O firmă românească de servicii de consultanță în inginerie, Blue Projects SRL, a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă în valoare de 12.734 lei, echivalentul a aproximativ 2.500 euro, după un atac informatic care a compromis datele personale ale angajaților și colaboratorilor. Decizia a fost anunțată joi și face parte dintr-o investigație încheiată în luna martie 2026.
Conform autorității, firma nu a implementat măsurile de securitate prevăzute de regulamentul european privind protecția datelor cu caracter personal, ceea ce a dus la vulnerabilitatea sistemelor IT și, implicit, la încălcarea legislației în domeniu.
Atac informatic și încălcarea confidențialității datelor
După ce sistemele companiei au fost ținta unui atac cibernetic, datele personale ale unui număr semnificativ de persoane au fost accesate fără autorizație. În urma verificărilor, ANSPDCP a stabilit că în baza incidentului au fost compromise informații precum nume, prenume, cod numeric personal (CNP), adrese, date de contact, emailuri, funcții și CV-uri. Operatorul a transmis o notificare oficială autorității, conform obligațiilor stabilite de regulamentul european.
Autoritatea de control a precizat că, în ciuda faptului că firma a informat despre breșă, nu au fost adoptate măsuri tehnice și organizatorice suficiente pentru a proteja datele prelucrate. Aceasta a adăugat că nu s-a pus în aplicare un sistem de testare și evaluare periodică a măsurilor de securitate, ceea ce a favorizat accesul neautorizat la informații sensibile.
„Fără o infrastructură adecvată de securitate, riscurile pentru protecția datelor personale cresc semnificativ, iar consecințele pot fi grave pentru persoanele vizate”, a declarat un reprezentant al ANSPDCP.
Regulamentul UE și obligativitatea măsurilor de securitate
Potrivit legislației, operatorii trebuie să adopte măsuri tehnice și organizaționale rezonabile pentru a garanta nivelul de securitate necesar prelucrării datelor. În cazul Blue Projects SRL, autoritatea a constatat că aceste măsuri lipsesc sau sunt insuficiente, astfel încât riscul de acces neautorizat nu a fost gestionat adecvat.
ANSPDCP a subliniat faptul că, în cazul unui incident, operatorii au obligația să notifice autoritatea și persoanele afectate în cel mai scurt timp posibil, pentru a minimiza impactul breșei. În plus, trebuie să implementeze un sistem de monitorizare a fluxurilor de date pentru a detecta și preveni alte incidente.
Se așteaptă ca firma să ia măsuri urgente pentru a implementa și testa soluții tehnice și procedurale menite să prevină situații similare în viitor. Potrivit sursei, dacă aceste măsuri vor lipsi, compania se va confrunta cu sancțiuni mai dure și cu pierderea de încredere din partea clienților și colaboratorilor.
Blue Projects SRL nu a anunțat încă dacă va contesta sancțiunea sau dacă intenționează să implementeze măsuri suplimentare pentru a-și îmbunătăți sistemele de securitate. În această etapă, compania trebuie să îndeplinească o serie de obligații administrative și tehnice pentru a respecta cerințele legale și pentru a asigura protecția datelor în viitor.
