e-Factura lui Boloș se lovește de GDPR / Avocat: Firmele care trec CNP-ul pe factură încalcă legislația. Ce amenzi riscă

De la 1 iulie 2024, firmele pot trimite opțional facturile persoanelor fizice (B2C) în e-Factura, lucru stabilit de Guvern prin OUG 69/2024, la propunerea Ministerului de Finanțe condus de Marcel Boloș. De la 1 ianuarie 2025 aceasta va fi obligatorie.

O întrebare pe care și-au pus-o multe persoane este legată de transmiterea acestora de la 1 iulie. Pe grupurile de antreprenori s-a discutat pe această temă.

Ca să trimiți o factură emisă unei persoane fizice în e-Factura este nevoie de CNP (Cod Numeric Personal). Asta în teorie.

În practică, la cum arată legislația astăzi, poți să comanzi ceva pe un nume fictiv și să-ți fie trimis la un EasyBox. Dacă ți se cere CNP-ul, poți să inventezi unul. Sistemul Ministerului de Finanțe nu știe dacă CNP-urile și numele sunt reale, iar dacă faceți un mic experiment, veți observa că factura nu are erori la transmitere (lucru pe care l-am testat recent).

Firma de la care ai cumpărat produsul nu are nu de unde să știe dacă CNP-ul și numele sunt reale. De asemenea, poți pune ce adresă de livrare vrei. Pentru a vedea dacă CNP-ul și numele se potrivesc cu datele din Cartea de identitate, ar trebui să-ți ceară documentul.

În același timp, dacă cineva comandă de pe un site din străinătate, de exemplu din China, firmele de-acolo nu are niciun stres cu e-Factura. Nici noi nu trebuie să oferim pe acele platforme date personale.

Vezi și: De ce vrea să știe Marcel Boloș ce chiloți mi-am cumărat?

Avocat: Trecerea CNP-ului pe factură încalcă GDPR / Informația va fi accesată de multe persoane, printre care angajați, contabili, transporatori, lucrători în logistică

„Codul numeric personal (CNP) este o informație personală extrem de sensibilă care trebuie protejată prin orice mijloace pentru a preveni situații nefaste precum fraude de identitate (contractarea de credite online, fraudarea unor persoane cu utilizarea datelor reale ale altei persoane, etc), accesul neautorizat la servicii și conturi online, compromiterea securității financiare, etc.”, susține Ruxandra Sava, avocat și specialist în protecția datelor acreditat de IAPP (International Association of Privacy Professionals), într-un material publicat pe LegalUp.ro

Potrivit acesteia, încă din anul 2018, legiuitorul român a acordat o protecție suplimentară CNP-ului prin Legea nr. 190/2018, stabilind în art. 4 din această lege că prelucrarea CNP-ului se poate realiza în condiții mai stricte decât prelucrarea altor date cu caracter personal (de exemplu, numele, numărul de telefon, adresa de e-mail, domiciliul).

Problema actuală a CNP-ului pe factură, spune ea, este aceea că nu există un temei juridic pentru trecerea acestei date cu caracter personal extrem de senibile pe factură.

„Factura este un document de largă circulație, accesat de multe persoane, printre care angajați, contabili, transporatori, lucrători în logistică. De multe ori, facturile sunt lipite pur și simplu pe colete, cu toate datele la vedere. Te-ai simți în siguranță știind ca datele tale ar putea fi utilizate de un infractor? Riscurile sunt reale”, spune Ruxandra Sava.

A venit și cu un exemplu: În trecut, o persoană a folosit datele altei persoane pentru a încheia online un abonament la Orange pentru a intra în posesia unui iPhone X. Persoana căreia i s-au folosit datele a aflat despre acest contract atunci când a primit prima factură de la Orange. A fost foarte dificil pentru persoana respectivă să demonstreze că i s-a furat identitatea și că altcineva a încheiat un contract în numele său pentru a intra în posesia unui iPhone.

„Conform art. 6 din Regulamentul (UE) nr. 679/2016 (așa-numitul „GDPR”), orice prelucrare a datelor cu caracter personal este legală doar dacă se încadrează pe cel puțin unul dintre temeiurile următoare: (1) consimțământul (persoana și-a dat consimțământul pentru prelucrarea CNP-ului pe factură[1]); (2) contractul (atunci când CNP-ul este necesar pentru încheierea unui contract[2]); (3) obligația legală (atunci când există o obligație legală expresă pentru trecerea CNP-ului pe factură); (4) interesul vital (de exemplu, prelucrarea CNP-ului este necesară pentru acordarea de asistență medicală de urgență); (5) interesul public (se aplică doar instituțiilor publice) și (6) interesul legitim. Așadar, pentru ca prelucrarea CNP-ului să fie legală conform GDPR trebuie să se bazeze pe cel puțin un temei dintre cele enumerate anterior: consimțământul, contractul, obligația legală, interesul vital, interesul public și interesul legitim”, explică avocatul.

Pentru trecerea CNP-ului pe factură, singurele temeiuri juridice utilizabile sunt consimțământul, obligația legală și interesul legitim.

Consimțământul explicit al clientului va fi dificil de obținut, explică Sava.

„Există oameni care pur și simplu nu vor fi de acord cu dezvăluirea acestei informații extrem de sensibile pe internet, către orice comerciant. Oamenii se tem, pe bună dreptate, de fraude de identitate și alte infracțiuni sau de colectarea masivă a datelor. Interesul legitim nu poate fi utilizat deoarece impune cerința necesității, adică prelucrarea CNP-ului trebuie să fie necesară pentru scopul identificării unice a persoanei. Or, atât timp cât identificarea clientului se poate realiza în continuare prin nume, prenume și domiciliu, trecerea CNP-ului pe factură nu este necesară, iar temeiul interesului legitim nu poate fi utilizat”, a explicat Ruxandra Sava.

Nici temeiul obligației legale nu poate fi utilizat, spune ea.

Ruxandra Sava continuă:

„În primul rând, în prezent nu există obligația utilizării e-facturării pentru persoane fizice. Exită doar opțiunea utilizării e-facturării, iar prelucrarea datelor este permisă atunci când există o obligație, nu și atunci când există doar o posibilitate. Sigur, de-a lungul vieții, am descoperit că există și oameni care nu percep diferența între obligație și posibilitate.

În al doilea rând, chiar dacă utilizarea e-facturii ar fi obligatorie pentru persoane fizice, textul actual al OUG nr. 120/2021 nu prevede în mod explicit că CNP-ul trebuie trecut pe factură, ci prevede într-un mod vag la art. art. 10 ind 1 pct. 3 că „Livrările de bunuri/Prestările de servicii efectuate către o persoană fizică care se identifică în relaţia cu furnizorul/prestatorul prin codul numeric personal se consideră efectuate în relaţia B2C”.

A interpreta acest text de lege în sensul în care CNP-ul trebuie trecut pe factură înseamnă a adăuga la lege, lucru nepermis în interpretarea textelor juridice.

În al treilea rând, chiar dacă ne-am putea imagina o lege viitoare care ar impune obligativitatea trecerii CNP-ului pe factură, cel mai probabil această lege ar fi declarată neconstituțională pentru încălcarea dreptului fundamental la viață privată. Totodată, o astfel de lege extrem de abuzivă vis-à-vis de respectarea drepturilor fundamentale ale omului ar determina unele persoane care nu doresc să își dea CNP-ul online să o fraudeze (de exemplu, prin furnizarea unui CNP greșit). Alte persoane care nu doresc să furnizeze CNP-ul s-ar putea îndrepta spre a cumpăra bunuri și produse din alte țări europene unde nu ți se solicită CNP-ul, lucru care ar afecta, în cele din urmă, economia internă”.

Prin urmare, spune ea, în prezent, „trecerea CNP-ului pe factură este lipsită de temei legal, iar firmele care trec CNP-ul pe factură încalcă legislația privind protecția datelor și principiul minimizării datelor (art. 5 alin. 1) lit. c) GDPR)”

Potrivit acestui principiu, firmele trebuie să prelucreze doar datele care sunt necesare pentru atingerea unui scopul.

„Or, atât timp cât firmele pot identifica o persoană prin nume, prenume și adresă, prelucrarea CNP-ului pe factură va încălca principiul minimizării datelor, iar amenda pentru această contravenție poate ajunge până la 4% din cifra de afaceri. Ce e drept, în România, amenzile în temeiul GDPR nu depășesc decât în cazuri extreme 10.000 EURO, dar chiar și o amendă de câteva mii de euro poate fi considerabilă pentru un operator”, a mai declarat experta.

Ce recomandă Ruxandra Sava: ”Ignorați ce spun anumite voci care îndeamnă la colectarea masivă a CNP-ului. Facturile pot fi emise în continuare pe bază de nume, prenume și adresă de domiciliu”.