10 ANI DE GDPR ÎN ROMÂNIA

Pe 27 aprilie 2026 se împlinesc 10 ani de la adoptarea oficială a Regulamentului (UE) 2016/679 (GDPR), iar pe 25 mai 2026 marcăm 8 ani de la data la care GDPR a devenit direct aplicabil în România. Acest material vă oferă o radiografie practică a celor opt ani de aplicare a GDPR în țară: cum a evoluat activitatea Autorității Naționale de Supraveghere (ANSPDCP), care sunt cele mai mari amenzi aplicate operatorilor români, cum se poziționează România în comparație cu restul Uniunii Europene și ce schimbări legislative majore urmează prin inițiativa „Digital Omnibus” a Comisiei Europene, publicată la 19 noiembrie 2025.

Cifrele din Romania: peste 41.000 de plângeri primite cumulat de ANSPDCP între 2018 și 2025, aproximativ 370 de amenzi aplicate, cuantum total estimat la peste 11,1 milioane lei (echivalent ~2,2 milioane EUR . Cea mai mare amendă dispusă inițial este de 150.000 EUR (Raiffeisen Bank, octombrie 2019, relatată de Ziarul Financiar), redusă ulterior de instanță la 15.000 EUR (ZF – decizie instanță). Cea mai mare amendă rămasă definitivă este de 100.000 EUR – Banca Transilvania, confirmată de Curtea de Apel Cluj la 14 aprilie 2022, conform comunicatului oficial ANSPDCP.

1. De ce contează această dublă aniversare

Cele două repere – 10 ani de la adoptare și 8 ani de la aplicare – nu sunt simple date de calendar. Reprezintă un ciclu complet de maturizare a unei legi europene: primii doi ani au fost dedicați pregătirii (mai 2016 – mai 2018), iar următorii opt au fost de aplicare reală, cu jurisprudență națională, modificări legislative complementare (Legea 190/2018, Legea 506/2004) și o curbă vizibilă de învățare atât pentru operatori, cât și pentru ANSPDCP.

Pentru o organizație, anul-reper 2026 înseamnă două lucruri practice.

În primul rând, este momentul potrivit pentru un audit de poziție: la opt ani de la implementarea inițială, multe politici și proceduri GDPR s-au demodat sau nu mai reflectă realitatea operațională.

În al doilea rând, este pragul de la care încep să producă efecte schimbări legislative majore – „Digital Omnibus”, DORA, NIS2, AI Act, Data Act – care impun o regândire a programului de conformitate, nu doar o continuare a celui existent.

2. ANSPDCP – cum a evoluat autoritatea de supraveghere

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal este autoritatea administrativă autonomă cu personalitate juridică, sub control parlamentar. Începând cu 25 mai 2018, ANSPDCP funcționează ca autoritate de supraveghere în sensul Art. 51 GDPR, cu atribuții directe în soluționarea plângerilor, efectuarea investigațiilor, aplicarea sancțiunilor și reprezentarea României în Comitetul European pentru Protecția Datelor (EDPB). Comunicatele de presă oficiale sunt publicate pe dataprotection.ro – secțiunea Toate știrile.

Pe parcursul celor 8 ani de aplicare GDPR, ANSPDCP a parcurs trei etape distincte:

  • Etapa pedagogică (2018–2020) – accent pe ghiduri, comunicare publică, măsuri corective și avertismente. Amenzile sunt rare și de valori moderate, cu excepția cazurilor bancare emblematice.
  • Etapa de consolidare (2021–2023) – numărul investigațiilor finalizate cu amendă crește semnificativ. Apar primele decizii pe sectorul medical, telecom și retail. Se acumulează jurisprudență internă utilă pentru consultanți și operatori.
  • Etapa de aplicare diversificată (2024–2026) – număr record de amenzi (83 în 2024, 85 în 2025), prima amendă cominatorie pentru sectorul public, cazuri transfrontaliere finalizate prin mecanismul One-Stop-Shop, cooperare cu autorități din alte state membre.

Frecvența comunicatelor de presă a urcat constant: doar în primele 4 luni ale anului 2026, ANSPDCP a publicat peste 18 comunicate referitoare la sancțiuni sau decizii, toate disponibile pe dataprotection.ro.

3. Evoluția cifrelor – plângeri, investigații, amenzi

Sinteza statistică pe cei 8 ani de aplicare reală a GDPR în România este prezentată în tabelul de mai jos. Datele provin din rapoartele anuale publicate de ANSPDCP.

An Plângeri Investigații Nr. amenzi Cuantum (lei)
2018 4.822 ≈10 631.500
2019 6.193 912 28 2.339.291
2020 5.480 694 29 892.115
2021 5.006 691 36 371.131
2022 4.260 52 1.058.863
2023 4.772 49 2.348.265
2024 5.354 83 1.667.859
2025* ≈5.100 85 ≈1.785.000

*Datele pentru 2025 sunt parțiale, până la publicarea raportului anual oficial al ANSPDCP. Estimările pentru primele 4 luni indică un total de 230.000 EUR doar până în aprilie, conform StartupCafe – GDPR 2025.

3.1. Plângerile primite – stabilitate cu vârf în 2019

Numărul plângerilor și sesizărilor primite anual de ANSPDCP s-a stabilizat în jurul valorii de 5.000, cu un vârf clar în 2019 (6.193) și o creștere reluată în 2024 (5.354). Vârful din 2019 are două cauze: efectul „panică post-aplicare” (publicul a aflat de existența GDPR și a depus volume mari de reclamații) și cazurile mediatizate intens din sectorul bancar din acea perioadă.

Figura 1 – Plângeri și sesizări primite de ANSPDCP (2018–2025)

Pentru clienți, semnalul este clar: persoanele vizate sunt active și utilizează mecanismele oferite de GDPR. Procesele interne de gestionare a cererilor (Data Subject Requests – DSR) nu mai sunt un nice-to-have, ci o obligație operațională cu efecte sancționatorii dacă termenul de 30 de zile prevăzut de Art. 12 alin. 3 GDPR este depășit.

3.2. Numărul amenzilor – trend ascendent

Evoluția numărului de amenzi este cel mai elocvent indicator al maturizării aplicării GDPR în România. De la aproximativ 10 amenzi în 2018 (anul intrării în aplicare, cu accent pe avertismente) la 85 în 2025, vorbim de o creștere de peste 8 ori.

Figura 2 – Număr de amenzi GDPR aplicate de ANSPDCP (2018–2025), cu linie de trend

Creșterea se explică prin finalizarea fazelor de investigație începute în anii anteriori, standardizarea procedurilor interne ale autorității și consolidarea practicii pe diferite tipologii de încălcări (cookies, marketing direct, drepturi DSR, securitate).

3.3. Cuantumul sancțiunilor

Spre deosebire de numărul de amenzi (în creștere constantă), cuantumul total fluctuează semnificativ – cu vârfuri în 2019 (2,33 mil. lei) și 2023 (2,35 mil. lei) și un minim în 2021 (0,37 mil. lei). Această variație reflectă două realități: sancțiunile mari și mediatice de la începutul aplicării (Raiffeisen, Unicredit, ING) cresc semnificativ totalul anilor respectivi, iar practica ANSPDCP rămâne predominant orientată spre amenzi medii și mici (sub 10.000 EUR per caz), conform principiului proporționalității.

Figura 3 – Cuantumul total al sancțiunilor GDPR aplicate în România (mil. lei, 2018–2025)

Cumulat pentru perioada 2018–2025, cuantumul total al amenzilor GDPR aplicate în România depășește 11,1 milioane lei (echivalent aproximativ 2,2 milioane EUR).

4. Top 10 amenzi GDPR aplicate în România

Tabelul și graficul de mai jos prezintă cele mai mari 10 amenzi GDPR aplicate de ANSPDCP în perioada 25 mai 2018 – mai 2026, în ordine descrescătoare după valoarea inițial dispusă (înainte de eventuale reduceri în instanță). Sursele utilizate sunt comunicatele oficiale ANSPDCP.

# Operator Sumă (EUR) An / Data Motiv principal
1 Raiffeisen Bank S.A. 150.000 / 15.000* Oct 2019 Art. 32 GDPR – securitate inadecvată; transmitere date clienți către Vreau Credit prin WhatsApp. *Redusă în instanță la 15.000 EUR.
2 Unicredit Bank S.A. 130.000 Iun 2019 Art. 25 GDPR – privacy by design/by default; expunere CNP și adresă pe documente publice. Prima amendă GDPR aplicată în România.
3 Banca Transilvania S.A. 100.000 Nov 2020 Art. 32(1)(2) + Art. 5(1)(f) GDPR – fotografierea și distribuirea pe WhatsApp a declarațiilor unui client. Cea mai mare amendă rămasă DEFINITIVĂ în RO.
4 ING Bank N.V. – Sucursala București 80.000 Sep 2019 Art. 25, Art. 32 GDPR – eroare procesare tranzacții card (dublarea sumelor debitate), afectând cca 800 clienți.
5 Orange România S.A. 40.000 2024 Multiple încălcări – securitatea prelucrării și gestionarea drepturilor persoanelor vizate.
6 Sectorul 1 al Municipiului București 32.000 Mar 2024 Amendă cominatorie pentru nerespectarea măsurilor corective; refuz cooperare cu ANSPDCP (Art. 31 GDPR).
7 Raiffeisen Bank S.A. (cumulat) 28.000 Sep 2022 Trei amenzi cumulate – drepturi persoană vizată, securitate insuficientă, prelucrare nelegală.
8 Altex România S.A. 20.000 Nov 2024 Art. 32 GDPR – dublă breșă: publicarea online a credențialelor + atac de tip credential stuffing.
9 Alior Bank S.A. Varșovia – Suc. București 17.000 Ian 2024 Art. 6, Art. 5(1)(b) GDPR – prelucrare în scopuri incompatibile (mesaje după încetarea contractului); caz transfrontalier.
10 Untold SRL 15.000 Oct 2024 Art. 12, Art. 15, Art. 17 GDPR – nerespectarea termenului legal pentru cererile de acces și ștergere.

Figura 4 – Top 10 amenzi GDPR aplicate în România, după valoare (EUR)

5. Analiza celor mai severe sancțiuni

5.1. Sectorul bancar

Patru dintre primele zece amenzi privesc sectorul bancar (Raiffeisen, Unicredit, Banca Transilvania, ING) și încă două sunt aplicate aceluiași sector (Raiffeisen cumulat 2022, Alior Bank 2024). Această concentrare nu este accidentală: băncile sunt operatori cu volume mari de date sensibile (CNP, date financiare, comportament tranzacțional), au lanțuri lungi de procesatori și sunt subiectul natural al primelor controale pentru că disponibilitatea raportărilor regulate facilitează identificarea breșelor.

Cazul Banca Transilvania (100.000 EUR, confirmat definitiv la Curtea de Apel Cluj pe 14 aprilie 2022, conform comunicatului ANSPDCP din aceeași dată) este didactic. Breșa nu a apărut din lipsa măsurilor tehnice, ci din comportamentul angajaților: o declarație a unui client a fost fotografiată de pe un ecran cu telefonul personal și distribuită pe WhatsApp. Implicațiile pentru programul ISMS: politicile de organizare a securității, resurse umane, asset management și monitorizare a activităților trebuie traduse în controale operaționale verificabile, nu doar documente.

Cazul Raiffeisen – 150.000 EUR (octombrie 2019) – este cea mai mare amendă GDPR dispusă inițial de ANSPDCP în România, conform relatărilor din Ziarul Financiar, Bursa.ro și Wall-Street.ro, însă a fost redusă ulterior de instanță la 15.000 EUR, conform Ziarul Financiar – decizie instanță. Faptul ilustrează un aspect important al practicii românești: cuantumul anunțat în comunicatul ANSPDCP nu este întotdeauna cel definitiv – operatorii beneficiază de o cale de atac eficientă, iar instanțele au redus, în câteva cazuri, sancțiunile inițiale.

5.2. Retail și e-commerce

Cazurile Altex (20.000 EUR), Untold (15.000 EUR), Profi Rom Food (10.000 EUR) și Kaufland (7.000 EUR cumulat) – toate aplicate în 2024 demonstrează că, în retail și e-commerce, riscurile principale vin din: parolarea slabă a conturilor, lipsa autentificării cu mai mulți factori (MFA), accesul angajaților la imagini CCTV prin telefoane personale și lipsa proceselor robuste de gestionare a drepturilor persoanelor vizate.

Atacul de tip credential stuffing asupra Altex (parole reutilizate de pe alte servicii, folosite pentru a accesa conturile altex.ro) este un studiu de caz frecvent în 2024–2025. ANSPDCP a fost foarte clară: nu este suficient ca operatorul să se apere prin existența unei politici de parole – trebuie să demonstreze măsuri active de detectare a tentativelor automate (rate limiting, CAPTCHA, monitorizare loguri de autentificare, notificare la log-in pe dispozitive noi).

5.3. Sectorul public – cazul Sectorul 1 al Municipiului București

Amenda cominatorie de 32.000 EUR aplicată în martie 2024 Primăriei Sectorului 1 nu privește o încălcare GDPR în sine, ci refuzul repetat de a furniza ANSPDCP informațiile solicitate și nerespectarea unui plan de remediere stabilit anterior. Sancțiunea ilustrează o tendință puternică, codificată inclusiv prin Comunicatul ANSPDCP din 23.07.2024 privind regimul sancționator pentru sectorul public: refuzul cooperării cu autoritatea (Art. 31 GDPR) generează măsuri cominatorii care pot fi mai costisitoare decât amenda inițială.

5.4. Cazuri transfrontaliere – Alior Bank și mecanismul One-Stop-Shop

Cazul Alior Bank SA Varșovia – Sucursala București (17.000 EUR, ianuarie 2024) este primul caz transfrontalier major finalizat la nivelul ANSPDCP. Sucursala bucureșteană era responsabilă față de clienții români, dar sistemele IT erau administrate centralizat din Polonia. ANSPDCP a colaborat cu autoritatea poloneză (UODO) pentru a impune măsuri corective la nivel de grup. Tendința de cooperare reală cu alte autorități europene s-a accelerat vizibil în 2025–2026.

5.5. Telecom – presiune continuă pe Vodafone și Orange

Vodafone România a primit cel puțin patru sancțiuni distincte între 2022 și 2024 pentru deficiențe similare (BCC neutilizat în corespondență colectivă, lipsa răspunsului la cereri de acces). Orange a fost sancționată cu 40.000 EUR (cea mai mare amendă din 2024). Mesajul implicit este că ANSPDCP nu pedepsește prima dată sever, dar persistă în controale și amenzile cresc cumulativ. Chiar și operatori cu DPO certificați și politici GDPR mature pot acumula sancțiuni dacă procesele operaționale zilnice nu sunt testate regulat.

6. România în context european

Cea mai cuprinzătoare bază de date publică privind amenzile GDPR aplicate în UE/SEE este GDPR Enforcement Tracker, administrată de firma de avocatură CMS Legal. Conform CMS Enforcement Tracker Report (ediția 2024/2025), până la 1 martie 2025 autoritățile europene au aplicat cumulat peste 2.245 de amenzi, în cuantum total de aproximativ 5,65 miliarde EUR. Doar în anul 2024, amenzile cumulate la nivel UE au depășit 1,2 miliarde EUR.

La nivel individual, topul european este dominat de autoritatea irlandeză (DPC), pe rolul căreia se află investigațiile transfrontaliere asupra Meta, Instagram, LinkedIn și TikTok – companii cu sediul european principal în Irlanda. Toate amenzile individuale de mai jos sunt verificabile prin căutare directă pe enforcementtracker.com, folosind ETid-ul atribuit fiecărui caz.

Figura 5 – Top 10 amenzi GDPR aplicate la nivelul UE, după valoare (mil. EUR). Sursa: CMS Enforcement Tracker.

Privit la nivel de țară, Irlanda concentrează aproximativ 3,5 miliarde EUR în amenzi GDPR cumulate – de peste patru ori mai mult decât Luxemburg (locul doi cu ~746 milioane EUR, în mare parte amenda Amazon din iulie 2021). Franța, Italia și Olanda completează podiumul aplicării active. Spania este țara cu cele mai multe amenzi în număr absolut (peste 930), dar cu valori medii reduse. Sursa pentru toate aceste cifre rămâne baza de date CMS Enforcement Tracker, actualizată permanent.

Figura 6 – Cuantum cumulat al amenzilor GDPR pe țări (mai 2018 – mai 2026, scară logaritmică). România evidențiată cu roșu.

Comparativ, România cu aproximativ 2,2 milioane EUR reprezintă circa 0,06% din totalul amenzilor irlandeze. Această diferență nu reflectă neapărat un nivel mai bun de conformitate al operatorilor români, ci două realități: majoritatea giganților digitali au sediul european principal în Irlanda sau Luxemburg, ceea ce direcționează deciziile mari acolo prin mecanismul One-Stop-Shop; iar ANSPDCP aplică, conform principiului proporționalității, amenzi modulate la cifra de afaceri locală și la gravitatea încălcării.

Important pentru clienți: chiar și o amendă moderată ca valoare absolută (de exemplu 20.000 EUR pentru Altex) poate genera impact reputațional disproporționat și deschide ușa pentru acțiuni colective în temeiul Art. 80 GDPR sau acțiuni civile în temeiul Art. 82. Riscul real nu este doar amenda inițială, ci spirala de costuri ulterioare (clienți pierduți, anchete sectoriale paralele, costuri de remediere obligatorie).

7. Inițiativa „Digital Omnibus” – ce se schimbă în GDPR până în 2027–2028

La 19 noiembrie 2025, Comisia Europeană a publicat propunerea oficială „Digital Omnibus Regulation Proposal” – cel mai important set de amendamente la GDPR de la adoptarea sa în 2016. Textul oficial al propunerii este disponibil pe EUR-Lex sub referința CELEX:52025PC0837, iar comunicatul de presă al Comisiei se găsește pe digital-strategy.ec.europa.eu.

Pachetul cuprinde două propuneri de regulament: (1) „Digital Omnibus”, care amendează GDPR, Directiva ePrivacy, Directiva NIS2 și Data Act; și (2) „Digital Omnibus on AI”, care ajustează AI Act-ul. Obiectivul declarat este simplificarea cadrului digital european și reducerea poverii de conformitate pentru întreprinderi, în special pentru IMM-uri. Pentru o analiză juridică detaliată, recomandăm IAPP – „EU Digital Omnibus: Analysis of key changes”, White & Case – Key takeaways și Latham & Watkins – Digital Omnibus analysis.

7.1. Schimbări la GDPR – ce vor afecta direct operatorii

Conform textului propunerii (CELEX:52025PC0837) și analizei IAPP, Digital Omnibus introduce următoarele modificări la GDPR:

  • Definiția datelor personale clarificată: introducerea unui test de „mijloace rezonabil susceptibile a fi utilizate” pentru identificarea persoanei, cu scopul de a clarifica statutul datelor pseudonimizate și agregate – o zonă gri în actualul text al Art. 4(1).
  • Bază legală nouă pentru AI: prelucrarea datelor personale pentru dezvoltarea și antrenarea modelelor de inteligență artificială primește un cadru de „interes legitim calificat” cu garanții suplimentare – răspuns la incertitudinea juridică post-ChatGPT.
  • DPIA centralizată la EDPB: în loc de listele naționale divergente (anexa Art. 35 alin. 4), EDPB va întocmi două liste UE unice – activități care necesită DPIA și activități care nu necesită DPIA. Comisia poate adopta un template standardizat prin act de implementare.
  • Notificarea breșelor – prag mai ridicat și termen extins: pragul de notificare a autorității de supraveghere urcă de la „risc pentru drepturi și libertăți” la „risc ridicat”, termenul se extinde de la 72 ore la 96 ore, iar EDPB va publica un model unic UE de raportare. Va exista un punct unic de intrare pentru toate notificările (GDPR + NIS2 + DORA).
  • Eliminări de obligații pentru IMM-uri: anumite obligații documentare (ROPA simplificat pentru IMM-uri, exemptări parțiale DPO) sunt revizuite – detalii specifice rămân în dezbatere parlamentară.
  • Drepturile persoanelor vizate clarificate: precizări privind cererile manifest neîntemeiate sau excesive (Art. 12 alin. 5) și privind dovada identității solicitantului, pentru a reduce abuzurile.

7.2. Calendar și parcurs legislativ

Propunerea Digital Omnibus urmează parcursul standard al regulamentelor UE:

  • 19 noiembrie 2025 – publicare propunere de către Comisia Europeană.
  • Q1–Q2 2026 – discuții în Parlamentul European și formularea poziției Consiliului UE; trilog așteptat.
  • Sfârșit 2026 / începutul 2027 – adoptare estimată (sub rezerva trilogului).
  • Mid 2027 – 2028 – intrare în vigoare etapizată a noilor prevederi.

Important pentru clienții noștri: până la adoptarea finală, GDPR rămâne aplicabil în forma actuală. Operatorii nu pot anticipa relaxările Digital Omnibus pentru a-și reduce nivelul actual de conformitate. Orice obligație curentă rămâne valabilă, iar ANSPDCP continuă să aplice sancțiuni pe baza textului din Regulamentul 2016/679 până la o eventuală modificare.

7.3. Reacția EDPB și pozițiile critice

Comitetul European pentru Protecția Datelor a publicat o opinie generală asupra Digital Omnibus, disponibilă pe edpb.europa.eu, exprimând îngrijorări selective – în special privind clarificarea „interesului legitim calificat” pentru AI și ridicarea pragului de notificare a breșelor. Organizații societate civilă (noyb, EDRi, BEUC) au criticat propunerea ca un „rollback” parțial al GDPR. Comisia susține că modificările sunt „tehnice” și „nu afectează nucleul drepturilor”.

7.4. Ce înseamnă pentru organizația dumneavoastră

Digital Omnibus generează trei tipuri de acțiuni pe orizont scurt și mediu:

  • Monitorizare activă (2026): urmărirea trilogului prin canalele oficiale; nicio modificare operațională înainte de adoptarea finală.
  • Pregătire transformare (2027): revizuirea procedurilor de DPIA pentru a se alinia la lista unică UE care va fi publicată de EDPB; ajustarea proceselor de notificare breșă pentru noul prag și termen de 96h.
  • Reaudit ROPA și DPO (2027–2028): operatorii calificați drept IMM ar putea beneficia de exemptări – revizuire clasificare și impact pe livrabilele lunare.

Recomandarea noastră: continuați ciclul lunar standard de mentenanță GDPR + ISMS, fără modificări preventive. Digital Omnibus nu este încă lege – planificarea conformității trebuie să se bazeze pe textul GDPR actual.

8. Cum sunt exercitate drepturile persoanelor vizate

La 8 ani de la aplicare, gradul de utilizare a drepturilor garantate de Art. 15–22 din Regulamentul (UE) 2016/679 este în creștere. Comunicatele ANSPDCP arată că plângerile privind exercitarea drepturilor reprezintă cel mai consistent grup de motive sancționate. Distribuția tipologică, bazată pe analiza comunicatelor publice din 2023–2025:

  • Dreptul la ștergere (Art. 17 – „dreptul de a fi uitat”): cel mai cerut și cel mai frecvent încălcat. Apare în peste 30% din amenzile aplicate în 2024.
  • Dreptul de acces (Art. 15): solicitat în special pe sectorul medical, telecom și retail; în aproximativ 20% din cazuri operatorul nu răspunde în termenul legal.
  • Dreptul de opoziție la marketing direct (Art. 21): SMS-uri și e-mailuri comerciale după dezabonare – cauza principală a amenzilor mici (sub 5.000 EUR) aplicate IMM-urilor.
  • Dreptul la rectificare (Art. 16): folosit rar de persoane vizate, dar invocat de autoritate atunci când datele inexacte cauzează prejudicii (în special banking).
  • Dreptul la portabilitate (Art. 20): aproape absent în plângerile către ANSPDCP – fie operatorii îl respectă în mod natural, fie persoanele vizate nu îl cunosc.
  • Dreptul la restricționarea prelucrării (Art. 18): invocat în special în contextul cesiunilor de creanță și al disputelor cu firme de recuperare.
  • Dreptul de a nu face obiectul unei decizii automatizate (Art. 22): caz rar, dar în creștere odată cu adoptarea AI în scoring de credit și HR.
  • Dreptul de a fi informat (Art. 13–14): încălcat sistemic în sectorul GPS-tracking pe mașini de serviciu și camerele de supraveghere din spațiile de muncă.

Recomandare operațională pentru clienți: orice operator trebuie să țină un registru centralizat al cererilor de exercitare a drepturilor (Data Subject Request Log) cu SLA-uri tehnologice de notificare automată la zilele 21 și 28 după primirea cererii. Lipsa acestui registru este, în practica ANSPDCP, considerată o circumstanță agravantă.

9. Ce greșesc operatorii români

Analizând cele zece amenzi din top și sancțiunile cumulate 2023–2025 se observă cinci patternuri recurente de neconformitate:

9.1. Lipsa măsurilor tehnice și organizatorice adecvate (Art. 32 GDPR)

Cel mai întâlnit motiv invocat de ANSPDCP – apare în peste 60% din amenzile aplicate. Categoria include parole slabe, lipsa MFA pe sistemele critice, absența segmentării rețelei, absența jurnalizării accesului, lipsa criptării on-disk sau in-transit. Recomandare: maparea controalelor Anexa A ISO/IEC 27001:2022 direct pe registrul de prelucrări (ROPA), demonstrând per activitate ce control protejează ce dată.

9.2. Nerespectarea drepturilor persoanelor vizate (Art. 15–22 GDPR)

Eroarea recurentă: termenul de o lună (Art. 12 alin. 3) nu este respectat, fie pentru că nu există proces formal, fie pentru că tichetele se pierd între departamente. Implementarea unui DSR Log centralizat reduce drastic acest risc.

9.3. Marketing direct fără consimțământ valid (Art. 6 GDPR + Legea 506/2004)

Companii precum Tensa Art Design, Corint Logistic, BEST ELAN ONLINE au fost sancționate multipli pentru SMS-uri și e-mailuri comerciale fără double opt-in valid. Legea 506/2004 impune consimțământ specific pentru fiecare canal (e-mail, SMS, telefonic). Confuzia frecventă: operatorul presupune că achiziția (cumpărarea produsului) consimte automat la marketing – ceea ce este eronat.

9.4. Supraveghere video și prelucrare cu temei incorect (Art. 5, Art. 6 GDPR)

CCTV audio-video în mijloacele de transport (Cluj-Napoca), GPS pe mașini de serviciu folosit în concediu (UP România, Global Ports), supravegherea video pentru disciplină internă – toate sancționate pentru depășirea minimului necesar (data minimization) și pentru absența evaluării de impact (DPIA). Recomandare: orice supraveghere video extinsă sau monitorizare angajați trebuie să treacă printr-o DPIA documentată conform Art. 35 GDPR și să fie precedată de o LIA (Legitimate Interest Assessment) acolo unde temeiul este Art. 6(1)(f).

9.5. Lipsa controlului asupra angajaților și a împuterniciților

Banca Transilvania, Raiffeisen, Kaufland, Medicover, Genpact – cazuri în care angajații au utilizat WhatsApp personal, telefon personal sau e-mail privat pentru a transmite date. Sancționarea este pentru Art. 29 (instruire angajați) și Art. 32 (lipsa supervizării). Conexiunea cu programul ISMS: utilizarea acceptabilă a activelor, training awareness, controlul accesului.

10. Ce se schimbă pentru operatori în 2026–2028

Pe lângă Digital Omnibus (analizat la capitolul 7), următorii doi ani vor consolida pachetul digital european și vor schimba peisajul de conformitate în România:

  • DORA (Regulamentul (UE) 2022/2554) – aplicabil din 17 ianuarie 2025 pentru entitățile financiare; introduce obligații suplimentare de management al riscului ICT, testare de reziliență, raportarea incidentelor și supervizarea critică a furnizorilor TIC terți. Coerența cu GDPR Art. 32 este esențială – același incident poate genera notificare paralelă către ANSPDCP, BNR și/sau ASF.
  • NIS2 (Directiva (UE) 2022/2555) – transpusă în România prin Legea 58/2023; lărgește spectrul entităților esențiale și importante, impune termen de notificare timpurie 24h pentru incidente semnificative, sancțiuni administrative care pot urca până la 10 mil. EUR sau 2% din cifra de afaceri.
  • AI Act (Regulamentul (UE) 2024/1689) – aplicare graduală 2025–2027; sistemele de AI cu risc înalt necesită DPIA + Fundamental Rights Impact Assessment (FRIA), gestionarea seturilor de date de antrenare, transparență față de persoanele vizate. Coordonare strictă cu Art. 22 GDPR.
  • Data Act (Regulamentul (UE) 2023/2854) – aplicabil din 12 septembrie 2025; introduce drepturi de acces și portabilitate pentru utilizatorii produselor IoT, complementare drepturilor GDPR.

11. Ce trebuie să facă organizația dumneavoastră acum

Pe baza analizei celor zece sancțiuni majore și a patternurilor identificate, propunem un plan de acțiune lunar standardizat, compatibil cu ciclul PDCA și cu structura Anexa A ISO/IEC 27001:2022.

11.1. La nivel de DPO

  • Revizuire trimestrială a ROPA – cu accent pe noile activități de marketing direct și pe procese de AI sau automatizare.
  • Audit anual al proceselor de gestionare DSR – cu măsurarea timpilor reali de răspuns și a procentului de cereri rezolvate în 30 de zile.
  • Actualizare DPIA pentru orice nouă tehnologie (CCTV, GPS, sisteme AI, biometrie); LIA documentat pentru toate prelucrările cu Art. 6(1)(f) GDPR.
  • Plan de cooperare formal cu ANSPDCP – cu termene clare pentru răspuns la solicitări de informații. Lecția cazului Sectorul 1 București: nesupunerea generează amenzi cominatorii.

11.2. La nivel de ISMS și IT

  • Implementare politici de parole conforme NIST SP 800-63B și ISO 27002:2022 control 8.5; activarea MFA pe toate accesele privilegiate.
  • Monitorizare activă (SIEM) și jurnalizare cu retenție de minim 90 de zile.
  • Politici BYOD și MDM stricte – interzicerea utilizării WhatsApp sau Telegram pentru date cu caracter personal, controlate prin DLP.
  • Testare anuală de penetrare (pentesting) și revizuire trimestrială a vulnerabilităților CVE cu impact pe sistemele care prelucrează date.

11.3. La nivel de awareness și training

  • Program lunar de simulare phishing și raportare a click-rate ca KPI principal.
  • Training GDPR anual obligatoriu, cu testare și certificat – include studii de caz reale (Banca Transilvania, Altex, Raiffeisen).
  • Sesiuni speciale pentru angajații cu acces la date sensibile (sector bancar, medical, HR) – cu accent pe utilizarea responsabilă a dispozitivelor personale.
  • Awareness emails lunare (2–4 pe lună) – phishing, parole, lucru remote, sfaturi GDPR.

12. Concluzii

La 10 ani de la adoptare și 8 ani de la aplicare în România, GDPR a depășit clar stadiul incipient. Cifrele agregate (peste 41.000 plângeri, aproximativ 370 amenzi, peste 11 milioane lei sancțiuni) demonstrează că autoritatea este activă și operatorii sunt sub o presiune crescândă de conformitate. Riscul nu provine doar din amenda inițială, ci din triada amendă + măsură cominatorie + costuri reputaționale, la care se adaugă suprapunerea cu sancțiunile NIS2, DORA și AI Act.

Infoshare Consulting recomandă clienților săi adoptarea unui ciclu lunar standardizat de mentenanță GDPR + ISMS, integrat cu activitățile de training, awareness și simulări de atacuri. Conformarea este un proces continuu, nu un eveniment singular: așa cum demonstrează cele zece sancțiuni analizate, organizațiile care au investit în documente fără proceduri operaționale validate au fost cele mai expuse.

La final, merită reamintit principiul de bază: ANSPDCP nu pedepsește operatorii care fac greșeli onest detectate și raportate, ci pe cei care ignoră, ascund sau nu cooperează. Cooperarea proactivă, raportarea breșelor în 72 de ore, măsurile corective rapide și investiția continuă în controale tehnice și organizatorice rămân cele mai bune apărări – și, în paralel, cele mai bune semnale de maturitate pentru clienții, partenerii și autoritatea de supraveghere.

Pentru orice întrebare sau pentru o evaluare personalizată a poziției organizației dumneavoastră în raport cu cerințele GDPR și Digital Omnibus, contactați echipa Infoshare Consulting.

Împărtășește-ți dragostea
A C
A C
Articole: 10

Actualizări newsletter

Introdu adresa ta de email mai jos și abonează-te la newsletter-ul nostru

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *