L’Autorità nazionale di controllo per il trattamento dei dati personali ha concluso, nel dicembre 2024, un’indagine presso l’operatore SPEEH HIDROELECTRICA SA e ha riscontrato una violazione dell’art. 25 paragrafo. (1) e par. (2) del regolamento (UE) 2016/679.
Per questo motivo, all’operatore è stata inflitta una multa di 74.562 Lei (equivalenti a 15.000 Euro).
L’indagine è stata avviata a seguito della trasmissione da parte dell’operatore SPEEH HIDROELECTRICA SA di una notifica di violazione della sicurezza dei dati personali, secondo quanto previsto dall’art. 33 del Regolamento (UE) 2016/679.
Nel corso dell’indagine è stato accertato che la violazione della sicurezza dei dati personali si è verificata all’interno e al momento dell’avvio dell’applicazione dell’operatore, a causa di un errore tecnico e della mancata esecuzione di test sufficienti della stessa in un ambiente di prova che simulasse l’ambiente reale. ambiente. di reale utilità in tutti i processi e nelle interazioni con altre applicazioni utilizzate dall’operatore.
Tale situazione ha comportato la perdita di integrità e disponibilità dei dati personali, rispettivamente la divulgazione non autorizzata e/o l’accesso non autorizzato ai dati personali appartenenti a un numero significativo di interessati.
Di conseguenza, poiché il titolare del trattamento non ha trattato i dati personali in modo da garantirne un’adeguata sicurezza, compresa la protezione da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali, adottando misure tecniche e organizzative adeguate, è stato sanzionato per violazione del Regolamento UE 2016/679. disposizioni dell’art. 25 paragrafo. (1) e par. (2) del regolamento (UE) 2016/679.
Allo stesso tempo, all’operatore è stato ordinato di adottare la misura correttiva dell’implementazione tecnica e procedurale di un piano di test nell’ambiente di prova, che avrebbe simulato lo scenario di produzione reale in tutte le situazioni plausibili nell’ambiente di produzione, prima del lancio in produzione. di tutti i componenti/applicazioni che desiderano vengano introdotti nell’ambito delle attività che includono il trattamento dei dati personali.
L’operatore ha pagato la multa stabilita per il reato minore.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_31.01.2025_1&lang=ro