În prima situație, Vodafone România a fost sancționat cu amenzi totale în valoare de 20.000 de lei, pentru că acesta i-a transmis unei persoane, pe mail, un contract încheiat cu altcineva. Așadar, destinatarului a ajuns, în mod eronat, să-i fie divulgate datele unui alt client, lucru ce nu trebuia să se întâmple.
În esență, problema principală a fost că operatorul de date cu caracter personal nu a implementat măsuri de securitate adecvate pentru a preveni divulgarea datelor personale ale unei persoane unui destinatar neautorizat, cum a fost cazul în situația de față.
Amenda nu a fost aplicată în baza Regulamentului general privind protecția datelor (GDPR), ci în baza Legii nr. 506/2004, ce vizează protecția datelor în contextul comunicațiilor electronice.
În cel de-al doilea caz, ANSPDCP a amendat un alt operator pentru o problemă asemănătoare, amenda fiind de peste 14.000 de lei. Enel Energie Muntenia SA a transmis unui client, pe mail, datele personale ale unui alt client.
Pentru că, de data aceasta, nu mai era vorba de un operator activ în domeniul telecomunicațiilor, cum a fost cazul în prima situație, baza legală pentru aplicarea amenzii a constituit-o GDPR, însă fapta sancționată a fost, la fel ca mai sus, lipsa unui cadru adecvat de securitate care să prevină materializarea unei divulgări neautorizate de date.
Acestea nu sunt primele cazuri de sancționare a unor entități pentru trimiterea neautorizată de date personale. Am mai scris despre asemenea situații, de exemplu, aici.