La Autoridad Nacional de Supervisión del Tratamiento de Datos Personales completó, en diciembre de 2024, una investigación en el operador SPEEH HIDROELECTRICA SA y encontró una violación del art. 25 párrafo. (1) y párrafo. (2) del Reglamento (UE) 2016/679.
El operador fue multado con 74.562 lei (equivalentes a 15.000 euros).
La investigación se inició a raíz de la transmisión por parte del operador SPEEH HIDROELECTRICA SA de una notificación de violación de la seguridad de datos personales, de conformidad con lo dispuesto en el art. 33 del Reglamento (UE) 2016/679.
Durante la investigación se encontró que la violación de la seguridad de los datos personales ocurrió dentro y al momento del lanzamiento de la aplicación del operador, como resultado de un error técnico y de la falta de realización de pruebas suficientes de la misma en un entorno de prueba que simulara el real. entorno. de uso real en todos los procesos e interacciones con otras aplicaciones utilizadas por el operador.
Esta situación ha provocado la pérdida de integridad y disponibilidad de datos personales, así como la divulgación y/o el acceso no autorizado a datos personales pertenecientes a un número significativo de interesados.
En consecuencia, dado que el responsable del tratamiento no trató los datos personales de manera que se garantice su seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la adopción de medidas técnicas u organizativas apropiadas, se le impuso una multa por infracción de la disposiciones del art. 25 párrafo. (1) y párrafo. (2) del Reglamento (UE) 2016/679.
Al mismo tiempo, se ordenó al operador tomar la medida correctiva de implementación técnica y procedimental de un plan de pruebas en el entorno de prueba, que simularía el escenario de producción real en todas las situaciones plausibles en el entorno de producción, antes del lanzamiento a producción. de todos los componentes/aplicaciones que se deseen introducir dentro de las actividades que incluyan tratamiento de datos personales.
El operador pagó la multa establecida por delito menor.
https://www.dataprotection.ro/index.jsp?page=Comunicat_Presa_31.01.2025_1&lang=ro