L’Autorità Garante per la protezione dei dati personali ha concluso, nel mese di gennaio 2025 , un’istruttoria presso l’operatore WEBRASOFT SRL ed ha riscontrato una violazione delle disposizioni di cui all’art. 32 paragrafo. (1) lettera. b) e d) dell’art. 32 paragrafo. (2) del regolamento (UE) 2016/679.
Per questo motivo, all’operatore è stata inflitta una multa di 99.518,00 lei (equivalenti a 20.000 euro).
L’indagine è stata avviata a seguito di una segnalazione di violazione dei dati personali, ai sensi di quanto previsto dall’art. 33 del Regolamento (UE) 2016/679.
Nel corso delle indagini è emerso che l’operatore proprietario di un sito di fatturazione online è stato vittima di un attacco informatico, attraverso il quale è stato effettuato un accesso illegale al server su cui era archiviato il database dei clienti.
Allo stesso tempo, nel corso delle indagini, è emerso che l’aggressore aveva avuto accesso non autorizzato ai dati personali detenuti dall’operatore, il che ha influito sulla riservatezza dei dati personali di un gran numero di clienti (cognome, nome, codice fiscale, indirizzo di residenza, numero di telefono, indirizzo e-mail, numero di conto bancario).
Di conseguenza, è emerso che WEBRASOFT SRL non ha svolto attività periodiche di verifica, valutazione e verifica dell’efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento , volte ad attuare in modo efficace i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie , a soddisfare i requisiti del Regolamento (UE) 2016/679 e a tutelare i diritti degli interessati, compresa la capacità di assicurare su base continuativa la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento .
Tale situazione ha determinato l’accesso non autorizzato da parte di terzi ai dati personali detenuti dal gestore, violando così quanto previsto dall’art . 32 paragrafo. (1) lettere b) e d) e art. 32 paragrafo. (2) del GDPR .
Ai sensi dell’art. 58 paragrafo. (2) lettera. d) del Regolamento (UE) 2016/679, è stata disposta l’implementazione tecnica e organizzativa di un sistema di registrazione di tutti gli accessi validi/errori relativi ai tentativi di accesso non riusciti sui server dell’infrastruttura informatica dell’operatore, con la loro conservazione per un periodo di almeno 30 giorni, incluso il backup dei file di registrazione (log).
Prendiamo atto che l’operatore ha pagato la multa inflitta.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_04_03_2025&lang=ro