skip to Main Content
DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA ROMANIA: Sanzione Per Violazione Del RGPD

DALL’AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA ROMANIA: Sanzione per violazione del RGPD

This post is also available in: English Español Français

L’Autorità Nazionale di Vigilanza ha concluso nel febbraio 2021 un’indagine presso l’operatore TELEKOM ROMANIA MOBILE COMMUNICATIONS SA ed ha riscontrato la violazione di quanto previsto dall’art. 32 cpv. (1) e par. (2) del Regolamento Generale sulla Protezione dei Dati e violazione di quanto previsto dall’art. 3 par. (1) e par. (3) lit. a) e lettera b) della Legge n. 506/2004 , modificato e integrato.

Pertanto, l’operatore TELEKOM ROMÂNIA MOBILE COMMUNICATIONS SA è stato sanzionato per reati minori:

  • con una multa di 48.748,00 lei (l’equivalente di 10.000 EURO), per violazione dell’art. 32 cpv. (1) e par. (2) del Regolamento generale sulla protezione dei dati;
  • con una sanzione pecuniaria nella misura di 15.000 lei, per aver commesso l’infrazione prevista dall’art. 13 cpv. (1) lit. a) della Legge n. 506/2004

Dall’indagine è emerso che l’operatore non ha implementato misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio del trattamento, che ha portato a divulgazione non autorizzata e / o accesso non autorizzato a dati personali, quali: ID cliente, codice cliente, nome e cognome, CNP, data di nascita, sesso, numero di telefono, e-mail, indirizzo (nazione, città, via), l’ammontare dei debiti associati al codice cliente di un numero di 99.210interessati / clienti. Pertanto, i loro indirizzi di fatturazione sono stati erroneamente inseriti nella banca dati con i singoli clienti, inviati a un partner contrattuale sulla base di un contratto di cessione del debito, che ha portato all’invio a indirizzi errati delle notifiche inviate ai clienti.

È stato inoltre riscontrato che il responsabile del trattamento non ha adottato misure tecniche e organizzative adeguate per garantire la sicurezza del trattamento dei dati personali, in grado di proteggere i dati personali archiviati o trasmessi da archiviazione, elaborazione, accesso o divulgazione illegali , che hanno portato ad dati personali negli account MyAccount (nome del titolare del conto; data di nascita; numeri di telefono utilizzati; indirizzo di casa; indirizzo e-mail; codice abbonato; servizi contrattati; opzioni extra attive sull’account; cronologia semplice della fattura) di un numero 413interessati / clienti di Telekom Romania. Si sottolinea che il gestore aveva l’obbligo di garantire che ai dati personali possano accedere solo le persone autorizzate, per le finalità indicate dalla legge, violando così quanto previsto dall’art. 3 par. (1) e par. (3) lit. a) eb) della Legge n. 506/2004 sul trattamento dei dati personali e sulla tutela della privacy nel settore delle comunicazioni elettroniche, modificato e integrato.

Le disposizioni dell’art. 3 par. (1) e par. (3) lit. a) eb) della Legge n. Il regolamento (CE) n. 506/2004, come modificato e integrato, prevede :

 “(1) Il fornitore di un servizio di comunicazione elettronica destinato al pubblico ha l’obbligo di adottare misure tecniche e organizzative adeguate per garantire la sicurezza del trattamento dei dati personali. Se necessario, il fornitore del servizio di comunicazione elettronica destinato al pubblico adotta tali misure insieme al fornitore della rete pubblica di comunicazione elettronica. “

”(3) Fermo restando quanto previsto dalla Legge n. 677/2001, con le successive modifiche e integrazioni, i provvedimenti adottati ai sensi del par. (1) deve soddisfare almeno le seguenti condizioni:

a) garantire che ai dati personali possano accedere solo le persone autorizzate, per le finalità autorizzate dalla legge;

b) per proteggere i dati personali memorizzati o trasmessi dalla distruzione accidentale o illecita, dalla perdita o dal danneggiamento accidentale e dalla conservazione, elaborazione, accesso o divulgazione illeciti. “

Inoltre, sono state applicate l’operatore ie le misure correttive , costituite da:

  • riesaminare e aggiornare le misure tecniche e organizzative attuate a seguito della valutazione del rischio per i diritti e le libertà delle persone, comprese le procedure relative alle comunicazioni elettroniche;
  • implementazione di un processo di verifica, valutazione e verifica periodica dell’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento, secondo quanto previsto dal RGPD.

In questo contesto, vi ricordiamo che l’ art. V alin. (2) della Legge n. 129/2018 prevede che “Tutti i riferimenti alla Legge n. 677/2001 , con successive modifiche e integrazioni, degli atti normativi si intendono riferimenti al Regolamento Generale sulla protezione dei dati e alla normativa per la sua attuazione. “

 

 

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA ROMANIA

Back To Top