ANSPDCP a amendat Unicredit cu 12.000 EUR pentru divulgarea datelor clienților

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a încheiat în mai 2026 o investigație la Unicredit Bank SA, pornită de la o plângere a unei persoane fizice. Rezultatul: două amenzi care însumează 62.714 lei (circa 12.000 EUR) pentru încălcări ale GDPR.

În contextul reînnoirii polițelor de asigurare care ajungeau la expirare, banca a transmis notificări eronate către un număr mare de clienți, prin mesageriile de mobile/online banking și prin e-mail. Incidentul a fost generat de o eroare la procesarea unui fișier folosit la pregătirea notificărilor, ceea ce a dus la divulgarea neautorizată a datelor personale.

Conform ANSPDCP, datele expuse au inclus:

• numele și prenumele, adresa clientului;
• adresa și valoarea imobilului asigurat;
• calitatea de client al băncii pentru produs de creditare cu ipotecă;
• data de expirare și costurile poliței de asigurare.

Sancțiunile au fost aplicate astfel:

• 10.000 EUR (52.270 lei) pentru încălcarea art. 32 alin. (1) lit. b) și alin. (2) și (4) GDPR – neimplementarea unor măsuri tehnice și organizatorice adecvate, inclusiv pentru a garanta că persoanele care au acces la date prelucrează doar la cererea operatorului și cu un nivel de confidențialitate adecvat riscurilor;
• 2.000 EUR (10.454 lei) pentru încălcarea art. 33 alin. (1) GDPR – netransmiterea în termenul legal a notificării încălcării securității datelor; raportarea a fost făcută cu întârziere, deși existau informații concrete privind incidentul.

Autoritatea subliniază că sursa incidentului a fost prelucrarea manuală necorespunzătoare a fișierului de lucru. În practică, astfel de campanii recurente (reînnoiri de polițe) cer controale clare pe liste și pe fluxurile de trimitere; altfel, canalele rapide devin și canale rapide de expunere. Iar regula de 72 de ore pentru notificarea breșei rămâne un termen procedural ferm.