Il 10.12.2019, l’Autorità di controllo ha portato a termine un’indagine presso  Hora Credit IFN SA e ha riscontrato la violazione di alcune disposizioni del Regolamento generale sulla protezione dei dati (GDPR).

L’operatore è stato sanzionato come segue:

• per la violazione accertata ai sensi dell’art. 12 della legge n. 190/2018, con riferimento alle disposizioni di cui all’art. 83 paragrafo (5) acceso. a) dal GDPR – multa per un importo di 14336,1 lei, l’equivalente di 3000 euro ;
• per la violazione accertata ai sensi dell’art. 12 della legge n. 190/2018, con riferimento alle disposizioni di cui all’art. 83 paragrafo (4) acceso. a) dal GDPR – ammenda di 47787 lei, l’equivalente di 10.000 euro ;
• per la violazione accertata ai sensi dell’art. 12 della legge n. 190/2018, con riferimento alle disposizioni di cui all’art. 83 paragrafo (4) acceso. a) dal GDPR (di cui all’articolo 33, paragrafo 1, del GDPR) – ammenda per un importo di 4778,7 lei, l’equivalente di 1000 euro .

Le sanzioni sono state applicate a seguito di un reclamo relativo al fatto che Hora Credit IFN SA ha trasmesso i documenti contenenti i dati personali di un’altra persona all’indirizzo e-mail.

Sebbene questo errore sia stato segnalato sia all’operatore che al suo call center, Hora Credit IFN SA non ha risolto il problema, trasmettendo comunque messaggi all’indirizzo e-mail.

A seguito dell’indagine è emerso che Hora Credit IFN SA ha elaborato i dati senza provare l’applicazione di meccanismi efficaci per verificare e validare l’accuratezza dei dati raccolti e successivamente elaborati, rispettivamente, per mantenere la loro riservatezza, secondo i principi di cui all’art. 5 del GDPR.

È stato inoltre riscontrato che l’operatore non ha adottato sufficienti misure di sicurezza per i dati personali, ai sensi dell’art. 25 e 32 del GDPR, in modo da evitare la divulgazione non autorizzata e accessibile di dati personali a terzi.

Allo stesso tempo, Hora Credit IFN SA non ha notificato all’Autorità di vigilanza l’incidente di sicurezza che è stato portato alla sua notifica, ai sensi dell’art. 33 del GDPR, entro 72 ore dalla data in cui ne è venuto a conoscenza.

Allo stesso tempo, all’oratore sono state applicate le seguenti misure correttive:

• misura correttiva per garantire la conformità con il GDPR delle operazioni per la raccolta e l’ulteriore trattamento dei dati personali allo scopo di concludere ed eseguire contratti di prestito, in particolare, in termini di verifica dei dati personali raccolti, come l’indirizzo e-mail, che consentono la comunicazione remota dei dati personale, implementando metodi efficaci per convalidare l’accuratezza dei dati – entro 30 giorni dalla data di comunicazione della denuncia di violazione (art. 58 comma (2) lettera d) del GDPR);
• misura correttiva assicurare il rispetto del GDPR delle operazioni di trattamento dei dati personali ai fini della conclusione e dell’esecuzione degli accordi di prestito, al fine di rispettare il segreto professionale e la riservatezza dei dati personali dei propri clienti, in particolare, nel caso della trasmissione di documenti e messaggi contenenti dati personali remoto (ad esempio via e-mail), implementando misure di sicurezza appropriate ed efficienti, sia tecnicamente (come la crittografia) che organizzativa, formando le persone che trattano i dati sotto la sua autorità, al fine di identificare e limitare immediatamente i rischi che possono interessare gli interessati – entro 30 giorni dalla data di comunicazione della denuncia di violazione (art. 58 comma (2) lettera d) del GDPR);
• la misura correttiva per garantire la conformità con il GDPR delle operazioni di trattamento dei dati personali al fine di attuare un’adeguata politica interna per l’identificazione dei rischi, analizzandoli e notificando l’ANSPDCP in caso di violazione della sicurezza, alle condizioni previste dall’art. 33 paragrafo (1) del GDPR – entro 30 giorni dalla data di comunicazione della denuncia di violazione (art. 58 comma (2) lettera d) del GDPR).

FONTE: AUTORITA’ PER LA PROTEZIONE DEI DATI PERSONALI DELLA ROMANIA