La Autoridad Nacional de Control ha concluido en fecha 26 noviembre 2020 una investigación con el operador Banco Transilvania SA y ha revelado la violación de lo previsto desde los articulos 32, apartados 1 y 2, y 5, letra f) del Reglamento General de Protección de Datos.
El operador de Banco Transilvania SA ha sido sancionado de 487.380 lei (es decir 100.000 euros).
La investigación empezó después de la reception de quejas sobre la violación de la confidencialidad y de la seguridad de datos personales.
Surgió que la declaración solicitada desde el operador a un cliente sobre cómo pensaba de utilizar una suma de dinero que quería recoger desde su cuenta corriente empezó en el espacio en línea.
Esta declaración ha sido distribuida a diferentes empleados de Banco Transilvania sobre las direcciones de correo electrónico de trabajo.
Uno de los empleados ha listado la email que incluía el estado de cuenta, así como la email incluyente la conversación interna entre los empleados del operador.
Otro empleado ha fotografiado el documento listado con su teléfono y lo ha compartido mediante la aplicación Whatsapp. Sucesivamente, el documento listado ha sido publicado y compartido en el social network Facebook y en un sitio web.
Esta situación ha llevado a la compartición y el acceso no autorizado a determinados datos personales (nombre y apellido, direcciones email, datos comportamentales, preferencias personales, valor de la transacción financiera, lugar de trabajo, posición y lugar de trabajo, número de teléfono servicio) de 4 sujetos destinatarios (un cliente y tres empleados propios) si bien de acuerdo al artículo 5, letra f del Reglamento General de Protección de Datos, el operador tenía la obligación de respetar el principio de integridad y confidencialidad de datos personales.
Durante la investigación desarrollada en el Banco de Transilvania SA, la Autoridad de Control ha revelado que el operador no ha adoptado medidas suficientes para garantizar que cualquiera persona física que actúa bajo de la autoridad del operador (empleados del operador) y que tiene acceso a datos personales no los ha procesados.
La divulgación producida en el espacio público también da testimonio de la ineficacia de la formación interna de los empleados del operador sobre el cumplimiento de las normas de protección de los datos personales de los interesados, aunque la formación de los empleados es parte intrínseca de las medidas técnicas y organizativas que el operador estaba obligado a adoptar, seguridad que corresponde al riesgo del tratamiento, en violación de lo dispuesto en el artículo 32 del Reglamento General de Protección de Datos.
En este contexto, también se tuvo en cuenta que la divulgación de datos personales en el espacio público (en Internet) generaba una serie de daños morales, así como otras desventajas económicas o sociales importantes para el individuo afectado por el incidente. seguridad (un cliente del Banco Transilvania).