Foto: Andriy Popov / Panthermedia / Profimedia
Codul numeric personal (CNP) este o informație personală extrem de sensibilă care trebuie protejată prin orice mijloace pentru a preveni situații nefaste precum fraude de identitate (contractarea de credite online, fraudarea unor persoane cu utilizarea datelor reale ale altei persoane, etc), accesul neautorizat la servicii și conturi online, compromiterea securității financiare, etc. Încă din anul 2018, legiuitorul român a acordat o protecție suplimentară CNP-ului prin Legea nr. 190/2018, stabilind în art. 4 din această lege că prelucrarea CNP-ului se poate realiza în condiții mai stricte decât prelucrarea altor date cu caracter personal (de exemplu, numele, numărul de telefon, adresa de e-mail, domiciliul).
Problema actuală CNP-ului pe factură este aceea că nu există un temei juridic pentru trecerea acestei date cu caracter personal extrem de sensibile pe factură. Factura este un document de largă circulație, accesat de multe persoane, printre care angajați, contabili, transportatori, lucrători în logistică. De multe ori, facturile sunt lipite pur și simplu pe colete, cu toate datele la vedere. Te-ai simți în siguranță știind ca datele tale ar putea fi utilizate de un infractor? Riscurile sunt reale. De exemplu, în trecut, o persoană a folosit datele altei persoane pentru a încheia online un abonament la Orange pentru a intra în posesia unui iPhone X. Persoana căreia i s-au folosit datele a aflat despre acest contract atunci când a primit prima factură de la Orange. A fost foarte dificil pentru persoana respectivă să demonstreze că i s-a furat identitatea și că altcineva a încheiat un contract în numele său pentru a intra în posesia unui iPhone.
Conform art. 6 din Regulamentul (UE) nr. 679/2016 (așa-numitul „GDPR”), orice prelucrare a datelor cu caracter personal este legală doar dacă se încadrează pe cel puțin unul dintre temeiurile următoare: (1) consimțământul (persoana și-a dat consimțământul pentru prelucrarea CNP-ului pe factură[1]); (2) contractul (atunci când CNP-ul este necesar pentru încheierea unui contract[2]); (3) obligația legală (atunci când există o obligație legală expresă pentru trecerea CNP-ului pe factură); (4) interesul vital (de exemplu, prelucrarea CNP-ului este necesară pentru acordarea de asistență medicală de urgență); (5) interesul public (se aplică doar instituțiilor publice) și (6) interesul legitim. Așadar, pentru ca prelucrarea CNP-ului să fie legală conform GDPR trebuie să se bazeze pe cel puțin un temei dintre cele enumerate anterior: consimțământul, contractul, obligația legală, interesul vital, interesul public și interesul legitim.
Pentru trecerea CNP-ului pe factură, singurele temeiuri juridice utilizabile sunt consimțământul, obligația legală și interesul legitim[3].
Consimțământul explicit al clientului va fi dificil de obținut. Există oameni care pur și simplu nu vor fi de acord cu dezvăluirea acestei informații extrem de sensibile pe internet, către orice comerciant. Oamenii se tem, pe bună dreptate, de fraude de identitate și alte infracțiuni sau de colectarea masivă a datelor. Interesul legitim nu poate fi utilizat deoarece impune cerința necesității, adică prelucrarea CNP-ului trebuie să fie necesară pentru scopul identificării unice a persoanei. Or, atât timp cât identificarea clientului se poate realiza în continuare prin nume, prenume și domiciliu, trecerea CNP-ului pe factură nu este necesară, iar temeiul interesului legitim nu poate fi utilizat.
Nici temeiul obligației legale nu poate fi utilizat. În primul rând, în prezent nu există obligația utilizării e-facturării pentru persoane fizice. Exită doar opțiunea utilizării e-facturării, iar prelucrarea datelor este permisă atunci când există o obligație, nu și atunci când există doar o posibilitate. Sigur, de-a lungul vieții, am descoperit că există și oameni care nu percep diferența între obligație și posibilitate. În al doilea rând, chiar dacă utilizarea e-facturii ar fi obligatorie pentru persoane fizice, textul actual al OUG nr. 120/2021 nu prevede în mod explicit că CNP-ul trebuie trecut pe factură, ci prevede într-un mod vag la art. art. 10 ind 1 pct. 3 că „Livrările de bunuri/Prestările de servicii efectuate către o persoană fizică care se identifică în relaţia cu furnizorul/prestatorul prin codul numeric personal se consideră efectuate în relaţia B2C”. A interpreta acest text de lege în sensul în care CNP-ul trebuie trecut pe factură înseamnă a adăuga la lege, lucru nepermis în interpretarea textelor juridice. În al treilea rând, chiar dacă ne-am putea imagina o lege viitoare care ar impune obligativitatea trecerii CNP-ului pe factură, cel mai probabil această lege ar fi declarată neconstituțională pentru încălcarea dreptului fundamental la viață privată. Totodată, o astfel de lege extrem de abuzivă vis-à-vis de respectarea drepturilor fundamentale ale omului ar determina unele persoane care nu doresc să își dea CNP-ul online să o fraudeze (de exemplu, prin furnizarea unui CNP greșit). Alte persoane care nu doresc să furnizeze CNP-ul s-ar putea îndrepta spre a cumpăra bunuri și produse din alte țări europene unde nu ți se solicită CNP-ul, lucru care ar afecta, în cele din urmă, economia internă.
Prin urmare, în prezent, trecerea CNP-ului pe factură este lipsită de temei legal, iar firmele care trec CNP-ul pe factură încalcă legislația privind protecția datelor și principiul minimizării datelor (art. 5 alin. 1) lit. c) GDPR). Potrivit acestui principiu, firmele trebuie să prelucreze doar datele care sunt necesare pentru atingerea unui scopul. Or, atât timp cât firmele pot identifica o persoană prin nume, prenume și adresă, prelucrarea CNP-ului pe factură va încălca principiul minimizării datelor, iar amenda pentru această contravenție poate ajunge până la 4% din cifra de afaceri. Ce e drept, în România, amenzile în temeiul GDPR nu depășesc decât în cazuri extreme 10.000 EURO, dar chiar și o amendă de câteva mii de euro poate fi considerabilă pentru un operator.
Prin urmare, ce este de făcut? Ignorați ce spun anumite voci care îndeamnă la colectarea masivă a CNP-ului. Facturile pot fi emise în continuare pe bază de nume, prenume și adresă de domiciliu.
Note de subsol:
[1] Iar consimțământul nu poate fi implicit, ci trebuie să fie o manifestare reală de voință, adică o acțiune afirmativă prin care este de acord cu prelucrarea CNP-ului.
[2] Există anumite contracte unde trecerea CNP-ului este necesară, de exemplu contractele bancare, contractele de asigurări, contractele de asistență juridică, contractele în formă autentică etc.
[3] Temeiul contractului nu poate fi utilizat deoarece dacă CNP-ul este necesar a fi trecut în contract, iar nu pe factură. Interesul vital nu se poate aplica doar nicio urgență medicală nu ar putea justifica trecerea CNP-ului pe factură, iar interesul public nu poate fi utilizat de operatori privați deoarece se aplică doar firmelor.
Articol preluat de pe legalup.ro.
Urmăriți Republica pe Google News
Urmăriți Republica pe Threads
Urmăriți Republica pe canalul de WhatsApp
Alătură-te comunității noastre. Scrie bine și argumentat și poți fi unul dintre editorialiștii platformei noastre.