ANSPDCP a sancționat compania Altex România S.R.L. cu amenzi în valoare totală de 10.000 de euro, în urma unei investigații finalizate în luna mai 2026, care a evidențiat deficiențe în protejarea datelor personale și nerespectarea obligațiilor de notificare prevăzute de Regulamentul General privind Protecția Datelor (GDPR).

Investigația a fost declanșată după ce o persoană fizică a depus mai multe petiții prin care semnala posibile încălcări ale normelor europene privind protecția datelor. În urma verificărilor, autoritatea a constatat că o vulnerabilitate tehnică existentă în aplicația mobilă a retailerului a permis accesul neautorizat la datele personale ale unei terțe persoane.

Potrivit concluziilor Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), problema a apărut în procesul de validare a contului unui utilizator, unde o disfuncționalitate tehnică a făcut posibilă afișarea unor informații aparținând altei persoane. Datele accesate fără autorizare au inclus numele și prenumele persoanei vizate, facturi și adrese de livrare.

Pentru aceste nereguli, Altex România a fost sancționată cu trei amenzi distincte. Cea mai mare, în valoare de 36.461 de lei (7.000 de euro), a fost aplicată pentru neimplementarea unor măsuri tehnice și organizatorice adecvate care să asigure securitatea și confidențialitatea datelor personale, încălcând astfel prevederile articolului 32 din GDPR.

O a doua amendă, de 10.417 lei (2.000 de euro), a fost aplicată deoarece operatorul nu a notificat autoritatea de supraveghere cu privire la incidentul de securitate, așa cum impune articolul 33 din Regulamentul (UE) 2016/679.

De asemenea, compania a primit o amendă de 5.208 lei (1.000 de euro) pentru că nu a informat persoana afectată de breșa de securitate, încălcând obligațiile prevăzute de articolul 34 din GDPR.

În cadrul investigației, autoritatea a concluzionat că Altex nu a implementat suficiente măsuri de prevenire și detectare a vulnerabilităților care ar fi putut împiedica accesul neautorizat la datele personale ale clienților. Totodată, compania nu a urmat procedurile obligatorii de raportare și comunicare a incidentului după identificarea acestuia.

Pe lângă sancțiunile financiare, ANSPDCP a dispus și o serie de măsuri corective menite să reducă riscul unor incidente similare în viitor. Printre acestea se numără revizuirea mecanismelor de validare și autentificare a conturilor utilizatorilor, implementarea unor proceduri periodice de testare a vulnerabilităților aplicației mobile și elaborarea unor proceduri interne privind gestionarea incidentelor de securitate.

Autoritatea a solicitat, de asemenea, instruirea periodică a personalului implicat în administrarea incidentelor de securitate și în relația cu persoanele vizate, precum și transmiterea unui răspuns scris către petent referitor la aspectele reclamate.