Orange România, amendată cu 100.000 euro din cauza unui incident de securitate apărut în aplicaţia mobilă a companiei
Recent, Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a sancţionat Orange România cu două amenzi însumând 523.900 lei, echivalentul a 100.000 euro, pentru un incident major de securitate care a afectat aplicaţia mobilă a companiei. Problema a fost generată de o eroare de sincronizare între două aplicaţii ale operatorului, care a permis unui client să acceseze şi să descarce facturile de echipamente ce aparţineau altor utilizatori.
Încălcarea principiilor GDPR
Compania a fost penalizată, deoarece prin acest incident au fost încălcate principiile regulamentului GDPR, fapt ce a condus la divulgarea neautorizată a datelor personale ale diferitelor persoane vizate. Detaliile expuse includ nume, prenume, adrese de domiciliu, adrese de livrare, seria şi numărul cărţii de identitate, precum şi alte informaţii sensibile legate de facturi și date personale.
Investigaţia ANSPDCP
Investigaţia a fost demarată după ce Orange a notificat autoritatea despre incidentul de securitate, conform prevederilor legale. Comunicatul ANSPDCP detaliază modul în care incidentul a avut loc, menţionând că a fost rezultatul unei provocări tehnice generate de o configurare defectuoasă a platformelor software utilizate de companie.
Amendă pentru lipsa măsurilor de protecţie
Amenda iniţială a fost de 104.780 lei, sancţionând lipsa măsurilor tehnice şi organizatorice adecvate în gestionarea prelucrării datelor. O a doua amendă, mult mai gravă, în sumă de 419.120 lei, a fost aplicată pentru insuficienţa măsurilor de securitate în ceea ce priveşte protecţia informaţiilor personale ale clienţilor.
Neîndeplinirea standardelor de securitate
S-a constatat că Orange România nu a implementat măsuri de securitate corespunzătoare, expunând astfel platformele sale digitale unei vulnerabilităţi severe. Acest lucru a permis accesarea neautorizată a datelor personale, ceea ce contravine reglementărilor unificate în protecţia datelor.
Măsuri corective impuse de ANSPDCP
Autoritatea a impus, de asemenea, măsuri corective prin care operatorul va trebui să implementeze un proces riguros de monitorizare şi testare periodică a aplicaţiilor sale informatice, asigurându-se că eventualele vulnerabilităţi sunt identificate şi corectate prompt, astfel încât datele personale ale utilizatorilor să fie în mod activ protejate.

