Vara trecută, Ordonanța de urgență privind e-facturarea (OUG nr. 120/2021) a fost modificată. Printre modificări s-a regăsit și introducerea unei obligații indirecte pentru operatorii economici începând cu 1 ianuarie 2025: aceea de a identifica clientul prin CNP și de a introduce acest CNP în câmpul din interiorul e-facturii. Modificarea legislativă nu a fost pe placul multor români. Oamenii s-au revoltat prin intermediul rețelelor sociale spunând, printre altele, faptul că prelucrarea CNP-ului le afectează dreptul la intimitate.
Mulți avocați și specialiști în protecția datelor cu caracter personal au explicat de ce practica de a trece CNP-ul pe factură încalcă legislația-cadru privind protecția datelor (Regulamentul (UE) nr. 679/2016 – GDPR). Bogdan Manolea, fondatorul Asociației pentru Tehnologie și Internet, a afirmat că „vorbim de o colectare excesivă de date cu caracter personal”(sursă), iar eu, în cadrul unui articol, am explicat că CNP-ul „este o informație personală extrem de sensibilă care trebuie protejată prin orice mijloace pentru a preveni situații nefaste precum fraude de identitate (contractarea de credite online, fraudarea unor persoane cu utilizarea datelor reale ale altei persoane, etc), accesul neautorizat la servicii și conturi online, compromiterea securității financiare, etc”. Articolul meu a fost preluat de numeroase website-uri de știri din România, printre care Mediafax, Hotnews, startupcafe, știrileprotv.
Te-ar putea interesa și:
Câteva luni mai târziu, legislația a fost modificată din nou. În urma reacțiilor negative față de colectarea masivă a CNP-ului, legiuitorul național s-a răzgândit: operatorii economici nu mai sunt obligați să treacă CNP-ul pe factură începând cu 1 ianuarie 2025, ci pot trece un CNP fictiv format din 13 cifre de 0. La o primă aplecare, lucrurile sunt în regulă. CNP-ul nu se mai trece pe e-factură decât dacă clientul este de acord. Însă, dacă privim mai atent, observăm că trecerea CNP-ului pe factură, chiar și în situația în care clientul consimte, este aproape imposibilă. De ce? Deoarece, conform GDPR, consimțământul poate fi retras oricând. Art. 7 alin. (3) din GDPR prevede că persoana fizică „are dreptul să își retragă în orice moment consimțământul”. Cu alte cuvinte, dacă o persoană și-a dat consimțământul cu privire la trecerea CNP-ului pe factură, această persoană se poate răzgândi oricând și își poate retrage consimțământul. Persoana fizică nu trebuie să justifice vreun motiv pentru retragerea consimțământului. Într-o asemenea situație, operatorul economic va fi obligat să modifice factura fiscală și să ștergă CNP-ul de pe factură[1]. Modificarea e-facturilor va fi dificil de pus în practică. În plus, ștergerea CNP-ului nu se limitează doar la facturi, ci și la toate documentele și locurile unde CNP-ul clientului a fost introdus (alte documente financiar-contabile, documente interne, sistemul electronic e-factura, etc) deoarece GDPR prevede că dreptul la ștergerea datelor trebuie să se aplice universal, adică în toate locurile și pe toate documentele unde a fost introdusă respectiva dată cu caracter personal (în speță – CNP-ul). Pentru evitarea acestei situații, este mai simplu ca CNP-ul să nu fie deloc trecut pe e-factură.
În plus, chiar dacă am presupune că, într-un mod absurd, firmele își asumă acest risc al implicațiilor ștergerii CNP-ului la solicitarea persoanelor fizice, GDPR va continua să pună piedici. În primul rând, consimțământul clientului persoană fizică este dificil de obținut. GDPR prevede standarde ridicate pentru consimțământ, iar conformarea cu aceste standarde va însemna costuri suplimentare cu implementarea tehnică și consultanța juridică (actualizarea politicii de confidențialitate, implementarea căsuțelor pentru consimțământ, etc). În al doilea rând, companiile care trec CNP-ul pe e-factură vor încălca principiul minimizării datelor din GDPR. Acest principiu prevede că este legal să se prelucreze doar datele strict necesare pentru atingerea scopurilor. Or, cu anumite excepții prevăzute de lege, CNP-ul nu este o dată necesară pentru furnizarea de bunuri și prestarea de servicii. Aceste bunuri și servicii pot fi furnizate și prestate chiar dacă persoana fizică nu este identificată prin CNP. Nu în ultimul rând, prelucrarea CNP-ului poate expune operatorul la riscuri sporite de securitate și la potențiale breșe de date. O astfel de încălcare a confidențialității poate conduce la sancțiuni semnificative din partea autorităților și la pierderea încrederii consumatorilor. Cuantumul amenzilor pentru încălcările GDPR este mai mare dacă, la o eventuală breșă de securitate, sunt implicate date sensibile precum CNP-ul. Prin urmare, costurile și riscurile juridice asociate menționării CNP-ului pe e-factură depășesc cu mult eventualele beneficii.
Nu am putea ști cu exactitate care este interesul statului român de a colecta în masă CNP-uri. O fi unul pur administrativ, de simplificare a procedurilor administrative și de facilitare a schimbului de informații între instituții? O fi un interes economic de identificare mai rapidă a tranzacțiilor suspecte? Oricum ar fi, în absența unei transparențe reale, nu putem exclude ipoteza că, în viitor, aceste date să fie folosite în moduri pe care astăzi nici măcar nu le putem intui. Și este mai bine să ne protejăm, pentru orice eventualitate, viața privată. Oricât de mari ar fi interesele, în România și în orice alt stat democratic, dreptul fundamental al cetățeanului la viață privată înseamnă și că orice cetățean are dreptul să păstreze pentru el informații intime precum achizițiile pe internet. Un schimb de CNP-uri între instituții ar putea fi periculos pentru dreptul la viață privată. Imaginează-ți că angajatorul tău care „cunoaște” o tanti la o instituție publică ți-ar putea afla întregul istoric de achiziții și ar putea afla detalii intime care te-ar putea dezavantaja. Sau, și mai rău, imaginează-ți că aplici la un loc de muncă și ești respins deoarece, din datele achizițiilor efectuate, s-a aflat ceva despre tine care nu este pe placul angajatorului. De pildă, poate ai cumpărat on-line o carte despre o afecțiune medicală delicată, iar dacă angajatorul tău ar avea acces la datele CNP și, implicit, la aceste informații, te-ar putea privi altfel sau chiar discrimina. Mai mult, dacă aplici pentru un job și recrutorii primesc, pe căi obscure, informații despre pasiuni sau hobby-uri controversate pe care le ai, e posibil să fii respins înainte să ai șansa de a-ți arăta competențele reale. La aceste exemple se adaugă și riscurile majore de fraudare a identității pe bază de CNP și alte riscuri juridice ca cineva să încheie contracte în numele tău și să te trezești cu facturi la produse și servicii de care nu beneficiezi.
Și ce este de făcut? În lumina celor expuse anterior, singura opțiune reală și legală pe care o au companiile este să utilizeze un CNP fictiv. Cu anumite excepții legale în anumite domenii reglementate, trecerea CNP-urilor pe e-factură va fi în contradicție cu GDPR, iar firmele care procedează astfel pot fi amendate pentru încălcarea legislației europene cu amenzi de până la 4% din cifra de afaceri. Știu că sună contradictoriu. O lege națională îți dă permisiunea să treci CNP-ul pe factură, dar o lege europeană te împiedică să faci acest lucru. Practic, există simultan două legi care se contrazic. Într-un astfel de conflict, legea prioritară este cea europeană, iar instanțele sunt obligate să aplice legea europeană și să lase neaplicată legea națională. Așa funcționează dreptul în România de când România este stat membru UE. În domeniul protecției datelor cu caracter personal, legea europeană are supremație și prioritate față de legea națională. Așa se explică de ce, culmea, poți să fii amendat dacă încalci ce spune o lege europeană, dar faci ce îți permite o lege națională. Dacă era o obligație legală de introducere a CNP-ului pe factură, era altă discuție. Dar atât timp cât legea nu te obligă, de ce ți-ai asuma, ca operator economic, riscuri juridice atât de mari?
Ruxandra SAVA este avocat în Baroul București și specialist în protecția datelor acreditat de IAPP (International Association of Privacy Professionals), deținând certificarea CIPP/e (Certified Information Privacy Professional/Europe).
Referințe:
[1] Art. 17 alin. (1) lit. b) din GDPR prevede că operatorul este obligat să șteargă datele atunci când persoana și-a retras consimțământul.
Implementează GDPR și evită amenzile!
Vrei să afli mai multe despre implementarea GDPR? Atunci înscrie-te la webinarul despre implementarea GDPR!
Dorești să externalizezi implementarea GDPR către un profesionist? Atunci consultă oferta noastră de servicii de implementare GDPR & DPO!