Un cabinet de avocatură tocmai a fost amendat cu 20.000 lei (circa 4.000 EUR) de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în urma unei sesizări privind o posibilă încălcare a legislației privind protecția datelor.
Amenda a fost aplicată operatorului Vasile Nester - Cabinet de Avocat, după finalizarea unei investigații în luna octombrie 2025, declanșată ca urmare a sesizărilor primite de ANSPDCP, conform unui comunicat al instituției.
În urma verificărilor, autoritatea a constatat că, în perioada mai - octombrie 2025, site-urile deținute de operator au permis instalarea de module de tip cookies pe dispozitivele utilizatorilor, care nu erau necesare din punct de vedere tehnic, fără obținerea consimțământului acestora și fără să fie informați complet și corect că datele lor vor fi prelucrate.
„Ca atare, operatorul a fost sancționat cu amendă pentru încălcarea prevederilor art. 4 alin. (5) lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice”, transmite ANSPDCP.
Aplicarea GDPR în România. Cele mai frecvente greșeli și măsurile pe care le pot lua firmele pentru a nu risca amenzi
Tudor Galoș, consultant în domeniul tehnologiei, a explicat pentru cititorii din comunitatea antreprenorială StartupCafe.ro care sunt cele mai comune erori în gestionarea și prelucrarea datelor personale, dar și ce măsuri ar putea lua patronii în acest sens.
Una dintre greșelile pe care unele firme mici din România le fac atunci când vine vorba de Regulamentul GDPR este că sunt interesate doar să bifeze anumite criterii.
Alte greșeli apar tocmai din cauza faptului că unele firme „vor să ascundă lucruri de utilizatori”, consideră consultantul.
„Copiază notificări de confidențialitate greșite sau care nu se aplică, pun în practică proceduri și procese pe care nu le înțelege nimeni și nu monitorizează conformitatea. La un moment dat, un angajat va face un „șunt”, va băga pe site un plug-in greșit, va trimite un email către foștii clienți de la fostul job (asta se mai numește și furt de date electronice și se pedepsește cu închisoare), va face o greșeală”, explică Tudor Galoș.
În opinia sa, amenda nu este cel mai rău lucru care i se poate întâmpla unui IMM sau unui startup care a încălcat anumite prevederi din Regulamentul GDPR, ci măsurile corective și imaginea creată organizației după o astfel de sancțiune.
Una dintre măsurile pe care firmele le pot lua este cartografierea proceselor de prelucrare a datelor personale. Deși pare ceva greoi, este obligatoriu nu doar pentru respectarea GDPR ci pentru bunul mers al organizației.
„Deseori, ca auditori, descoperim procese de business (maparea este aproape 1:1 cu harta proceselor de business) care se făceau pe principiul „așa s-a făcut până acum", fără să se știe de ce. Nu se știa clar scopul, nu erau măsurate, impactul în business era minimal sau necunoscut. Și atunci simplificăm procesele și reducem riscurile. Cartografierea trebuie să mapeze grafic toate procesele de prelucrare, de la modul în care sunt culese datele, de ce sunt culese, în ce scop, ce alte date personale mai sunt generate (estimări, scoring, metadate etc) și de ce, cui mai sunt date (furnizori, outsourcing, hosting, servicii cloud etc) și de ce, cât timp sunt ținute și de ce”, spune Galoș.