Nel novembre del corrente anno l’Autorità Nazionale di Vigilanza ha concluso un’indagine presso l’operatore Hora Credit IFN SA nella quale ha accertato la violazione delle disposizioni di cui all’art. 32, art. 33 par. (1), art. 15 par. (1) e art. 12 par. (3) e (4) del Regolamento (UE) 2016/679 .

L’operatore è stato pertanto multato di 119.296,8 lei, l’equivalente di 24.000 EURO, come segue:

• sanzione pecuniaria di 99.414 lei, pari a 20.000 euro, per violazione delle disposizioni dell’art. 32 del Regolamento (UE) 2016/679 ;
• sanzione pecuniaria di 9.941,4 lei, pari a 2.000 euro, per violazione delle disposizioni dell’art. 33 par. (1) dal Regolamento (UE) 2016/679 ;
• sanzione pecuniaria di 9.941,4 lei, pari a 2.000 euro, per violazione delle disposizioni dell’art. 15 par. (1) e art. 12 par. (3) e (4) del Regolamento (UE) 2016/679 .

Le sanzioni sono state applicate a seguito di una denuncia in cui si sosteneva che l’operatore Hora Credit IFN SA aveva inviato al firmatario al suo indirizzo e-mail documenti contenenti i dati personali di un’altra persona, cliente dell’operatore.

Sebbene il firmatario abbia segnalato l’errore all’operatore, Hora Credit IFN SA non ha posto rimedio a questo aspetto, continuando a inviare messaggi al suo indirizzo di posta elettronica.

A seguito dell’indagine è emerso che Hora Credit IFN SA non ha adottato sufficienti misure di sicurezza dei dati personali, ai sensi dell’art. 32 del Regolamento (UE) 2016/679 , in modo da impedire la divulgazione non autorizzata ed accessibile dei dati personali del richiedente a terzi.

È stato inoltre accertato che l’operatore non ha segnalato all’Autorità di Vigilanza l’incidente di sicurezza portato alla sua attenzione, ai sensi dell’art. 33 par. (1) del Regolamento (UE) 2016/679 , entro 72 ore dalla data in cui ne è venuto a conoscenza.

Allo stesso tempo, Hora Credit IFN SA non ha presentato prove relative alla comunicazione di una risposta al ricorrente alla sua richiesta di informazioni circa la fonte di raccolta dei suoi dati personali, ai sensi dell’art. 15 par. (1) del Regolamento (UE) 2016/679 e nei termini disciplinati dall’art. 12 par. (3) e (4) del medesimo Regolamento.

Contestualmente sono state applicate all’operatore le seguenti misure correttive:

• la misura correttiva volta a garantire il rispetto del Regolamento (UE) 2016/679 delle operazioni di trattamento dei dati personali finalizzate alla conclusione ed esecuzione dei contratti di finanziamento, al fine di rispettare il segreto professionale e la riservatezza dei dati personali dei propri clienti, in particolare, negli caso di trasmissione di documenti e messaggi contenenti dati personali remoti, implementando misure di sicurezza adeguate ed efficaci, sia dal punto di vista tecnico, compreso l’aspetto di convalida certa degli indirizzi di posta elettronica raccolti, crittografia dei documenti trasmessi, archiviazione e monitoraggio dei registri dalla propria banca dati, nonché dal punto di vista organizzativo, formando le persone che trattano dati sotto la sua autorità, al fine di identificare e limitare immediatamente i rischi che possono colpire gli interessati, nonché ai fini di una corretta gestione delle richieste e delle segnalazioni ricevute;
• la misura correttiva per garantire il rispetto del regolamento (UE) 2016/679 delle operazioni di trattamento dei dati personali, contattando il firmatario per chiedergli di adottare misure per cancellare, distruggere, a seconda dei casi, le informazioni personali a cui ha avuto accesso in seguito ricevere messaggi e notifiche destinate al cliente di Hora Credit IFN SA;
• la misura correttiva per garantire il rispetto del Regolamento (UE) 2016/679 delle operazioni di trattamento dei dati personali al fine di attuare un’adeguata politica interna per identificare i rischi, analizzarli e notificare all’ANSPDCP in caso di violazione della sicurezza, alle condizioni previste dall’art. . 33 par. (1) dal Regolamento (UE) 2016/679 , anche in termini di adeguata formazione delle persone che trattano dati sotto l’autorità o per conto di Hora Credit IFN SA (dipendenti, collaboratori, persone autorizzate, ecc.);
• la misura correttiva consistente nell’informare il cliente della violazione della sicurezza dei suoi dati trasmettendoli per errore al ricorrente;
• il provvedimento correttivo di comunicare al ricorrente una risposta alla sua richiesta ai sensi dell’art. 15 par. (1) del Regolamento (UE) 2016/679 .       

https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_07_12_2023&lang=ro