Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a finalizat în luna mai 2026 o investigație la Unicredit Bank SA și a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b), alin. (2) și (4) și art. 33 alin. (1) din Regulamentul (UE) 2016/679.

Ca atare, Unicredit Bank SA a fost sancționată contravențional cu două amenzi în cuantum de 62.714 lei (echivalentul a 12.000 EURO), astfel:

cu amendă în cuantum de 52.270 lei (echivalentul sumei de 10.000 euro) pentru încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul (UE) 2016/679, pentru neimplementarea unor măsuri tehnice și organizatorice adecvate;
cu amendă în cuantum de 10.454 lei (echivalentul sumei de 2.000 euro) pentru încălcarea dispozițiilor art. 33 alin. (1) din Regulamentul (UE) 2016/679, pentru netransmiterea în termenul legal a notificării încălcării de securitate.

Investigația a fost demarată ca urmare a transmiterii unei petiții de către o persoană fizică prin care a semnalat posibile încălcări ale Regulamentului (UE) 2016/679.

Ca urmare a investigației efectuate, a rezultat că operatorul, în vederea reînnoirii polițelor de asigurare de către clienții care aveau această obligație, în contextul expirării acestora, a transmis notificări eronate către un număr mare de clienți, atât prin mesageriile de mobil sau online banking, cât și prin e-mail. Dezvăluirea a fost cauzată de o eroare legată de procesarea unui fișier necesar pregătirii notificărilor.

În cadrul investigației, s-a constatat că operatorul nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura de faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului având în vedere asigurarea unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea datelor.

În consecință, această încălcare a condus la divulgarea neautorizată a datelor personale (precum numele, prenumele, adresa clientului, adresa și valoarea imobilului asigurat, calitatea de client al băncii pentru produs de creditare cu ipoteca, data de expirare și costurile poliței de asigurare) pentru un număr semnificativ de persoane vizate (clienți), prin transmiterea în mod eronat, a notificărilor privind expirarea polițelor de asigurare către alte persoane decât destinatarii de drept, din cauza prelucrării manuale necorespunzătoare a unui fișier.

Această situație constituie o încălcare a dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) și (4) din Regulamentul (UE) 2016/679.

Totodată, în cursul investigației, s-a constatat că operator nu a notificat încălcarea securității datelor cu caracter personal în termen de 72 de ore de la data la care a luat cunoștință de incidentul de încălcare a securității, notificarea fiind transmisă cu întârziere, deși operatorul avea informații concrete privind încălcarea confidențialității datelor personale, fiind astfel încălcate dispozițiile art. 33 alin. (1) din Regulamentul (UE) 2016/679.

Direcția juridică și comunicare

A.N.S.P.D.C.P.