La Autoridad Nacional de Control ha concluido en febrero de 2021 una investigacion al operador TELEKOM ROMANIA MOBILE COMMUNICATIONS SA y ha revelado la violación de cuanto previsto desde el articulo 32, apartados 1 y 2 del Reglamento General de Protección de Datos y violación del articulo 3, apartados 1 y 3, letras a) y b) de la Ley n. 506/2004, modificada y integrada.

Por esto, el operador TELEKOM ROMANIA MOBILE COMMUNICATIONS SA ha sido sancionado para crímenes minore:

•         una sanción de 48.748,00 LEI (10.000 EUROS) para violación del artículo 32, apartados 1 y 2 del Reglamento General de Protección de Datos
•         una sanción pecuniaria de 15.000 LEI para haber violado lo previsto desde el artículo 3, apartados 1 y 3, letras a) y b) de la Ley n. 506/2004,

desde la investigación surgió que el operador no ha implementado medidas técnicas y organizativas adecuadas para garantizar el nivel de seguridad adecuado al riesgo del tratamiento, que ha llevado a la divulgación no autorizada y/o acceso no autorizado a datos sensibles, como: ID cliente, código cliente, nombre y apellido, CNP, fecha de nacimiento, sexo, número de teléfono, email, dirección (nación, ciudad, calle), el amontar de las deudas asociadas al código cliente de un numero de 99.210 interesados/clientes.

Por esto, las direcciones de facturaciones han sido erróneamente inseridas en el banco datos con cada cliente, enviados a un partner contractual bajo la base un contrato de cesión de la deuda, que ha llevado al envío a direcciones erradas de las notificaciones enviadas a los clientes.

Ha sido revelado que el encargado del tratamiento no ha implementado medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento de datos personales, capaz de proteger los datos personales archivados o transmitidos de archivación, elaboración, acceso o compartición ilegal, que han llevado a datos personales en los account MYAccount (nombre del titular de la cuenta; fecha de nacimiento; número de teléfonos utilizados; dirección de casa; correo electrónico; código abonado; servicios contratados; opciones extra activas en el account; historia simple de la factura) de un número de 413 interesados/clientes de Telekom Romania. Se subraya que el gestor tenía la obligación de garantizar que a los datos personales podían acceder solo las personas autorizadas, para las finalidades indicadas en la ley, violando así lo previsto desde el artículo 3, apartados 1 y 3, letras a) y b) de la Ley n. 506/2004 sobre el tratamiento de datos personales y protección de privacidad en el sector de las comunicaciones electrónicas, modificado y integrado.

Las disposiciones del artículo 3 apartados 1 y 3 letras a) y b) de la Ley n. 506/2004, como modificado y integrado, prevé:

“(1) El proveedor de un servicio de comunicación electrónica dirigido al público tiene la obligación de implementar medidas técnicas y organizativas adecuadas para garantizar la seguridad del tratamiento de datos personales. Si es necesario, el proveedor de servicio de comunicación electrónica dirigido al público adopta estas medidas junto al proveedor de la red pública de comunicación electrónica”.

“(3) Sin perjuicio de lo previsto desde la Ley n. 677/2001, con las sucesivas modificas y integraciones, los procedimientos adoptados con arreglo al apartado (1) tiene que cumplir las siguientes condiciones:

1.       garantizar que a los datos personales pueden acceder solo las personas autorizadas, para las finalidades autorizadas desde la ley;
2.       para proteger los datos personales memorizados o transmitidos desde la destrucción accidental o ilícita, de la pérdida o del daño accidental o de la conservación, elaboración, acceso o divulgación de ilícitos.”

Además, se han aplicado las medidas correctivas desde el operador, que son:

•         examinar y actualizar las medidas técnicas y organizativas implementadas después de la evaluación del riesgo para los derechos y las libertades de las personas, incluidas los procedimientos sobre las comunicaciones electrónicas;
•         implementación de un procedimiento de verificación, evaluación y verificación periódica de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento, según lo previsto desde el GDPR.

En este contexto, nos le recordamos de que el artículo V, apartado 2 de la Ley 129/2018 prevé que “todas las referencias a la ley n. 677/2001, con sucesivas modificaciones e integraciones, de los actos normativos, se intenten referencias al Reglamento General de Protección de Datos y a la normativa para su implementación”. 

FUENTE: AUTORITA’ PER LA PROTEZIONE DEI DATI DELLA ROMANIA