Regulamentul GDPR „lovește” din nou: o persoană fizică a făcut o reclamație, iar Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a aplicat băncii Unicredit România două amenzi în valoare totală de 12.000 EUR, pentru e-mailuri și alte notificări eronate, prin care au fost divulgate numele, adresele și alte date personale ale unor clienți care cumpăraseră imobile cu credit ipotecar, potrivit unui comunicat oficial al ANSPDCP.
Autoritatea a anunțat recent că a finalizat în luna mai 2026 o investigație la Unicredit Bank SA și a constatat încălcarea unor Regulamentului (UE) 2016/679 - celebrul GDPR.
Ca atare, Unicredit Bank SA a fost sancționată contravențional cu două amenzi în cuantum de 62.714 lei (echivalentul a 12.000 EURO), astfel:
cu amendă în cuantum de 52.270 lei (echivalentul sumei de 10.000 euro) pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul (UE) 2016/679, pentru neimplementarea unor măsuri tehnice și organizatorice adecvate;
cu amendă în cuantum de 10.454 lei (echivalentul sumei de 2.000 euro) pentru încălcarea dispozițiilor art. 33 alin. (1) din Regulamentul (UE) 2016/679, pentru netransmiterea în termenul legal a notificării încălcării de securitate.
Investigația a fost demarată ca urmare a transmiterii unei petiții de către o persoană fizică.
În urma a investigației efectuate, autoritatea națională a constatat că banca, în vederea reînnoirii polițelor de asigurare de către clienții care aveau această obligație, în contextul expirării acestora, „a transmis notificări eronate către un număr mare de clienți, atât prin mesageriile de mobil sau online banking, cât și prin e-mail”.
Dezvăluirea acestor date personale a fost cauzată de o „eroare legată de procesarea unui fișier necesar pregătirii notificărilor”, conform sursei citate.
În cadrul investigației, Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a constatat că Unicredit România „nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura de faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului având în vedere asigurarea unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea datelor”.
„În consecință, această încălcare a condus la divulgarea neautorizată a datelor personale (precum numele, prenumele, adresa clientului, adresa și valoarea imobilului asigurat, calitatea de client al băncii pentru produs de creditare cu ipoteca, data de expirare și costurile poliței de asigurare) pentru un număr semnificativ de persoane vizate (clienți), prin transmiterea în mod eronat, a notificărilor privind expirarea polițelor de asigurare către alte persoane decât destinatarii de drept, din cauza prelucrării manuale necorespunzătoare a unui fișier” - susține ANSPDCP.
În cursul investigației, autoritatea a mai constatat că banca „nu a notificat încălcarea securității datelor cu caracter personal în termen de 72 de ore de la data la care a luat cunoștință de incidentul de încălcare a securității, notificarea fiind transmisă cu întârziere”, deși Unicredit „avea informații concrete privind încălcarea confidențialității datelor personale”.