Activitatea ANSPDCP în 2025: O radiografie a conformității și sancțiunilor în protecția datelor

În contextul unei digitalizări accelerate și al unei atenții sporite acordate drepturilor fundamentale ale persoanelor vizate, sinteza raportului de activitate al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru anul 2025, prezentată (28 ianuarie 2026) în broșura dedicată Zilei Europene a Protecției Datelor, oferă o perspectivă esențială asupra stării actuale a protecției datelor în România. Pentru firmele de consultanță și ofițerii cu protecția datelor (DPO), aceste cifre și tendințe reprezintă un indicator critic al zonelor de risc și al standardelor de conformitate impuse de autoritate.

1\. Cifrele-cheie ale activității de monitorizare și control

Anul 2025 a fost marcat de un volum semnificativ de activitate, reflectând o creștere a gradului de conștientizare a publicului, dar și o monitorizare riguroasă din partea Autorității:

• total sesizări și incidente: ANSPDCP a înregistrat un număr impresionant de 12.297 de plângeri, sesizări și notificări privind incidente de securitate;
• investigații finalizate: pe parcursul anului au fost finalizate 488 de investigații;
• sancțiuni aplicate: Autoritatea a aplicat un total de 105 amenzi, în valoare totală de 2.565.020 lei (aproximativ 511.400 euro), structurate astfel:
• 96 de amenzi au fost aplicate în baza RGPD (în cuantum de 2.378.020 lei);
• 9 amenzi au fost aplicate în baza Legii nr. 506/2004 (în cuantum de 187.000 lei);
• alte măsuri corective: pe lângă amenzile pecuniare, au fost dispuse 182 de măsuri corective, 145 de avertismente, 3 avertizări și 5 decizii.

2\. Incidentele de securitate și notificările privind încălcarea securității datelor

Gestionarea breșelor de securitate rămâne o provocare majoră pentru operatorii de date. În 2025, au fost transmise 205 notificări de încălcare a securității datelor, dintre care 202 vizau Regulamentul General privind Protecția Datelor (RGPD).

Principalele cauze ale incidentelor raportate au inclus:

• dezvăluiri neautorizate: transmiterea eronată a datelor cu caracter personal către destinatari greșiți;
• atacuri informatice: incidente de tip ransomware sau infectarea sistemelor cu fișiere malițioase, afectând confidențialitatea și disponibilitatea datelor;
• securitate IT deficitară: nivel insuficient de securizare la nivelul site-urilor și aplicațiilor informatice;
• privacy by design/default: lipsa testării adecvate a aplicațiilor înainte de lansarea în producție;
• sistemul bancar și supravegherea video: probleme specifice în prelucrarea datelor clienților bancari și accesul neautorizat la sistemele CCTV.

3\. Focusul sesizărilor și plângerilor

Pe lângă notificările de tip "breach", Autoritatea a analizat 814 sesizări și 11.278 de plângeri. Cele mai frecvente aspecte reclamate de cetățeni sau identificate în sesizări au fost:

• tehnologii biometrice: utilizarea amprentelor digitale pentru controlul accesului angajaților și intenția de a implementa sisteme de recunoaștere facială fără bază legală solidă;
• monitorizarea la locul de muncă: supravegherea video a angajaților și utilizarea camerelor de tip body-cam în absența unei obligații legale;
• e-mail și documente: transmiterea copiilor actelor de identitate prin e-mail fără măsuri de securitate adecvate;
• marketing nesolicitat: transmiterea de mesaje comerciale prin e-mail sau telefon fără consimțământ.

4\. Măsuri corective impuse: Un ghid de bune practici

Investigațiile ANSPDCP nu s-au limitat la aplicarea de amenzi, ci au impus operatorilor seturi clare de măsuri pentru remedierea deficiențelor. Acestea reprezintă repere esențiale pentru orice entitate care dorește să asigure conformitatea:

• securitatea accesului: implementarea autentificării multifactoriale (MFA) pentru toate conexiunile de la distanță și politici stricte de complexitate a parolelor;
• gestiunea accesului: revocarea imediată a drepturilor de acces pentru foștii angajați;
• monitorizarea infrastructurii: implementarea sistemelor de jurnalizare (logs) pentru platformele de e-commerce, cu păstrarea acestora pentru cel puțin 120 de zile;
• pseudonimizare: utilizarea mecanismelor de pseudonimizare pentru datele din sesizările cetățenilor încărcate pe platforme online;
• instruirea personalului: efectuarea de audituri periodice și instruirea angajaților cu privire la riscurile prelucrării datelor.

Concluzie

Raportul pentru anul 2025 subliniază faptul că ANSPDCP pune un accent deosebit pe securitatea tehnică, legalitatea prelucrării prin tehnologii noi (biometrie, body-cams) și respectarea drepturilor persoanelor vizate. Pentru companii, conformitatea nu mai este doar un exercițiu formal, ci necesită o abordare proactivă, bazată pe evaluarea riscurilor și implementarea unor măsuri tehnice și organizatorice robuste pentru a evita atât sancțiunile financiare, cât și prejudiciile de imagine.