Alertă! Cunoscută bancă din România – amendă record! Acuzații grave!
UniCredit Bank SA a fost sancționată de Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu amenzi în valoare totală de 12.000 de euro. Sancțiunile au fost aplicate în urma unei investigații care a scos la iveală divulgarea eronată a datelor personale aparținând unor clienți care au achiziționat imobile prin credite ipotecare.
Conform unui comunicat oficial al instituției, verificările au fost finalizate în luna mai 2026, după ce o persoană fizică a depus o petiție semnalând posibile încălcări ale Regulamentului (UE) 2016/679 (GDPR). În urma controlului, ANSPDCP a aplicat două sancțiuni contravenționale, însumând 62.714 lei, respectiv o amendă de 52.270 lei (echivalentul a 10.000 euro) pentru neimplementarea unor măsuri tehnice și organizatorice adecvate, conform art. 32 din Regulamentul (UE) 2016/679 ;i o amendă de 10.454 lei (echivalentul a 2.000 euro) pentru depășirea termenului legal de notificare a încălcării securității datelor, conform art. 33 din Regulamentul (UE) 2016/679.
Investigația a stabilit că incidentul a avut loc în contextul în care banca a trimis notificări clienților ale căror polițe de asigurare pentru imobilele ipotecate urmau să expire. Din cauza unei erori apărute în timpul procesării manuale a unui fișier necesar pregătirii acestor mesaje, notificările au fost transmise către destinatari greșiți prin e-mail, mesageria de mobil sau platformele de online banking.
Această eroare a dus la dezvăluirea neautorizată a unor informații sensibile, precum numele și prenumele, adresa clientului, locația și valoarea imobilului asigurat, calitatea de client al băncii pentru un produs de creditare cu ipotecă, dar și costurile și data de expirare a poliței de asigurare. ANSPDCP notează că situația a afectat un număr semnificativ de persoane vizate.
În cadrul raportului, autoritatea a subliniat deficiențele de securitate ale operatorului: „ANSPDCP a finalizat în luna mai 2026 o investigaţie la Unicredit Bank SA şi a constatat încălcarea dispoziţiilor art. 32 alin. (1) lit. b), alin. (2) şi (4) şi art. 33 alin. (1) din Regulamentul (UE) 2016/679”.
Pe lângă vulnerabilitățile tehnice, UniCredit Bank a fost sancționată și pentru modul în care a gestionat raportarea incidentului. Deși banca deținea informații concrete despre breșa de securitate, aceasta nu a anunțat autoritatea de supraveghere în intervalul obligatoriu de 72 de ore impus de legislația europeană.
„Totodată, în cursul investigaţiei, s-a constatat că un operator nu a notificat încălcarea securităţii datelor cu caracter personal în termen de 72 de ore de la data la care a luat cunoştinţă de incidentul de încălcare a securităţii, notificarea fiind transmisă cu întârziere, deşi operatorul avea informaţii concrete privind încălcarea confidenţialităţii datelor personale, fiind astfel încălcate dispoziţiile art. 33 alin. (1) din Regulamentul (UE) 2016/679”, se mai precizează în comunicatul emis de ANSPDCP.
Autoritatea a constatat că banca nu a implementat măsuri adecvate pentru a asigura confidențialitatea datelor și pentru a garanta că persoanele care acționează sub autoritatea sa prelucrează informațiile exclusiv la cererea operatorului, menținând un nivel de securitate adaptat riscurilor identificate.
Urmărește știrile Obiectiv de Argeș și pe pagina de Facebook, pe grupul Ziar Obiectiv – Știrile Argeșului, pe Google News, pe Tik Tok sau direct pe canalul de WhatsApp
