Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a aplicat retailerului Altex România o amendă de 10.000 de euro, în urma unei investigații finalizate în luna mai 2026. Sancțiunea a venit după ce inspectorii au identificat mai multe încălcări ale Regulamentului european privind protecția datelor, legate de o breșă în aplicația mobilă a companiei.
O sancțiune dispusă după mai multe încălcări ale GDPR
ANSPDCP, autoritatea care supraveghează modul în care firmele și instituțiile gestionează datele cetățenilor, a încheiat în luna mai investigația privind Altex. Concluzia a fost că retailerul nu a respectat mai multe obligații prevăzute de Regulamentul (UE) 2016/679, cunoscut publicului larg drept GDPR.
Amenda de 10.000 de euro vine într-o perioadă în care autoritatea a intensificat verificările asupra modului în care operatorii din mediul privat protejează datele utilizatorilor. Cazul Altex este relevant tocmai pentru că vizează o aplicație mobilă, un canal prin care zeci de mii de clienți accesează zilnic conturi, comenzi, istoric de cumpărături și informații despre plăți.
Ce înseamnă o breșă într-o aplicație de cumpărături
O breșă de securitate într-o aplicație mobilă comercială poate îmbrăca mai multe forme: acces neautorizat la conturile clienților, expunerea datelor de contact, vizibilitatea unor informații care ar fi trebuit să rămână private sau erori în mecanismele de autentificare. Indiferent de natura tehnică a incidentului, GDPR cere operatorului să demonstreze că a luat toate măsurile rezonabile pentru a împiedica astfel de scurgeri.
În cazul aplicațiilor de retail, riscul este amplificat de volumul mare de tranzacții și de tipul informațiilor procesate. Cumpărătorii își încarcă în profil adrese, numere de telefon, uneori cardurile de fidelitate sau metode de plată salvate. Orice slăbiciune a sistemului poate fi exploatată pentru fraudă sau pentru atacuri de tip phishing țintit.
Pe aceeasi tema: Arggo Software: cum susține digitalizarea companiilor din România.
Cum se calculează amenzile pentru încălcările GDPR
Regulamentul european prevede sancțiuni de până la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală, oricare dintre valori este mai mare. Aceste plafoane se aplică însă pentru încălcările cele mai grave, cum ar fi prelucrarea ilegală a unor date sensibile ori lipsa totală a unui temei legal.
Pentru abateri considerate de gravitate medie, autoritățile de supraveghere din statele membre stabilesc cuantumul în funcție de mai multe criterii: natura incidentului, numărul de persoane afectate, durata expunerii, măsurile luate pentru remediere și gradul de cooperare cu autoritatea. Amenda primită de Altex se încadrează în zona sancțiunilor moderate, dar transmite un mesaj public despre seriozitatea cu care ANSPDCP tratează deficiențele tehnice.
ANSPDCP, într-o campanie continuă de verificări
În ultimii ani, autoritatea română a aplicat sute de amenzi unor companii din sectoare diverse, de la bănci și operatori de telecomunicații până la furnizori de utilități, clinici medicale și magazine online. Cazurile vizează adesea fie incidente de securitate raportate chiar de companii, fie reclamații venite din partea utilizatorilor care au constatat că datele lor au ajuns în locuri nedorite.
Sectorul retailului electro-IT este unul dintre cele mai expuse, întrucât folosește platforme online complexe, integrează multiple servicii de plată și are baze de date masive de clienți activi. Investigațiile pornesc, de obicei, de la notificarea obligatorie pe care operatorul trebuie să o trimită autorității în maximum 72 de ore de la descoperirea unui incident de securitate.
Legat de subiect: Țigările electronice interzise în public: ce a decis Senatul.
Drepturile consumatorilor când datele lor sunt expuse
GDPR oferă utilizatorilor un set clar de drepturi în relație cu operatorii care le gestionează informațiile. Aceștia pot solicita acces la datele stocate, pot cere ștergerea lor în anumite condiții, pot să se opună prelucrării pentru scopuri de marketing și pot depune plângere la ANSPDCP atunci când suspectează o încălcare.
În cazul unei breșe confirmate, operatorul are obligația, în multe situații, să își notifice direct clienții afectați. Această etapă este esențială pentru ca utilizatorii să își poată schimba parolele, să își supravegheze tranzacțiile bancare sau să fie atenți la posibile tentative de fraudă primite prin email, SMS ori apel telefonic.
Cum își pot proteja utilizatorii datele în aplicațiile de retail
Pentru cumpărătorii care folosesc aplicații similare, există câteva măsuri practice care reduc riscul în caz de incident la nivelul operatorului. O parolă unică pentru fiecare cont blochează efectul de cascadă atunci când datele de autentificare ajung în baze publice. Activarea autentificării în doi pași, acolo unde aplicația o oferă, adaugă o barieră suplimentară chiar și în condițiile în care parola a fost compromisă.
Verificarea periodică a setărilor de confidențialitate, eliminarea metodelor de plată salvate care nu mai sunt folosite și atenția la mesajele neașteptate primite prin email sau SMS rămân instrumente de bază prin care utilizatorii pot limita pagubele unei scurgeri de date. Amenda aplicată Altex confirmă că ANSPDCP urmărește activ astfel de situații, iar verificările asupra aplicațiilor mobile vor continua în următoarele luni.
Întrebări frecvente
Ce înseamnă o breșă de securitate într-o aplicație mobilă?
O breșă de securitate apare atunci când datele utilizatorilor devin accesibile unor persoane neautorizate sau sunt expuse din cauza unor erori de configurare. În cazul aplicațiilor mobile de cumpărături, breșele pot dezvălui adrese, numere de telefon, istoric de comenzi sau, în cazurile mai grave, date de autentificare. Operatorul are obligația de a notifica ANSPDCP în cel mult 72 de ore de la descoperirea incidentului și, în multe situații, trebuie să informeze direct clienții afectați.
Cum poți afla dacă datele tale au fost expuse într-o breșă?
Compania care a suferit o breșă are obligația de a notifica direct utilizatorii afectați atunci când riscul pentru drepturile lor este ridicat. Notificările vin de obicei prin email sau prin mesaje în aplicație. Pe lângă acestea, există servicii online care monitorizează adresele de email și avertizează utilizatorii când acestea apar în baze de date scurse public. Verificarea periodică a istoricului de autentificare în contul de retail este un alt indicator util.
Ce drepturi ai conform GDPR dacă datele tale au fost compromise?
Regulamentul european îți garantează dreptul de informare asupra incidentului, dreptul de a solicita ștergerea datelor, dreptul de a depune plângere la ANSPDCP și, în anumite condiții, dreptul de a cere despăgubiri pentru prejudiciul suferit. Poți contacta direct operatorul pentru a primi detalii despre măsurile luate. Dacă răspunsul este nesatisfăcător sau lipsește, poți escalada cazul către autoritatea de supraveghere.
Cât sunt amenzile maxime pentru încălcarea GDPR?
Regulamentul general privind protecția datelor permite amenzi de până la 20 de milioane de euro sau 4% din cifra de afaceri globală anuală, oricare dintre valori este mai mare. Plafonul maxim se aplică pentru încălcările cele mai grave, cum ar fi prelucrarea ilegală a unor categorii speciale de date. Pentru abateri considerate moderate, amenzile sunt sensibil mai mici, calibrate în funcție de gravitate, numărul persoanelor afectate și măsurile de remediere.
Cum protejezi mai bine datele când folosești aplicații de cumpărături?
Folosește o parolă unică pentru fiecare cont și activează autentificarea în doi pași dacă aplicația o permite. Evită salvarea datelor de plată dacă nu cumperi frecvent din acel magazin și verifică periodic setările de confidențialitate. Fii atent la mesajele neașteptate care îți cer să confirmi date sau să accesezi linkuri. În caz de suspiciune, schimbă imediat parola și contactează direct serviciul clienți pentru clarificări.
