În cele mai multe cazuri de neconformitate cu legislația în vigoare problemele vizează, în principal, lipsuri în procedurile de filtrare și utilizare a bazelor de clienți, datele personale ale clienților fiind transmise către alte persoane.
De asemenea, trebuie remarcate și întârzierile nejustificate ale notificărilor privind incidentele de Securitate care țin de procedurile interne și instruirea personalului, mai ales în companiile mari cu procese decizionale fragmentate.
Sectorul cel mai vulnerabil pare să fie energia cu cele mai multe companii amendate de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), în ultima perioadă.
Probleme la firmele din energie
În luna octombrie, peste 70% din valoarea totală de 43.000 euro a amenzilor aplicate de către (ANSPDCP) pe motiv de neconformitate - GDPR a vizat firme din sectorul energiei.
O sancțiune record a primit E.On Energie, cu peste 25.000 euro, însă, și Hidroelectrica, cel mai mare producător de energie din România, deţinut de statul român, a fost sancționat cu o sumă de cinci ori mai mică. Dincolo de valoarea acestor amenzi important este semnalul tras, faptul că sunt aspecte de revizuit în ambele cazuri pe partea conformării cu regulile GDPR în vigoare.
Breșele de securitate pot genera consecințe extinse asupra consumatorilor și stabilității serviciilor în cazul operatorilor de infrastructuri esențiale.
„Faptul că industria energetică domină topul amenzilor din octombrie nu este întâmplător. Este un semnal că autoritatea urmărește cu prioritate domeniile cu impact sistemic și volum mare de prelucrări. Pentru companiile din energie, investiția în controale de securitate, audituri periodice și formarea personalului devine esențială pentru evitarea riscurilor reputaționale și financiare”, spune Cristiana Deca, expert în GDPR și cybersecurity.
Cazurile de neconformare sunt serioase și duc la amenzi mari, se aratăși în Raportul GDPR Enforcement Tracker 2025.
Nereguli la companiile mari
ANSPDCP semnalează un aspect comun de neconformitate specific organizațiilor mari, care lucrează și prelucrează volume ridicate de date și au sisteme IT complexe. Este vorba, în primul rând, despre lipsuri în procedurile de filtrare și utilizare a bazelor de clienți, fie și numai dacă luăm în consderare faptul că s-a constatat transmiterea unor date personale ale clienților către alte persoane.
„Chiar dacă acest lucru s-a întâmplat fără o intenție oneroasă ca atare, a fost evident că procesele de validare și filtrare nu sunt încă bine puse la punct, iar operatorii nu s-au asigurat, prin suficiente controale interne, că vor preveni accesul neautorizat la datele clienților sau transmiterea eronată de informații personale către terți”, afirmă Cristiana Deca.
De asemenea, au fost constatate întârzieri nejustificate ale notificărilor privind incidentele de securitate, unele dintre acestea nefiind raportate în termenul de 72 de ore, încălcându-se art. 33 din Regulamentul GPDR. De aici rezultă o altă problemă de procedură internă și instruire a personalului, mai ales în companiile mari cu procese decizionale fragmentate. La toate acestea se poate adăuga și lipsa unei evaluări corespunzătoare a riscurilor de neconformare, mai puțin sau deloc luată în considerare.
Riscuri de confidențialitate
Regulamentul GDPR nu trebuie privit ca un obstacol, ci ca o infrastructură de încredere care permite parteneriate de date mai sigure (cu traderi, distribuitori, platforme digitale) și reduce costurile viitoare cu potențiale breșe de securitate, sancțiuni, amezi și litigii ulterioare.
Sectorul energetic, prin natura sa – cu rețele distribuite, contorizare inteligentă și numeroase interfețe digitale – este expus în mod particular riscurilor de confidențialitate. Situația este valabilă și pentru alte sectoare economice care, prin definiție, lucrează cu baze mari de date.
Pași de urmat
Cristiana Deca spune că pentru a realiza o conformare minimală, companiile trebuie să urmeze câțiva pași.
În primul rând, este vorba de integrare în guvernanță – include DPO-ul (Ofițerul de Protecție a Datelor) în board sau în comitetul de risc, tratează conformitatea GDPR ca parte a sustenabilității corporative și definește indicatori de performanță (KPI GDPR) clari, precum timp de reacție la incident, nivel conformitate training, număr de accesări neautorizate prevenite etc.
O altă etapă constituie automatizarea și datele etice, care s-ar traduce prin automatizarea fluxurile de consimțământ și drepturi (drept de acces, ștergere etc.) – acestea devin parte din experiența clientului, nu un disconfort birocratic. Obligatoriu de implementat privacy by design în proiectele de digitalizare energetică (smart grid, IoT, aplicații client), atrage atenția expertul Cristiana Deca.
În același timp, educația și cultura internă presupune o serie de măsuri, care pot fi aplicate în dinamică, prin care, practic, formarea GDPR devine un program de conștientizare continuă, cu exemple din realitatea companiei, nu doar teoretic, prin articole de lege. Sigur că și performanța personalului din front-office poate fi legată de respectarea procedurilor de protecție a datelor.
„Sectorul energetic are un profil unic de risc: date voluminoase, sisteme SCADA/IoT, infrastructuri critice, rețele distribuite și o amprentă IT complexă. Articolul 32 din Regulamentul GDPR cere “măsuri tehnice și organizatorice adecvate riscului”. În energie, “adecvate” înseamnă proporționale cu impactul potențial asupra continuității serviciului și asupra datelor clienților”, mai declară Cristiana Deca.
Măsuri tehnice recomandate
Lista măsurilor tehnice recomandate vizează securitatea la nivel de infrastructură, care se referă, în principal, la segmentarea rețelelor IT/OT (SCADA vs. corporate) – izolarea fizică și logică între sistemele de control industrial și rețeaua de birouri. De asemenea, trebuie avută în vedere crearea Zonelor DMZ pentru schimbul de date cu furnizori și operatori de rețea, precum și actualizări de securitate automatizate pentru sistemele utilizate, precizează Cristiana Deca.
Companiile trebuie să aibă în vedere controlul accesului prin autentificare multifactor (MFA) pentru toate interfețele de administrare și aplicațiile de facturare, aplicarea principiul „least privilege” implementat granular (separarea accesului la date de consum, la profilul financiar și la sistemele de comandă), plus revizuiri trimestriale ale drepturilor de acces.
Un alt aspect important constituie protecția datelor clienților. Aceasta presupune pseudonimizarea și criptarea datelor din contorizare inteligentă (smart metering), mascarea datelor (masking) pentru zonele de testare și pentru subcontractanți și transferul securizat între partenerii de distribuție și furnizori prin canale certificate (TLS 1.3, VPN IPSec).
Nu în ultimul rând, Cristiana Deca vorbește de reziliență și reacție la incidente, ceea ce s-ar traduce prin existența unor Planuri de continuitate și recuperare (BCP/DRP) testate periodic, inclusiv simulări de tip „data breach drill”. Înființarea unor Centre de operațiuni de securitate (SOC) cu monitorizare 24/7, integrat cu mecanisme GDPR de detecție și notificare și Automatizarea notificării incidentelor – sistemul să declanșeze alertă internă în mai puțin de o oră și notificare DPO/autoritate în mai puțin de 72 ore.
