Asociația pentru Tehnologie și Internet cere Guvernului să retragă ordonața de guvern recent introdusă care extinde sistemul e-Factura în relația cu consumatorii, despre care spune că ar fi “big brother-ul facturilor” și să demareze procesul legal de analiză a procesului de colectare a datelor personale, inclusiv obligarea anonimizarii tuturor datelor personale înainte de transmiterea lor către ANAF.
Asociația a trimis o scrisoare deschisă, cu cereri de a acționa către Avocatul Poporului și către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal.
Guvernul a adoptat o nouă ordonanță de urgență (OUG 69/2024) care extinde sistemul e-Factura în relația cu consumatorii.
Cei de la ApTI spun că problemele principale vor fi probabil legate în special de cumpărăturile online, unde de obicei se emite o factură pentru orice achiziție online a unei persoane fizice. “Ceea ce pare o măsură pur fiscală este încă un exemplu de colectare excesivă, dar și un model de incompetență crasă față de datele personale ale cetățenilor si a drepturilor lor fundamentale”.
Cu o măsură care se aplică din 1 iulie 2024 (voluntar) și de la 1 ianuarie 2025 (obligatoriu), Guvernul își propune de fapt să facă o baza de date care va strânge date detaliate despre obiceiurile de cumpărare online (ce anume cumpără, data și ora exactă, de unde, etc.) de la peste 7 milioane de cetățeni (68% dintre cei care accesează Internetul în 2023) care cumpăra de la magazine online administrate de firme din România.
„În acest mod propunerea pare a avantaja magazinele online care sunt administrate de firme din alte țări, care nu vor avea această obligație. Mai direct și ironic spus – datele tale personale nu ajung la statul român dacă cumperi de la chinezi”, transmite ApTI.
„În mod normal o astfel de măsură nu ar putea să fi fost nici măcar gândită fără o evaluare a impactului operațiunilor de prelucrare prevăzute asupra protecției datelor cu caracter personal (conform art 35 GDPR). O astfel de analiză ar fi arătat că, de fapt, pentru rezolvarea problemelor de raportare fiscală orice prelucrare de date personale este excesivă (vezi principiile din art 5 GDPR). Pentru acest scop nu este nevoie de numele consumatorului, exact ce a cumpărat si/sau data și ora la care s-a făcut tranzacția. Mai direct și ironic spus statul român nu are nevoie să știe dacă Ion Popescu a cumpărat cremă de hemoroizi pe 25 iunie 2024, la ora 17:02:02. Și totuși ANAF cere acum aceste date. Iar soluția nu este una tehnică, de implementare, pentru că datele nu trebuie anonimizate o dată ce au ajuns pe serverele ANAF. Datele NU trebuie cerute deloc de la persoana juridică”, susține asociația.
Aceasta mai spune că lista tuturor lucrurilor pe care le-am cumpărat poate să genereze informații sensibile despre orice categorie specială de date, inclusiv despre starea noastră de sănătate, viața sexuală sau orientarea sexuală, despre opiniile confesiunea religioasă sau afinitatea politică.
„Mai mult, chiar dacă sistemul e-Factura nu colectează direct date personale cu caracter special, acestea pot fi deduse indirect din datele deja disponibile pe serverele ANAF. Practic nici conform OUG 69/2024 nu există niciun temei legal adecvat – conform art 9 GDPR – care ar permite colectarea în mod legal al acestor date din categoriile speciale. Chiar si fără datele din categoriile speciale datele acestea vor fi aur curat pentru orice data broker sau actor malițios pentru orice scop, în special profilare politică sau comercială”, spune Apti.
Caracterul extrem de sensibil al datelor din această bază de date o face o țintă valoroasă pentru atacuri cibernetice.
„Cerem autorităților competente – în special Avocatului Poporului și Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal – să reacționeze public la aceasta încălcare grosolană a drepturilor cetățenilor si să-și exercite de urgență atribuțiile legale având în vedere pericolul iminent (de la 1 iulie 2024) de colectare și procesare excesivă a unui set imens de date.
Cerem Guvernului să retragă acest OUG și să demareze procesul legal de analiza a procesului de colectare a datelor personale, inclusiv obligarea anonimizarii tuturor datelor personale înainte de transmiterea lor către ANAF”, se arată în scrisoarea ApTI.
Citește și: