AEPD amendează Curenergía cu 500.000 de euro

Article AEPD amendează Curenergía: 500.000 € pentru încălcarea protecției datelor

Ce s-a întâmplat

O simplă eroare umană a dus la o încălcare gravă a securității datelor. În 2023, un agent care gestiona relația cu clienții a introdus accidental adresa de e-mail a unui client în contul altui client, în timpul unei sesiuni de asistență.

Ca urmare, comunicările privind plata facturilor destinate unei persoane au fost trimise în căsuța poștală electronică a unei persoane neautorizate. Destinatarul neautorizat a început să primească notificări de plată destinate altcuiva, inclusiv detalii precum numele complet al celuilalt client, adresa de domiciliu, numărul contului și informații despre factură.

Destinatarul a depus o plângere la Agenția Spaniolă pentru Protecția Datelor (AEPD) la 28 septembrie 2023, ceea ce a declanșat o anchetă administrativă.

Curenergía a corectat în cele din urmă eroarea – eliminând adresa de e-mail greșită din contul celeilalte persoane și notificând reclamantul cu privire la remediere – dar AEPD a decis însă să investigheze mai departe.

„Privacy by design” și „Privacy by default”, acuratețea și confidențialitatea datelor

Două principii fundamentale ale Regulamentului general privind protecția datelor (GDPR) al UE au stat la baza acestui caz:

Acuratețea datelor (GDPR, articolul 5 alineatul (1) litera (d)) – Datele cu caracter personal trebuie să fie exacte și actualizate, iar orice inexactități trebuie corectate sau șterse fără întârziere. În cazul Curenergía, adresa de e-mail a clientului din sistemele și bazele de date ale companiei era greșită, ceea ce a dus la trimiterea comunicărilor către o persoană neautorizată.

Protecția datelor încă din faza de proiectare și în mod implicit (articolul 25 din RGPD) – Organizațiile trebuie să integreze controale de protecție a datelor și de confidențialitate în sistemele și procesele lor încă de la început, și nu ca o măsură secundară. Confidențialitatea ar trebui să fie „setarea implicită”. AEPD a constatat că Curenergía nu dispunea de măsuri tehnice sau organizatorice adecvate pentru a preveni acest tip de eroare.

O defecțiune sistemică, nu un accident izolat

În timpul anchetei sale, AEPD a descoperit că aceasta nu era doar greșeala unui singur angajat, ci o vulnerabilitate sistemică în gestionarea datelor. Compania nu avea nicio procedură sau niciun control specific pentru a preveni sau detecta astfel de erori de introducere a datelor. Nu existau alerte sau verificări pentru a detecta faptul că aceeași informație de contact apărea în conturile unor clienți diferiți și că o astfel de situație ar trebui investigată.

Un alt factor în acest caz a fost natura datelor divulgate. Deși nu au fost expuse detalii sensibile privind sănătatea, e-mailurile trimise greșit au dezvăluit faptul că o persoană avea o datorie restantă la furnizorul de utilități. AEPD a remarcat că informațiile despre obligațiile financiare sau solvabilitatea unei persoane sunt importante, iar dezvăluirea acestora către o persoană neautorizată poate dăuna reputației sau vieții private a destinatarului legitim.

Ancheta a evidențiat, de asemenea, probleme în supravegherea împuterniciților de către Curenergía. Greșeala a fost comisă de un agent al unui furnizor extern de servicii. Faptul că un agent al unui împuternicit a comis eroarea – și că sistemele Curenergía nu au detectat-o – a determinat AEPD să considere că Curenergía nu și-a instruit sau monitorizat în mod adecvat furnizorii de servicii în ceea ce privește acuratețea și securitatea datelor.

De ce 500.000 de euro?

Având în vedere constatările, AEPD a impus o amendă substanțială Curenergía – 500.000 EUR pentru încălcarea articolului 25. Mai mulți factori au contribuit la stabilirea cuantumului acestei sancțiuni:

  • Încălcare sistemică: încălcarea nu a fost un fapt izolat, ci o vulnerabilitate sistemică. Lipsa controalelor de bază privind acuratețea datelor a însemnat că datele oricărui client puteau fi transmise către destinatari neautorizați, ceea ce AEPD a considerat mult mai grav decât o eroare izolată.
  • Amploarea impactului potențial: deoarece problema era la nivel de sistem, numărul persoanelor potențial afectate era foarte mare (aproximativ 3 milioane).
  • Natura datelor expuse: conținutul informațiilor divulgate a sporit gravitatea incidentului. E-mailurile au dezvăluit identitatea unei persoane, precum și faptul că aceasta avea facturi neplătite, ceea ce poate aduce atingere semnificativă drepturilor și libertăților persoanei afectate.

Lecții învățate

Cazul oferă câteva lecții importante pentru organizațiile care gestionează date cu caracter personal:

  • Integrați verificări de acuratețe în sisteme: integrați mecanisme de validare a datelor și de prevenire a erorilor în bazele de date și fluxurile de lucru ale clienților.
  • Instruiți personalul și aplicați proceduri clare: erorile umane nu pot fi eliminate complet, dar pot fi minimizate prin instruire adecvată și proceduri bine definite. Asigurați-vă că angajații și contractorii care gestionează date cu caracter personal sunt instruiți periodic cu privire la cele mai bune practici în materie de protecție a datelor, inclusiv importanța acurateței și confidențialității.
  • Monitorizați și auditați calitatea datelor: nu vă limitați la a presupune că datele sunt exacte – căutați în mod activ inexactități. Implementați audituri periodice sau scanări automate pentru a detecta anomalii în înregistrările clienților.
  • Fiți pregătiți în cazul unor incidente de securitate care vizează datele cu caracter personal: chiar și cu implementarea celor mai eficiente măsuri tehnice și organizatorice, erorile umane pot apărea în continuare. Ceea ce contează este modul în care acestea sunt gestionate. O parte esențială este existența unui plan de răspuns la incidente de securitate, testat periodic.





Andrei Hanganu

Senior Privacy and Data Protection Consultant

 

Share:
DECALEX TEAM
Autor: DECALEX TEAM We make privacy easy
Ultimele articole
Transparența în inteligența artificială: De ce este ea inevitabilă

Transparența în inteligența artificială: De ce este ea inevitabilă

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

”2026 is the new 2016” sau cum platformele online redescoperă GDPR-ul

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Digital Omnibus – cum se rearanjează puterea în Europa digitală

Un an cu DORA. Ce au avut de făcut instituțiile financiare privind conformitatea cu DORA

Un an cu DORA. Ce au avut de făcut instituțiile financiare privind conformitatea cu DORA

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI