Concluzia anchetei: încălcări ale Regulamentului general privind protecția datelor, cunoscut ca GDPR (Regulamentul (UE) 2016/679), soldate cu două amenzi în valoare totală de 12.000 de euro.

Potrivit autorității, problema a apărut în contextul unui proces de notificare adresat clienților care aveau obligații legate de reînnoirea polițelor de asigurare aferente creditelor ipotecare. În loc ca mesajele să ajungă exclusiv la destinatarii corecți, o eroare de procesare a condus la transmiterea lor către alte persoane.

În comunicarea oficială, se arată că banca a „a transmis notificări eronate către un număr mare de clienți, atât prin mesageriile de mobil sau online banking, cât și prin e-mail”.

Incidentul a fost pus pe seama unei probleme tehnice apărute în manipularea fișierului utilizat pentru generarea notificărilor. Autoritatea a reținut că „eroare legată de procesarea unui fișier necesar pregătirii notificărilor” a stat la baza divulgării neintenționate a datelor.

Datele expuse au inclus informații sensibile precum nume, prenume, adrese, detalii despre proprietăți imobiliare și condițiile polițelor de asigurare. În unele cazuri, informațiile au ajuns la persoane complet neautorizate, prin canale precum e-mail sau aplicații de online banking.

În urma analizei, inspectorii au stabilit și deficiențe de natură organizațională și tehnică. În acest sens, instituția de supraveghere a reținut că banca „nu a implementat măsuri tehnice și organizatorice adecvate pentru a se asigura de faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator și care are acces la datele cu caracter personal nu le prelucrează decât la cererea operatorului având în vedere asigurarea unui nivel de securitate corespunzător riscului prelucrării, incluzând capacitatea de a asigura confidențialitatea datelor”.

Pe lângă problema de securitate, ancheta a mai relevat și o întârziere în raportarea incidentului către autoritate, obligație prevăzută de GDPR. Astfel, s-a constatat că „nu a notificat încălcarea securității datelor cu caracter personal în termen de 72 de ore de la data la care a luat cunoștință de incidentul de încălcare a securității, notificarea fiind transmisă cu întârziere”, deși compania deținea informații clare despre incident.

În consecință, UniCredit Bank SA a fost sancționată cu două amenzi: una de 10.000 de euro pentru deficiențe în implementarea măsurilor de securitate și alta de 2.000 de euro pentru întârzierea notificării incidentului.