Consultanta

Unicredit, sanctionata cu 15.000 euro pentru incalcarea GDPR

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în decembrie 2024, o investigație privind operatorul Unicredit Bank SA, constatând încălcarea art. 25 alin. (1) din Regulamentul General privind Protecția Datelor (RGPD).

Ca urmare a deficiențelor identificate, banca a fost sancționată cu o amendă de 74.652 lei (echivalentul a 15.000 EURO).

Cauza investigației

Controlul ANSPDCP a fost inițiat după ce Unicredit Bank SA a raportat două încălcări ale securității datelor cu caracter personal, în conformitate cu art. 33 din RGPD.

În urma verificărilor, s-au constatat două situații în care banca nu a implementat măsuri adecvate de protecție a datelor:

1.Eroare în funcționarea aplicației de creare a numelui de utilizator

-Lipsa unei testări prealabile într-un mediu dedicat a condus la divulgarea neautorizată a unor informații personale ale clienților, inclusiv:

-Nume și prenume

-Informații despre contul curent

-Tranzacții efectuate și soldul contului

-Tranzacții și sold card bancar

2.Deficiențe în soluția de comunicare între clienți și bancă

-Implementarea defectuoasă a acestei soluții, fără testări riguroase, a condus la expunerea unor date personale sensibile pentru un număr semnificativ de clienți:

-Nume titular card

-Număr de telefon și adresă de email

-Detalii despre tranzacții (sumă, valută, dată, motiv refuz plată)

Sancțiuni și măsuri corective

Pentru nerespectarea principiilor de protecție a datelor, Unicredit Bank SA a fost amendată conform art. 83 din RGPD. Totodată, ANSPDCP a impus băncii implementarea unor măsuri corective, printre care:

-Crearea și aplicarea unui plan de testare tehnică și organizatorică pentru orice componentă/aplicație ce implică prelucrarea datelor personale.

-Asigurarea testării fiecărui sistem într-un mediu controlat înainte de lansarea în producție.

Operatorul a achitat amenda și trebuie să implementeze măsurile dispuse de ANSPDCP pentru conformare la RGPD.

Concluzie

Acest caz subliniază importanța măsurilor proactive de protecție a datelor și a testării riguroase a aplicațiilor care gestionează informații sensibile. Conformitatea cu Regulamentul GDPR este esențială pentru prevenirea scurgerilor de date și evitarea sancțiunilor.