ANSPDCP a amendat UniCredit Bank cu 62.714 lei pentru divulgarea datelor din notificări de asigurare - Eroare de procesare a dus la expunerea adreselor și valorii imobilelor și la raportarea întârziată a incidentului

UniCredit Bank a fost amendată cu 62.714 lei pentru o breșă de confidențialitate și pentru notificarea întârziată a incidentului , după ce notificări despre polițe de asigurare au ajuns la alți destinatari decât cei vizați, potrivit Profit . Cazul evidențiază riscul operațional al procesărilor manuale și obligația strictă de raportare în 72 de ore impusă de GDPR. Investigația Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a pornit de la reclamația unei persoane fizice. Autoritatea spune că banca, în contextul reînnoirii polițelor de asigurare, a transmis „notificări eronate” către un număr mare de clienți, prin mesageriile de mobil sau online banking și prin e-mail, din cauza unei erori legate de procesarea unui fișier necesar pregătirii notificărilor. Ce date au fost divulgate și cum s-a produs incidentul ANSPDCP a constatat o divulgare neautorizată de date personale, prin trimiterea notificărilor privind expirarea polițelor către alte persoane decât destinatarii de drept, „din cauza prelucrării manuale necorespunzătoare a unui fișier”. Conform autorității, au fost expuse inclusiv: numele și prenumele; adresa clientului; adresa și valoarea imobilului asigurat; calitatea de client al băncii pentru un produs de creditare cu ipotecă; data de expirare și costurile poliței de asigurare. Două sancțiuni: securitate insuficientă și raportare peste termen Banca a primit două amenzi, în total 62.714 lei (echivalentul a 12.000 euro), astfel: 52.270 lei (10.000 euro) pentru neimplementarea unor măsuri tehnice și organizatorice adecvate (încălcarea art. 32 din Regulamentul (UE) 2016/679 – GDPR); 10.454 lei (2.000 euro) pentru netransmiterea în termenul legal a notificării privind încălcarea securității datelor (încălcarea art. 33 alin. (1) din GDPR), ANSPDCP reținând că notificarea a fost trimisă cu întârziere, deși operatorul avea „informații concrete” despre incident. În esență, cazul combină două vulnerabilități cu impact direct pentru instituțiile financiare: control insuficient al proceselor interne care generează divulgări de date și nerespectarea termenului de 72 de ore pentru raportarea unei breșe către autoritatea de supraveghere. [...]