Potrivit acestora, impactul va fi direct asupra magazinele online, în timp ce clienții finali vor fi cei mai afectați.

Guvernul a adoptat pe data de 18 mai ordonanța prin care firmele de curierat ar urma să transmită la ANAF informații despre persoanele care plătesc la livrare produsele comandate online. Ordonanța a apărut în Monitorul Oficial în aceași zi și se aplică de la data publicării.

Pentru magazinele online care funcționează în legalitate, impactul va fi din perspectiva relației cu firmele de curierat și a datelor personale pe care aceștia le pun la dispoziția curierilor.

Situația este diferită, potrivit Decalex, pentru magazinele online care nu funcționează conform normelor legale, de exemplu, care nu declară toate veniturile, întrucât acest proiect de lege va facilita ANAF să facă conexiunea dintre o vânzare nefiscalizată și magazinul online care a generat-o.

“La nivel de curieri, situația este mult mai complicată, în primul rând, pentru că avem secretul corespondenței ce ar trebui respectat, care este și el un drept fundamental, prevăzut în Constituție. Deși legea prevede că partajarea informațiilor se face cu respectarea inviolabilității corespondenței, nu dă detalii despre cum s-ar putea respecta această inviolabilitate dat fiind că vor fi partajate toate acele informații cu organul fiscal. Pe lângă asta, firmele de curierat vor trebui să informeze destinatarii despre partajarea datelor lor personale cu ANAF și să răspundă solicitărilor ce au legătură cu această partajare, cum ar fi accesul la o copie de pe datele partajate”, a declarat Cristiana Deca, fondator Decalex şi expert în protecţia datelor.

De asemenea, în ceea ce privește termenul de stocare prevăzut în actul normativ, estimarea de 5 ani este raportată la termenul de prescripție a datoriilor fiscale, însă nu se prevede nimic despre perioada de stocare de către curieri a acestor date.

”Clienții finali vor fi cei mai afectați, întrucât în calitate de destinatari, datele lor personale legate de o achiziție online: nume, adresa și produsul cumpărat vor ajunge la ANAF. Toate aceste informații vor fi stocate de către ANAF pe o perioadă de 5 ani de zile, și datele pot fi accesate de organul fiscal în acest interval de timp. Este evident că măsura este excesivă și nu respectă prevederile GDPR privind protectia datelor personale. Simpla mențiune în textul ordonantei ca se vor respecta prevederile GDPR nu rezolvă problema de fond și anume temeiul legal al prelucrării să fie legitim și să ofere garanții că aceste date nu vor fi folosite de ANAF și în alte scopuri”, declară Cristiana Deca.

În mod concret, firmele de curierat vor avea obligația să transmită către ANAF datele personale ale expeditorului și ale destinatarului pentru toate expedițiile prin care produsele cumpărate sunt plătite de către destinatar la momentul înmânării coletului de către curieri.

Prin acest proiect, statul român urmărește cel mai probabil o reducere a comerțului online la negru prin încercarea de a descoperi acei expeditori care au afaceri dar care nu declară veniturile la ANAF și implicit nu plătesc taxele aferente bugetelor de stat.

Din perspectiva drepturilor și libertăților fundamentale ale consumatorilor, și în special a dreptului acestora la protecția datelor cu caracter personal, din informațiile deținute în prezent despre proiectul de lege, colectarea de date personale pare excesivă și nefundamentată.

De ce colectarea de date poate fi ilegitimă în această situație

Așa cum specifică prevederile Regulamentului 679/2016 (GDPR) orice prelucrare de date cu caracter personal trebuie in primul rand să fie necesară și neexcesivă. Iar evaluarea măsurilor se face prin raportare la alte opțiuni, posibilități pe care ANAF le-ar avea la dispoziție pentru a strange acele date personale. Colectarea acestor date personale ar trebui să fie justificată de obiectivul final al ANAF, iar colectarea trebuie să fie proporțională cu obiectivul final.

De fiecare dată când se introduce o măsură ce poate să interfereze cu drepturile fundamentale aceasta trebuie să bifeze cele trei criterii prevăzute de Curtea Europeană a Drepturilor Omului: dacă interferența este legală, dacă scopul interferenței este legitim și dacă interferența este necesară într-o societate democratică. Criteriile sunt cumulative și îndeplinirea uneia dintre ele poate atrage o plângere împotriva statului român la CEDO pentru încălcarea dreptului la viață privată prevăzut la articolul 8 în Convenție.

Specialistii Decalex punctează aici condamnarea României la CEDPO în cazul Bara vs. CNAS și alții în care ANAF a transmis CNAS datele privind veniturile lor declarate. Pe baza acestor date, CNAS a solicitat plata restanțelor contribuțiilor la sistemul de asigurări de sănătate fără sa informeze persoana vizată. Concluzia Curții Europene fiind că astfel de măsuri naționale, care permit unei organizații a unui stat membru să transmită date personale unei alte organizații și prelucrarea lor ulterioară, fără ca persoanele vizate să fi fost informate despre această transmitere sau prelucrare constituie o încălcare a protecției datelor cu caracter personale.