L’Autorità Garante per la protezione dei dati personali ha concluso, nel mese di febbraio 2025, un’indagine presso l’operatore Automobilus International SRL e ha riscontrato una violazione dell’art . 32 paragrafo. (1) e par. (2) del regolamento (UE) 2016/679 .

Per questo motivo, all’operatore è stata inflitta una multa di 24.885 Lei, l’ equivalente di 5.000 Euro.

L’indagine è stata avviata a seguito della trasmissione da parte del gestore Automobilus International SRL di una segnalazione di violazione della sicurezza dei dati personali, secondo quanto previsto dall’art. 33 del Regolamento (UE) 2016/679.

L’operatore ha quindi segnalato un incidente di sicurezza, ovvero che una terza parte ha avuto accesso illegalmente alle informazioni presenti nel suo database e contemporaneamente è andata persa la riservatezza di alcuni dati personali. È stato inoltre comunicato che l’accesso alle informazioni presenti nel sistema di archiviazione è stato ottenuto sfruttando una vulnerabilità presente in uno dei server dell’operatore. 

Nel corso dell’indagine è emerso che il gestore non ha adottato misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio di trattamento generato in particolare dalla distruzione accidentale o illecita, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso non autorizzato ai dati personali trasmessi, conservati o comunque trattati, come era tenuto a fare ai sensi dell’art. 5 paragrafo. (1) lettera. f) del GDPR.

In questo contesto, sono stati acquisiti illecitamente alcune categorie di dati personali, quali: nome, cognome, numero di telefono, indirizzo di consegna, appartenenti a un numero significativo di clienti dell’operatore.

Pertanto, non essendo state adottate misure tecniche ed organizzative adeguate a garantire un adeguato livello di sicurezza, si è riscontrata una violazione delle disposizioni dell’art. 32 paragrafo. (1) e par. (2) del Regolamento (UE) 2016/679, sanzionando l’operatore con una sanzione pecuniaria.

Allo stesso tempo, ai sensi dell’art. 58 paragrafo. (2) lettera. d) del Regolamento, è stato ordinato al gestore di adottare la misura correttiva di informare gli interessati dell’incidente di sicurezza, nonché delle misure tecniche e organizzative adottate ai fini della risoluzione, pubblicando una dichiarazione sulla home page del sito web aziendale.

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_12_03_2025&lang=ro