O firmă românească specializată în servicii de consultanță în inginerie a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 12.734 lei, echivalentul a 2.500 euro. Decizia vine ca urmare a unui atac informatic care a compromis datele personale ale angajaților și colaboratorilor companiei Blue Projects SRL.
ANSPDCP anunță faptul că firma a fost punctual sancționată după o investigație finalizată în martie 2026. Autoritatea a constatat că operatorul nu a respectat cerințele legale în domeniul securizării datelor, încălcând articolele 32 alin. (1) lit. b) și d) și alin. (2) din Regulamentul (UE) 2016/679, cunoscut și sub denumirea de GDPR.
Detaliile incidentului și măsurile încălcate
Potrivit comunicatului ANSPDCP, Blue Projects SRL a notificat autoritatea despre incidentul de securitate în urma unui atac cibernetic asupra sistemelor IT proprii. Intrusii au accesat fără autorizație o serie de date cu caracter personal, incluzând nume, prenume, cod numeric personal (CNP), adrese, date de contact, adrese de email, funcție și CV-uri ale angajaților și colaboratorilor.
Autoritatea menționează că firma nu a avut în implementare măsuri tehnice și organizatorice suficiente pentru a asigura nivelul adecvat de protecție. În special, nu a fost demonstrată capacitatea de a menține confidențialitatea datelor și nu a fost instituit un proces periodic de evaluare și testare a măsurilor de securitate. Astfel, s-a creat o vulnerabilitate care a fost exploatată de către atacatori, rezultând în compromiterea informațiilor personale.
Directorul general al companiei a declarat anterior că a fost alertată prompt despre incident și că s-au depus toate eforturile pentru remedierea problemei. Cu toate acestea, sancțiunea aplicată de ANSPDCP indică faptul că măsurile de protecție nu au fost suficiente pentru a preveni astfel de atacuri.
Autoritatea pentru protecția datelor amintește companiilor de importanța implementării unor măsuri tehnice și organizatorice corespunzătoare pentru prevenirea breșelor de securitate. În cazul Blue Projects SRL, lipsa unor proceduri adecvate de monitorizare a fluxurilor de date și a unor evaluări periodice ale sistemelor de securitate a fost un aspect critic.
ANSPDCP solicită tuturor operatorilor de date să își revizuiască politicile și infrastructura pentru a asigura un nivel ridicat de protecție. În plus, autoritatea recomandă introducerea unor mecanisme de testare continuă a măsurilor de securitate și monitorizarea constantă a fluxurilor de informații.
Firma trebuie să implementeze rapid un sistem tehnic și procedural pentru supravegherea traficului de date, precum și un plan de acțiune pentru actualizarea și îmbunătățirea măsurilor de securitate în conformitate cu cele stabilite de regulamentul GDPR. Nerespectarea acestor obligații poate duce la sancțiuni suplimentare și la escaladarea riscurilor de abuzuri sau incidente de securitate în viitor.
Decizia ANSPDCP a intrat în vigoare imediat, iar reprezentanții Blue Projects SRL au fost informați oficial despre sancțiune la data de 15 ianuarie 2026. În același timp, autoritatea reiterează responsabilitatea companiilor de a-și proteja datele personale și de a respecta normele europene în domeniu.
