Un cabinet de avocatură tocmai a fost amendat cu 20.000 lei (circa 4.000 EUR) de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în urma unei sesizări privind o posibilă încălcare a legislației privind protecția datelor.
UPDATE 19 noiembrie: Cabinetul de avocatură a transmis miercuri un drept la replică.
„Cabinetul de Avocatură şi-a exercitat dreptul la replică față de publicația Startupcafe.ro și precizează următoarele aspecte: «Procesul-verbal de contravenție a fost contestat la Tribunalul București. Sancțiunea contravențională a fost aplicată într-un mod abuziv deoarece site-urile deținute de Subscrisa aveau implementat modulul de colectare activă a consimțământului pentru cookies, iar nota de informare cuprindea o listă completă și actualizată a cookie-urilor utilizate pe site.
Una din erorile ANSPDCP din cuprinsul procesului-verbal a fost identificarea eronată a unui cookie strict necesar drept cookie de marketing, eroare care a fost cel mai probabil rezultată dintr-o instrumentare superficială a investigației, fără efectuarea unei expertize tehnice. Subscrisa a respectat atât cerințele GDPR, cât și pe cele prevăzute de legislația ePrivacy, inclusiv prin implementarea unui mecanism funcțional de obținere a consimțământului, prin actualizarea periodică a notelor de informare și prin monitorizarea continuă a tehnologiilor utilizate pe site. Activitatea Subscrisei s-a desfăşurat întotdeauna cu o atenție sporită față de protecția drepturilor utilizatorilor și față de conformitatea tehnică și juridică a instrumentelor de colectare a informațiilor online”.
---
Știrea inițială:
Amenda a fost aplicată unui cabinet de avocatură din București, după finalizarea unei investigații în luna octombrie 2025, declanșată ca urmare a sesizărilor primite de ANSPDCP, conform unui comunicat al instituției.
În urma verificărilor, autoritatea a constatat că, în perioada mai - octombrie 2025, site-urile deținute de operator au permis instalarea de module de tip cookies pe dispozitivele utilizatorilor, care nu erau necesare din punct de vedere tehnic, fără obținerea consimțământului acestora și fără să fie informați complet și corect că datele lor vor fi prelucrate.
„Ca atare, operatorul a fost sancționat cu amendă pentru încălcarea prevederilor art. 4 alin. (5) lit. a) și b) din Legea nr. 506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice”, transmite ANSPDCP.
Aplicarea GDPR în România. Cele mai frecvente greșeli și măsurile pe care le pot lua firmele pentru a nu risca amenzi
Tudor Galoș, consultant în domeniul tehnologiei, a explicat pentru cititorii din comunitatea antreprenorială StartupCafe.ro care sunt cele mai comune erori în gestionarea și prelucrarea datelor personale, dar și ce măsuri ar putea lua patronii în acest sens.
Una dintre greșelile pe care unele firme mici din România le fac atunci când vine vorba de Regulamentul GDPR este că sunt interesate doar să bifeze anumite criterii.
Alte greșeli apar tocmai din cauza faptului că unele firme „vor să ascundă lucruri de utilizatori”, consideră consultantul.
„Copiază notificări de confidențialitate greșite sau care nu se aplică, pun în practică proceduri și procese pe care nu le înțelege nimeni și nu monitorizează conformitatea. La un moment dat, un angajat va face un „șunt”, va băga pe site un plug-in greșit, va trimite un email către foștii clienți de la fostul job (asta se mai numește și furt de date electronice și se pedepsește cu închisoare), va face o greșeală”, explică Tudor Galoș.
În opinia sa, amenda nu este cel mai rău lucru care i se poate întâmpla unui IMM sau unui startup care a încălcat anumite prevederi din Regulamentul GDPR, ci măsurile corective și imaginea creată organizației după o astfel de sancțiune.
Una dintre măsurile pe care firmele le pot lua este cartografierea proceselor de prelucrare a datelor personale. Deși pare ceva greoi, este obligatoriu nu doar pentru respectarea GDPR ci pentru bunul mers al organizației.
„Deseori, ca auditori, descoperim procese de business (maparea este aproape 1:1 cu harta proceselor de business) care se făceau pe principiul „așa s-a făcut până acum", fără să se știe de ce. Nu se știa clar scopul, nu erau măsurate, impactul în business era minimal sau necunoscut. Și atunci simplificăm procesele și reducem riscurile. Cartografierea trebuie să mapeze grafic toate procesele de prelucrare, de la modul în care sunt culese datele, de ce sunt culese, în ce scop, ce alte date personale mai sunt generate (estimări, scoring, metadate etc) și de ce, cui mai sunt date (furnizori, outsourcing, hosting, servicii cloud etc) și de ce, cât timp sunt ținute și de ce”, spune Galoș.