Investigație finalizată de ANSPDCP: E.ON România, sancționată pentru nerespectarea normelor europene
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a anunțat finalizarea unei investigații derulate la E.ON Energie România S.A., companie activă în furnizarea de energie electrică și gaze naturale.
În urma verificărilor, s-a constatat încălcarea articolelor 32 alin. (1) lit. b) și alin. (2) din Regulamentul (UE) 679/2016 (GDPR), care impun operatorilor obligația de a adopta măsuri tehnice și organizatorice adecvate pentru protejarea datelor personale.
Pentru neregulile constatate, compania a fost sancționată cu o amendă de 126.797 lei, echivalentul sumei de 25.000 de euro. Autoritatea a subliniat că sancțiunea a fost aplicată proporțional cu gravitatea faptelor și cu riscul potențial creat pentru persoanele vizate.
Aceasta nu este prima investigație de acest tip efectuată în domeniul energetic, însă cazurile anterioare au vizat mai ales deficiențe de informare sau lipsa consimțământului, nu breșe de securitate efective.
Investigația a început după notificarea transmisă de E.ON România
Conform comunicatului emis de autoritate, investigația a fost declanșată în urma unei notificări trimise de E.ON Energie România, conform articolului 33 din Regulamentul european privind protecția datelor. Compania a informat ANSPDCP despre o posibilă breșă de securitate, după ce au fost identificate accesări neautorizate ale conturilor unor utilizatori.
În sesizarea depusă, operatorul a precizat că au fost accesate și extrase neautorizat adrese de e-mail și parole ale unui număr considerabil de persoane vizate. Aceste date ar fi putut fi utilizate ulterior pentru tentative de autentificare frauduloasă în conturile online ale clienților.
Autoritatea a apreciat faptul că notificarea a fost transmisă conform procedurilor legale, însă a continuat analiza pentru a verifica dacă măsurile de prevenire și reacție adoptate de companie înainte de incident au fost suficiente.
ANSPDCP: lipsă de măsuri tehnice și organizatorice adecvate
În urma investigației, ANSPDCP a constatat că E.ON România nu implementase măsuri tehnice și organizatorice corespunzătoare riscului asociat prelucrării datelor personale.
Documentul oficial menționează că lipsa unor controale eficiente a dus la acces neautorizat la adresele de e-mail și parole ale clienților, ceea ce a generat un risc ridicat de prejudicii financiare pentru persoanele afectate.
Autoritatea a explicat că astfel de incidente pot apărea atunci când sistemele informatice nu sunt actualizate corespunzător sau când parolele nu sunt protejate prin metode moderne de autentificare. În lipsa acestor mecanisme, crește semnificativ probabilitatea ca terți să obțină acces la conturi de utilizatori.
Raportul ANSPDCP precizează că situația identificată reprezintă o încălcare clară a articolului 32 din Regulamentul (UE) 679/2016, care prevede necesitatea asigurării confidențialității, integrității și disponibilității datelor personale, inclusiv prin criptare și metode de control al accesului.
Măsuri corective impuse de autoritate: autentificare multi-factor și noi standarde de protecție
Pe lângă amenda financiară, ANSPDCP a impus măsuri corective în baza articolului 58 alin. (2) lit. d) din RGPD. Printre acestea, compania E.ON România trebuie să implementeze autentificarea multi-factor (MFA) pentru toți utilizatorii platformei, o măsură menită să reducă riscurile de compromitere a conturilor.
Totodată, autoritatea a solicitat companiei să adopte alte măsuri tehnice și organizatorice suplimentare, pentru a atinge un nivel de securitate corespunzător riscurilor asociate prelucrării datelor. Acestea pot include audituri periodice de securitate, actualizări de software, instruirea personalului și revizuirea procedurilor interne privind protecția datelor.
Reprezentanții autorității au precizat că scopul principal al acestor decizii nu este doar sancționarea operatorului, ci și prevenirea unor incidente similare în viitor, într-un context în care digitalizarea serviciilor publice și private crește exponențial volumul de date prelucrate online.
Ministrul Energiei: România importă zilnic până la 2.000 de megawați
Într-o declarație separată, ministrul Energiei, Bogdan Ivan, a comentat situația generală din sectorul energetic, subliniind dificultățile întâmpinate după eliminarea schemei de plafonare a prețurilor. Potrivit acestuia, România nu era suficient pregătită pentru ieșirea din sistemul de plafonare, deoarece nu dispune încă de capacități interne de producție suficiente.
„Trebuia să fie mai pregătită România pentru a ieşi din această plafonare, cu capacităţi de producţie”, a spus ministrul.
El a adăugat că, din cauza acestui context, țara este nevoită să importe între 1.700 și 2.000 de megawați pe zi, mai ales în intervalele de vârf, când prețurile pe piața energiei sunt mai ridicate.
Declarațiile oficialului reflectă presiunea sub care se află sistemul energetic național, confruntat atât cu cerințele de conformare la standardele europene, cât și cu nevoia de a asigura prețuri suportabile pentru populație.
