L’Autorità nazionale di controllo per il trattamento dei dati personali ha completato un’indagine presso l’operatore OTP BANK ROMANIA SA nel mese di ottobre 2023 e ha riscontrato una violazione degli articoli 32 e 33 del regolamento (UE) 2016/679.

Di conseguenza, il responsabile del trattamento è stato sanzionato con una multa:

• con una multa dell’importo di 14.889,3 lei (equivalente a 3.000 euro), per violazione dell’art. 32 del Regolamento (UE) 2016/679;
• con un avvertimento per violazione dell’art. 33 del Regolamento (UE) 2016/679.

Nell’indagine condotta dall’Autorità di controllo, svolta sulla base di un reclamo, è emerso che il titolare del trattamento non ha adottato misure di sicurezza sufficienti ai sensi dell’articolo 32 del GDPR, che hanno portato al verificarsi dell’incidente di sicurezza, trasmettendo i dati personali del reclamante a un’altra persona via e-mail.

Allo stesso tempo, è emerso che OTP Bank Romania SA non ha notificato all’Autorità nazionale di controllo per il trattamento dei dati personali l’incidente di sicurezza che ha interessato i dati personali del reclamante, in violazione dell’articolo 33 del GDPR.

L’Autorità nazionale di controllo per il trattamento dei dati personali ha inoltre applicato misure correttive, ordinando al responsabile del trattamento quanto segue:

• garantire la conformità delle operazioni di trattamento dei dati personali al GDPR, attuando misure di sicurezza tecniche e organizzative adeguate al trattamento specifico e ai rischi identificati, lungo tutto il ciclo di trattamento dei dati, in particolare per quanto riguarda la verifica dell’esattezza dei dati personali trattati, la definizione di regole appropriate relative alla redazione e alla gestione dei file che possono essere trasmessi con mezzi di comunicazione elettronici (a distanza), la formazione delle persone che trattano i dati sotto la sua autorità, la verifica regolare del rispetto delle istruzioni loro trasmesse, l’automazione di alcuni processi per ridurre i rischi di trattamento illegale o non autorizzato dei dati personali;
• garantire la conformità delle operazioni di trattamento dei dati personali al GDPR, adottando le misure interne necessarie per l’individuazione precoce, la gestione e la segnalazione delle violazioni dei dati personali (che richiedano o meno la notifica all’autorità di controllo e/o agli interessati), nonché attraverso una formazione adeguata e regolare delle persone che trattano i dati sotto l’autorità del responsabile del trattamento.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_03_11_2023&lang=ro