L'autorità nazionale romena per il trattamento dei dati personali ha annunciato di avere inflitto le prime multe in applicazione del nuovo regolamento europeo sul trattamento dei dati personali (GDPR).

La prima multa è arrivata il 27 giugno ai danni di Unicredit Bank e ha comportato una multa di 613.912 leu (l'equivalente di circa 130mila euro) per avere rivelato i dati personali dei propri clienti ai destinatari dei pagamenti. Questi ultimi hanno ricevuto, nei documenti con i dettagli delle transazioni, dati come il PIN e l'indirizzo personale del cliente. 

La violazione ha riguardato 337.042 persone, nel periodo che va dal 25 maggio al 10 dicembre 2018. La decisione è arrivata in applicazione dell'articolo 5 (1)c) del GDPR, che prevede che il responsabile della gestione dei dati utilizzi solo quelli strettamente necessari alla finalità per cui sono raccolti. 

Come fa notare Valentina Pavel sul sito di EDRi , la multa poteva forse essere anche più pesante nel caso in cui si fossero applicati anche i punti b) e f) dello stesso articolo: il primo prevede che i dati siano raccolti per scopi precisi ed espliciti, e poi trattati in maniera coerente a quanto dichiarato, mentre il punto f) riguarda la capacità del gestore dei dati di garantirne la sicurezza.

Il 2 luglio è stata inflitta la seconda multa , ai danni del World Trade Center Bucharest, per un importo di 71.028 leu (circa 15mila euro). La violazione ha riguardato una lista con i dati di 46 ospiti di un hotel del WTC, che è stata fotografata e messa online da qualcuno che non fa parte del personale dell'hotel. L'autorità ha rilevato che la compagnia non ha preso le necessarie misure tecniche e organizzative di sicurezza per evitare la diffusione illegale dei dati personali dei propri clienti, previste dall'articolo 24 del GDPR. 

La terza multa è stata annunciata il 12 luglio e ha colpito l'azienda che gestisce il sito web avocatoo.ro , che curiosamente si occupa di consulenza legale e rispetto del GDPR. A causa di misure inappropriate nella gestione dei dati degli utenti, i dati di persone che avevano concluso delle transazioni con il sito web sono stati pubblicamente accessibili tra il 10 dicembre 2018 e il primo febbraio 2019. Attraverso due link pubblici era possibile vedere nome, cognome, indirizzo, mail, numero di telefono, datore di lavoro e dettagli della transazione per tutti gli utenti coinvolti. La multa in questo caso è stata di 14.173 leu, circa 3mila euro.

 

Questo articolo è stato prodotto nell'ambito del progetto Panelfit, cofinanziato dal programma Horizon 2020 della Commissione europea (grant agreement n. 788039). La Commissione non ha partecipato alla stesura del testo e non è responsabile per il suo contenuto. L’articolo rientra nella produzione giornalistica indipendente di EDJNet.