L’Autorità nazionale di vigilanza ha completato due indagini su operatori assicurativi nell’aprile 2023.

Le indagini sono state avviate a seguito delle notifiche di violazione dei dati presentate da NN Pensii Societate de Administrare a un Fond de Pensii Administrat Privat S.A. e NN Asigurări de Viață S.A..

Di conseguenza, è stato riscontrato che:

1. L’operatore NN Pensii Societate de Administrare a un Fond de Pensii Administrat Privat S.A. ha violato l’articolo 32, paragrafo 1, lettera a), del Regolamento n. (1) (b) e (d) e l’art. 32 para. (2) del Regolamento (UE) 2016/679 ed è stata comminata una multa di 7.407,00 lei (pari a 1500 euro).
2. L’operatore NN Asigurări de Viață S.A. ha violato le disposizioni dell’articolo 32, paragrafo 1, lettere b) e d), e dell’articolo 32, paragrafo 2, del Regolamento (UE) 2016/665. (1) (b) e (d) e dell’art. 32 para. (2) del Regolamento (UE) 2016/679 ed è stata comminata una multa di 4.938,00 lei (pari a 1000 euro).

1. Nel corso dell’indagine condotta presso l’operatore NN Pensii Societate de Administrare a un Fond de Pensii Administrat Privat S.A., è emerso che aveva apportato una serie di modifiche alla configurazione dell’apparecchiatura che fornisce la memorizzazione temporanea delle pagine web dell’applicazione NN Direct, messa a disposizione dei clienti, con l’attivazione dell’opzione di memorizzazione delle pagine web nella propria memoria. Questa situazione ha fatto sì che alcuni utenti dell’applicazione dell’operatore visualizzassero, per un certo periodo di tempo, dati personali che non appartenevano loro.

Dalle verifiche effettuate, è emerso che questa situazione ha comportato l’accesso non autorizzato e la perdita di riservatezza dei dati personali (nome, cognome, codice numerico personale, indirizzo della carta d’identità, indirizzo di corrispondenza, indirizzo e-mail e numero di telefono) da parte degli interessati all’incidente 2. È inoltre emerso che, prima che l’applicazione NN Direct fosse resa disponibile al pubblico, le specifiche modifiche alla configurazione delle apparecchiature che forniscono memoria temporanea per le pagine web non erano state sottoposte a un processo di test a livello di operatore.

L’Autorità nazionale di vigilanza ha riscontrato che l’operatore NN Pensii Societate de Administrare d’un Fond de Pensii Administrat Privat S.A. non ha attuato misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio di trattamento, compresa la capacità di garantire la riservatezza, l’integrità, la disponibilità continua e la resilienza dei sistemi e dei servizi di trattamento e un processo di verifica, valutazione e accertamento regolari dell’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Allo stesso tempo, all’operatore è stato ordinato di implementare un meccanismo di test, che viene attuato e promosso a intervalli regolari, per verificare le possibili configurazioni delle applicazioni attive a disposizione dei clienti di NN Pensii Societate de Administrare a Fond de Pensii Administrat Privat S.A., e di documentare i risultati applicando misure correttive per evitare incidenti di sicurezza simili.

2. Nel corso di un’indagine presso l’operatore NN Asigurări de Viață S.A., è emerso che lo stesso aveva apportato una serie di modifiche alla configurazione dell’apparecchiatura che memorizza temporaneamente le pagine web dell’applicazione NN Direct messa a disposizione dei clienti, attivando l’opzione di memorizzazione delle pagine web nella propria memoria. Di conseguenza, è stato possibile per alcuni utenti dell’applicazione dell’operatore visualizzare, per un periodo di tempo, dati personali che non appartenevano loro.

A seguito delle verifiche investigative, è emerso che questa situazione ha comportato l’accesso non autorizzato e la perdita di riservatezza dei dati personali (nome, cognome, codice numerico personale, indirizzo della carta d’identità, indirizzo di corrispondenza, indirizzo e-mail e numero di telefono). Allo stesso tempo, è emerso che prima che l’applicazione NN Direct fosse resa disponibile al pubblico, le sue modifiche non erano state testate dall’operatore.

L’Autorità nazionale di vigilanza ha riscontrato che il titolare del trattamento NN Asigurări de Viață S.A. non ha attuato misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio di trattamento, compresa la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza continua dei sistemi e dei servizi di trattamento e un processo per il test, la valutazione e la verifica regolari dell’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Allo stesso tempo, è stata disposta una misura correttiva affinché l’operatore metta in atto un meccanismo di test che sia implementato e promosso a intervalli regolari, in base al quale si effettuano test sulle possibili configurazioni delle applicazioni attive e disponibili per i clienti di NN Asigurări de Viață S.A., e si documentano i risultati applicando misure correttive per evitare incidenti di sicurezza simili.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_12_05_2023&lang=ro