English
Sectorul energetic a fost cel mai puternic vizat de ANSPDCP în octombrie 2025, cu peste 70% din valoarea amenzilor aplicate pentru neconformitate GDPR, potrivit unei analize semnate de Cristiana Deca, expert în protecţia datelor şi cybersecurity.
Redăm mai jos analiza integrală:
"Octombrie acest an a fost una dintre cele mai intense şi interesante pentru Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cel puţin din perspectiva amenzilor aplicate. Dintr-o listă mai lungă, din care au rezultat aproape 43.000 euro colectaţi în urma amenzilor aplicate, cele mai multe companii sancţionate provin din sectorul energetic. Controalele Autorităţii au vizat în mod special acest domeniu al economiei, având semnale despre posibila neconformare care, în bună măsură s-au dovedit a fi reale. Astfel, se explică de ce peste 70% din valoarea totală a amenzilor a provenit din această zonă de activitate. Un nivel-record al cuantumului amenzii l-a avut E.On Energie, cu peste 25.000 euro cuantum al amenzii aplicate pentru neconformitate GDPR. De asemenea, apare şi Hidroelectrica, cu o sumă de cinci ori mai mică, e drept, dar semnalul este că sunt aspecte de revizuit în ambele cazuri pe partea conformării cu regulile GDPR în vigoare.
Din comunicarea oficială a Autorităţii reiese un aspect comun de neconformitate, ce pare, de altfel, a fi specific organizaţiilor mari, care lucrează şi prelucrează volume ridicate de date şi au sisteme IT complexe. Vorbim în primul rând despre lipsuri în procedurile de filtrare şi utilizare a bazelor de clienţi, fie şi numai dacă luăm în consderare faptul că s-a constatat transmiterea unor date personale ale clienţilor către alte persoane. Chiar dacă acest lucru s-a întâmplat fără o intenţie oneroasă ca atare, a fost evident că procesele de validare şi filtrare nu sunt încă bine puse la punct, iar operatorii nu s-au asigurat, prin suficiente controale interne, că vor preveni accesul neautorizat la datele clienţilor sau transmiterea eronată de informaţii personale către terţi. În al doilea rând, dar nu mai puţin important, s-au constatat întârzieri nejustificate ale notificărilor privind incidentele de Securitate, unele dintre acestea nefiind raportate în termenul de 72 de ore, încălcând art. 33 din Regulamentul GPDR. De unde rezultă o altă problemă de procedură internă şi instruire a personalului, mai ales în companiile mari cu procese decizionale fragmentate. În fine, putem adăuta şi lipsa unei evaluări corespunzătoare a riscurilor de neconformare, iată, mai puţin sau deloc luată în considerare.
Cum ar trebui abordat GDPR-ul în companiile din energie, şi am luat ca exemplu acest sector pentru că poate fi reprezentativ pentru alte organizaţii care lucrează şi prelucrează volume mari de date, despre clienţi, persoane fizice şi juridice deopotrivă,
Regulamentul GDPR, tratat inteligent, ca un instrument de protecţie şi de respectare a dreptului celor cărora li se utilizează datele, nu trebuie privit ca un obstacol, ci ca o infrastructură de încredere care permite parteneriate de date mai sigure (cu traderi, distribuitori, platforme digitale), care creşte valoarea percepută de clienţi (prin transparenţă şi responsabilitate) şi reduce costurile viitoare cu potenţiale breşe de securitate, sancţiuni, amezi şi litigii ulterioare. Necesitatea unei analize proactive de risc asupra prelucrărilor de date şi a fluxurilor între sistemele informatice se impune de la sine, dar Autoritatea a reiterat acest aspect de fiecare dată. Sectorul energetic, prin natura sa - cu reţele distribuite, contorizare inteligentă şi numeroase interfeţe digitale - este expus în mod particular riscurilor de confidenţialitate. Şi asemenea acestuia, şi alte sectoare economice care, prin definiţie, lucrează cu baze mari de date.
Conformarea minimală, ar putea fi realizată, în opinia mea, urmând aceşti paşi:
Integrare în guvernanţă - adică, include DPO-ul în board sau în comitetul de risc, tratează conformitatea GDPR ca parte a sustenabilităţii corporative (ESG) - S din ESG include protecţia datelor şi încrederea digital - şi defineşte indicatori de performanţă (KPI GDPR) clari, precum timp de reacţie la incident, nivel conformitate training, număr de accesări neautorizate prevenite etc.
Automatizare şi date etice, care s-ar traduce prin automatizarea fluxurile de consimţământ şi drepturi (drept de acces, ştergere etc.) - acestea devin parte din experienţa clientului, nu un disconfort birocratic. Obligatoriu de implementat privacy by design în proiectele de digitalizare energetică (smart grid, IoT, aplicaţii client). De asemenea, se impune crearea unui set intern de principia („Data Ethics Charter”), care depăşeşte cerinţa legală, definind modul în care compania foloseşte şi protejează datele
Educaţie şi cultură internă - aici vorbim despre o serie de măsuri, care pot fi aplicate în dinamică, prin care, practic, formarea GDPR devine un program de conştientizare continuă, cu exemple din realitatea companiei, nu doar teoretic, prin articole de lege. Sigur că şi performanţa personalului din front-office poate fi legată de respectarea procedurilor de protecţie a datelor.
Alte măsuri interne, prin care angajaţii să fie angrenaţi în respectarea regulilor pot merge de la a avea „ambasadori GDPR” în fiecare divizie operaţională (energie, comercial, IT, HR), până la comunicarea constantă a conformării ca valoare reputaţională şi utilizarea conformării ca instrument de marketing strategic. Apoi, publicarea rapoarte de transparenţă privind incidentele gestionate şi îmbunătăţirile aduse devine, în acest context, esenţială, astfel încât, cu tot acest pachet de măsuri bine aplicate intern, compania se poate poziţia drept lider de încredere digitală în energie - real diferenţiator în contextul liberalizării pieţei.
Nota bene, am spune că sectorul energetic are un profil unic de risc: date voluminoase, sisteme SCADA/IoT, infrastructuri critice, reţele distribuite şi o amprentă IT complexă. Articolul 32 din Regulamentul GDPR cere "măsuri tehnice şi organizatorice adecvate riscului”. În energie, "adecvate” înseamnă proporţionale cu impactul potenţial asupra continuităţii serviciului şi asupra datelor clienţilor.
Măsurile tehnice recomandate ar fi:
a) Securitate la nivel de infrastructură, care se referă, în principal, la segmentarea reţelelor IT/OT (SCADA vs. corporate) - izolarea fizică şi logică între sistemele de control industrial şi reţeaua de birouri. Crearea Zonelor DMZ pentru schimbul de date cu furnizori şi operatori de reţea, precum şi Actualizări de securitate automatizate pentru sistemele utilizate.
b) Controlul accesului prin autentificare multifactor (MFA) pentru toate interfeţele de administrare şi aplicaţiile de facturare, aplicarea principiul „least privilege” implementat granular (separarea accesului la date de consum, la profilul financiar şi la sistemele de comandă), plus revizuiri trimestriale ale drepturilor de acces.
c) Protecţia datelor clienţilor ar cuprinde trei aspecte importante: Pseudonimizarea şi criptarea datelor din contorizare inteligentă (smart metering), Mascarea datelor (masking) pentru zonele de testare şi pentru subcontractanţi şi Transferul securizat între partenerii de distribuţie şi furnizori prin canale certificate (TLS 1.3, VPN IPSec).
d) Rezilienţă şi reacţie la incidente, ceea ce s-ar traduce prin existenţa unor Planuri de continuitate şi recuperare (BCP/DRP) testate periodic, inclusiv simulări de tip „data breach drill”. Înfiinţarea unor Centre de operaţiuni de securitate (SOC) cu monitorizare 24/7, integrat cu mecanisme GDPR de detecţie şi notificare şi Automatizarea notificării incidentelor - sistemul să declanşeze alertă internă în mai puţin de o oră şi notificare DPO/autoritate în mai puţin de 72 ore.
În loc de concluzie
Observăm o direcţie strategică a ANSPDCP: accentul se mută din ce în ce mai mult spre operatorii de infrastructuri esenţiale, unde breşele de securitate pot genera consecinţe extinse asupra consumatorilor şi stabilităţii serviciilor. Faptul că industria energetică domină topul amenzilor din octombrie nu este întâmplător. Este un semnal că autoritatea urmăreşte cu prioritate domeniile cu impact sistemic şi volum mare de prelucrări. Pentru companiile din energie, investiţia în controale de securitate, audituri periodice şi formarea personalului devine esenţială pentru evitarea riscurilor reputaţionale şi financiare.
Raportul GDPR Enforcement Tracker 2025 notează, la capitolul „Transport & Energie”, faptul că numărul de amenzi este relativ mic, dar valoarea medie este ridicată, de unde rezultă că, atunci când apar, cazurile de neconformare sunt serioase şi duc la amenzi mari.” "
Euro
Dolar SUA
Franc elveţian
Liră sterlină
Gram de aur
Opinia Cititorului