ANSPDCP a amendat recent o bancă importantă din România pentru divulgarea datelor unor clienți
Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a decis să sancționeze Unicredit România cu o amendă de 12.000 de euro. Această penalizare a venit ca urmare a unor probleme legate de e-mailuri și notificări eronate, prin care au fost făcute publice informații sensibile, cum ar fi numele, adresele și alte detalii personale ale clienților care au achiziționat imobile prin credit ipotecar.
Detalii despre sancțiune
Potrivit comunicatului instituției, ANSPDCP a constatat că Unicredit Bank SA a încălcat mai multe articole din Regulamentul (UE) 2016/679 în urma unei investigații finalizate în luna mai 2026. Banca a fost sancționată cu două amenzi, totalizând 62.714 lei, echivalentul a 12.000 de euro, dintre care 52.270 lei (aproximativ 10.000 euro) pentru neimplementarea măsurilor tehnice și organizatorice adecvate, și 10.454 lei (aproximativ 2.000 euro) pentru netransmiterea notificării legale privind încălcarea de securitate în termenul stabilit.
Contextul investigației
Investigația ANSPDCP a fost inițiată după ce o persoană fizică a depus o petiție, semnalând posibile încălcări ale regulamentului menționat. În urma analizării situației, s-a constatat că Unicredit a trimis notificări greșite unui număr mare de clienți, în scopul reînnoirii polițelor de asigurare. Transmiterea acestor notificări a avut loc prin mesaje de mobil, online banking și e-mail, însă a fost provocată de o eroare în procesarea unui fișier necesar pregătirii acestor comunicări.
Consecințele neimplementării măsurilor adecvate
Investigația a relevat că Unicredit nu a reușit să aplice măsuri tehnice și organizatorice corespunzătoare, care să protejeze datele cu caracter personal. Acest lucru a dus la divulgarea neautorizată a unor informații sensibile, inclusiv numele clienților, adresa, valoarea imobilului asigurat, precum și detalii referitoare la produsul de creditare ipotecară. Din cauza prelucrării manuale inadecvate a datelor, notificările au fost trimise persoanelor greșite, încălcând grav regulile de confidențialitate.
Încălcarea notificării în termen legal
În urma investigației, s-a constatat că Unicredit nu a notificat ANSPDCP despre incidentul de încălcare a securității datelor personale în termen de 72 de ore de la descoperirea acestuia. Dispozițiile regulamentare stabilite au fost astfel încălcate, având în vedere că banca deținea informații clare despre incidentul respectiv.
