Amendă usturătoare pentru o firmă de consultanță IT din România, după un atac informatic

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a amendat firma BLUE Projects SRL, specializată în servicii de consultanță în inginerie, cu 12.734 lei (aproximativ 2.500 EUR). Sancțiunea survine în urma unui atac informatic care a compromis datele personale ale angajaților, colaboratorilor și persoanelor din corespondența firmei, potrivit unui anunț făcut joi de autoritate. Investigația a fost finalizată în martie 2026.

Date personale compromise într-un atac

Potrivit ANSPDCP, încălcarea a vizat prevederile Regulamentului (UE) 2016/679, articolul 32, alineatul (1) literele b) și d), precum și articolul 32 alineatul (2). Atacul informatic a afectat sistemele IT ale companiei, permițând accesul neautorizat la date personale sensibile. Operatorul a notificat ANSPDCP cu privire la incidentul de securitate. Informațiile compromise includ nume, prenume, cod numeric personal (CNP), adrese, date de contact, email-uri, funcții și chiar curriculum vitae.

Deficiențe în securitatea datelor

ANSPDCP a constatat că BLUE Projects SRL nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura un nivel de securitate corespunzător riscurilor asociate prelucrării datelor. Printre deficiențe, autoritatea a menționat lipsa unor măsuri care să garanteze confidențialitatea sistemelor și serviciilor de prelucrare. De asemenea, nu a existat un proces eficient de testare, evaluare și revizuire periodică a eficacității măsurilor de securitate.

În urma investigației, autoritatea a impus firmei obligația de a implementa, atât la nivel tehnic, cât și procedural, un sistem de monitorizare a fluxurilor de date. Această măsură vizează prevenirea unor incidente similare în viitor și consolidarea protecției datelor personale. Decizia reflectă angajamentul ANSPDCP de a aplica regulile de protecție a datelor și de a trage la răspundere companiile care nu respectă aceste norme.