnologie și Internet (ApTI), condusă de Bogdan Manolea, jurist specializat în legislația internetului, reclamă într-o scrisoare deschisă către Avocatul Poporului și Autoritatea pentru protecția Datelor Personale (ANSPDCP) o încălcare grosolană a drepturilor cetățenilor prin introducerea obligatorie a e-Factura în relația B2C de la 1 ianuarie 2025 (aplicarea este opțională de la 1 iulie 2024).

Asociația avertizează că se creează un big brother al facturilor pentru 7 milioane de români, în care se vor colecta și procesa excesiv un set imens de date personale, cu riscuri majore pentru populație.

„Datele tale personale nu ajung la statul român dacă cumperi de la chinezi”

Redăm mai jos principalele probleme semnalate de ApTI:

„Guvernul a adoptat – într-un regim de urgență total nejustificat și după o dezbatere publică care nu a existat, de fapt, – o nouă ordonanță de urgență (OUG 69/2024) care extinde sistemul e-Factura în relația cu consumatorii. Problemele principale vor fi probabil legate în special de cumpărăturile online, unde de obicei se emite o factură pentru orice achiziție online a unei persoane fizice.

Ceea ce pare o măsură pur fiscală este încă un exemplu de colectare excesivă, dar și un model de incompetență crasă față de datele personale ale cetățenilor si a drepturilor lor fundamentale

Includerea facturilor emise către consumatori în sistemul e-Factura va crea o bază de date uriașă de date personale, cu informații din sau legate de toate categoriile de date personale, inclusiv date personale cu caracter special (art 9 GDPR) sau datele personale ale copiilor. Copii folosesc deja magazinele online pentru a face achiziții, iar datele despre ce cumpără aceștia, deci date personale legate de persoane minore, vor apărea în această bază de date.

Cu o măsură care se aplică din 1 iulie 2024 (voluntar) și de la 1 ianuarie 2025 (obligatoriu), Guvernul își propune de fapt să facă o baza de date care va strânge date detaliate despre obiceiurile de cumpărare online (ce anume cumpără, data și ora exactă, de unde, etc.) de la peste 7 milioane de cetățeni (68% dintre cei care accesează Internetul în 2023) care cumpăra de la magazine online administrate de firme din România.

În acest mod propunerea pare a avantaja magazinele online care sunt administrate de firme din alte țări, care nu vor avea această obligație. Mai direct și ironic spus – datele tale personale nu ajung la statul român dacă cumperi de la chinezi.”

„Statul român nu are nevoie să știe dacă Ion Popescu a cumpărat cremă de hemoroizi pe 25 iunie 2024, la ora 17:02:02”

„În mod normal o astfel de măsură nu ar putea să fi fost nici măcar gândită fără o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal (conform art 35 GDPR). O astfel de analiză ar fi arătat că, de fapt, pentru rezolvarea problemelor de raportare fiscală orice prelucrare de date personale este excesivă (vezi principiile din art 5 GDPR). Pentru acest scop nu este nevoie de numele consumatorului, exact ce a cumpărat si/sau data și ora la care s-a făcut tranzacția.

Mai direct și ironic spus statul român nu are nevoie să știe dacă Ion Popescu a cumpărat cremă de hemoroizi pe 25 iunie 2024, la ora 17:02:02.

Și totuși ANAF cere acum aceste date. Iar soluția nu este una tehnică, de implementare, pentru că datele nu trebuie anonimizate o dată ce au ajuns pe serverele ANAF. Datele nu trebuie cerute deloc de la persoana juridică.

Este extrem de important să realizăm că lista tuturor lucrurilor pe care noi le-am cumpărat pot să genereze informații sensibile despre orice categorie specială de date, inclusiv despre starea noastră de sănătate, viața sexuală sau orientarea sexuală, despre opiniile confesiunea religioasă sau afinitatea politică. Mai mult, chiar dacă sistemul e-Factura nu colectează direct date personale cu caracter special, acestea pot fi deduse indirect din datele deja disponibile pe serverele ANAF.

Practic nici conform OUG 69/2024 nu există niciun temei legal adecvat – conform art 9 GDPR – care ar permite colectarea în mod legal al acestor date din categoriile speciale! Chiar si fără datele din categoriile speciale datele acestea vor fi aur curat pentru orice data broker sau actor malițios pentru orice scop, în special profilare politică sau comercială

Caracterul extrem de sensibil al datelor din această bază de date o face o țintă valoroasă pentru atacuri cibernetice. Până și sustragerea unui subset din toate aceste date ar fi extrem de periculoasă și dăunătoare pentru cetățeni. Cea mai eficientă cale de a nu expune infrastructura ANAF unor atacuri este, deci, de a nu crea această bază de date în primă fază.

Nu e surprinzător ce adopta Guvernul, câtă vreme instituțiile publice din Romania sunt exceptate, în practică, de la obligația de a proteja datele cu caracter personal și a nu le colecta fără să fie nevoie, riscând doar un avertisment la prima încălcare a Regulamentului GDPR.

Cerem autorităților competente – în special Avocatului Poporului și Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal – să reacționeze public la aceasta încălcare grosolană a drepturilor cetățenilor si sa-și exercite de urgența atribuțiile legale având in vedere pericolul iminent (de la 1 iulie 2024) de colectare și procesare excesivă a unui set imens de date, cu riscuri majore pentru un procent majoritar al populației.

Cerem Guvernului să retragă acest OUG și să demareze procesul legal de analiza a procesului de colectare a datelor personale, inclusiv obligarea anonimizarii tuturor datelor personale înainte de transmiterea lor către ANAF”, spune ApTI.

Sursa foto: Dreamstime.com