L’Autorità nazionale di controllo per il trattamento dei dati personali ha completato due indagini presso due operatori e ha riscontrato una violazione dell’articolo 32, paragrafo 2, del GDPR. (1) (b) e dell’art. 32 (1) (b). (2) e (3) dell’art. 32 (2) e (3) del Regolamento (UE). (4) del Regolamento (UE) 2016/679.
Le indagini sono state avviate a seguito della presentazione da parte degli operatori della notifica di violazione dei dati personali ai sensi dell’articolo 33 del Regolamento (UE) 2016/679.
Pertanto:
1.L’operatore CENTRUL MEDICAL UNIREA SRL è stato sanzionato con una multa di 24.856 lei (equivalenti a 5.000 euro).
La violazione dei dati si è verificata in seguito alla divulgazione non autorizzata di dati personali su Internet.
Durante l’indagine è emerso che i dati personali (quali: nome e cognome, CNP, data di nascita; età, sesso, numero di telefono di lavoro o personale, indirizzo e-mail di lavoro o personale, informazioni sull’indirizzo di corrispondenza, professione, posizione, orario, obiettivi e bonus) di un numero significativo di soggetti interessati (pazienti e dipendenti) sono stati divulgati senza autorizzazione.
Di conseguenza, l’indagine ha rivelato che il responsabile del trattamento non ha attuato misure tecniche e organizzative adeguate per garantire un livello di riservatezza e sicurezza appropriato al rischio del trattamento e non ha adottato misure sufficienti per garantire che qualsiasi persona fisica che agisca sotto l’autorità del responsabile del trattamento e abbia accesso ai dati personali li tratti solo su sua richiesta.
Allo stesso tempo, ai sensi dell’articolo 58 para. (2) lit. d) del Regolamento (UE) 2016/679, è stata disposta nei confronti del titolare del trattamento Centrul Medical Unirea SRL anche la misura correttiva del riesame e dell’aggiornamento delle misure tecniche e organizzative attuate a seguito della valutazione del rischio per i diritti e le libertà delle persone fisiche, anche con riferimento all’attuazione di un processo per la verifica, la valutazione e l’accertamento periodico dell’efficacia delle misure tecniche e organizzative per garantire la sicurezza dei trattamenti effettuati.
- L’operatore Genpact Romania SRL è stato multato per 14.913,6 lei (equivalenti a 3.000 euro).
La violazione dei dati si è verificata a seguito della trasmissione di un file contenente i dati di assunzione del personale a un indirizzo e-mail non autorizzato di un dipendente.
Nel corso dell’indagine è emerso che non sono state adottate misure per garantire che qualsiasi persona fisica che agisca sotto l’autorità del responsabile del trattamento e abbia accesso ai dati personali non li tratti se non su richiesta. È stato inoltre riscontrato che il responsabile del trattamento non ha attuato misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio del trattamento, compresa la capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza continua dei sistemi e dei servizi di trattamento.
Di conseguenza, questa violazione ha portato all’accesso non autorizzato e alla divulgazione non autorizzata di dati personali (come nome e cognome, numero di telefono, indirizzo e-mail) di alcuni interessati.
Inoltre, ai sensi dell’articolo 58 para. (2) lit. d) del Regolamento (UE) 2016/679, è stata disposta anche nei confronti dell’operatore Genpact Romania SRL la misura correttiva della revisione e dell’aggiornamento delle misure tecniche e organizzative implementate, comprese le procedure di lavoro relative alla protezione dei dati personali, l’implementazione e la trasmissione ai responsabili delle istruzioni sul divieto di utilizzo delle attrezzature personali dei dipendenti in varie attività non autorizzate dalla società e delle misure sulla formazione delle persone che agiscono sotto la sua autorità, sui loro obblighi ai sensi delle disposizioni del Regolamento (UE) 2016/679, compresi i rischi e le conseguenze della divulgazione dei dati personali.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_08.05.2024&lang=ro