O firmă românească de servicii de consultanță în inginerie, Blue Projects SRL, a fost sancționată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) cu o amendă de 12.734 lei, echivalentul a aproximativ 2.500 de euro, după ce sistemele sale au fost ținta unui atac informatic major. Decizia a fost comunicată joi de autoritate, care a finalizat o investigație începută în martie 2026.
Conform anunțului oficial, firma s-a făcut vinovată de încălcarea unor prevederi cheie din Regulamentul (UE) 2016/679, cunoscut și sub numele de GDPR, în special a articolelor referitoare la măsuri tehnice și organizatorice pentru protecția datelor personale. În urma atacului, datele personale ale unui număr semnificativ de persoane, inclusiv angajați și colaboratori, au fost compromise.
Threatul a fost semnalat de către operator, care a notificat autoritatea cu privire la breșa de securitate. Se pare că intruziunea a fost rezultatul unui hack asupra sistemelor informatice ale companiei, ceea ce a dus la accesarea neautorizată a unor informații sensibile precum nume, prenume, cod numeric personal, adrese, date de contact, email-uri, funcții și CV-uri.
Este pentru prima dată când ANSPDCP sancționează o firmă din domeniul serviciilor de consultanță în inginerie pentru o astfel de încălcare gravă. Autoritatea a subliniat că firma nu a implementat măsuri tehnice și organizatorice adecvate pentru a garanta securitatea datelor prelucrate, ceea ce a facilitat accesul neautorizat.
Măsurile tehnice și procedural pe care firma ar fi trebuit să le adopte includ, printre altele, capacitatea de a menține confidențialitatea sistemelor și serviciilor de prelucrare a datelor. De asemenea, contabilizarea și evaluarea periodică a eficacității acestor măsuri sunt esențiale pentru prevenirea situațiilor similare.
Autoritatea precizează că Blue Projects SRL trebuie, de asemenea, să implementeze un sistem de monitorizare a fluxurilor de date, atât din punct de vedere tehnic, cât și procedural, pentru a putea surprinde orice activitate suspectă care ar putea indica o breșă de securitate. Acțiunile viitoare trebuie să vizeze atât creșterea nivelului de conștientizare internă, cât și adoptarea unor tehnologii de protecție mai robuste.
Compania are la dispoziție o perioadă pentru a-și ajusta politicile și infrastructura în conformitate cu normele în vigoare. În lipsa unor măsuri corespunzătoare, se poate ajunge la alte sancțiuni, inclusiv amenzi sporite sau acțiuni penale, în cazul unor breșe grave de securitate.
ANSPDCP reamintește că organizațiile trebuie să își adapteze constant strategiile de protecție a datelor, mai ales în condițiile în care atacurile cibernetice devin din ce în ce mai sofisticate. În cazul Blue Projects SRL, autoritatea a menționat că măsurile preventive actuale au fost considerate insuficiente pentru riscurile la care se expunea prelucrarea datelor.
Compania a fost informată oficial cu privire la decizia de sancționare joi, iar amendamentul trebuie plătit în termen de 15 zile calendaristice. În cazul în care nu va adresa problemele semnalate și nu va reface nivelul de securitate, sancțiunile pot fi suplimentate.
Astfel, compania din România devine un exemplu recent în peisajul acțiunilor de protecție a datelor, după ce un atac informatic a expus vulnerabilități care ar putea afecta atât reputația sa, cât și încrederea partenerilor și angajaților. În contextul creșterii frecvenței și complexității atacurilor cibernetice, autoritățile spun că vor continua să monitorizeze strict acest domeniu, cu accent pe responsabilitatea operatorilor în gestionarea datelor personale.
