Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat, în iulie 2025, o investigație la operatorul La Fântâna S.R.L., companie furnizoare de servicii pentru aprovizionarea cu apă în sistem watercooler pe piețele din România și Serbia. În urma verificărilor, instituția a constatat încălcarea dispozițiilor art. 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 679/2016 (GDPR), aplicând o sancțiune în cuantum de 50.693 de lei (echivalentul a 10.000 de euro).

Investigația a fost declanșată după ce La Fântâna a notificat autoritatea cu privire la o încălcare a securității datelor, conform obligațiilor prevăzute de art. 33 din GDPR. Compania a raportat un atac informatic în urma căruia au fost afectate date sensibile ale unui număr semnificativ de clienți, inclusiv:

• nume și prenume,
• număr de card bancar,
• data de expirare a cardului,
• codul de verificare (CVV).

În timpul investigației, ANSPDCP a stabilit că operatorul nu implementase măsuri tehnice și organizatorice adecvate pentru a garanta un nivel de securitate corespunzător riscurilor. Lipsa acestora a facilitat divulgarea neautorizată a datelor cu caracter personal și a creat un risc real de fraudă bancară pentru persoanele vizate.

Astfel, au fost încălcate dispozițiile art. 32 din GDPR, care prevăd obligația operatorilor de a asigura confidențialitatea, integritatea și disponibilitatea sistemelor și serviciilor de prelucrare a datelor. Ca urmare, compania a fost sancționată cu amendă în valoare de 10.000 de euro, sumă pe care a și achitat-o.