Autor: Cristiana Deca, expert în GDPR și cybersecurity
Octombrie acest an a fost una dintre cele mai intense și interesante pentru Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), cel puțin din perspectiva amenzilor aplicate. Dintr-o listă mai lungă, din care au rezultat aproape 43.000 euro colectați în urma amenzilor aplicate, cele mai multe companii sancționate provin din sectorul energetic. Controalele Autorității au vizat în mod special acest domeniu al economiei, având semnale despre posibila neconformare care, în bună măsură s-au dovedit a fi reale. Astfel, se explică de ce peste 70% din valoarea totală a amenzilor a provenit din această zonă de activitate. Un nivel-record al cuantumului amenzii l-a avut E.On Energie, cu peste 25.000 euro cuantum al amenzii aplicate pentru neconformitate GDPR. De asemenea, apare și Hidroelectrica, cu o sumă de cinci ori mai mică, e drept, dar semnalul este că sunt aspecte de revizuit în ambele cazuri pe partea conformării cu regulile GDPR în vigoare.
Din comunicarea oficială a Autorității reiese un aspect comun de neconformitate, ce pare, de altfel, a fi specific organizațiilor mari, care lucrează și prelucrează volume ridicate de date și au sisteme IT complexe. Vorbim în primul rând despre lipsuri în procedurile de filtrare și utilizare a bazelor de clienți, fie și numai dacă luăm în consderare faptul că s-a constatat transmiterea unor date personale ale clienților către alte persoane. Chiar dacă acest lucru s-a întâmplat fără o intenție oneroasă ca atare, a fost evident că procesele de validare și filtrare nu sunt încă bine puse la punct, iar operatorii nu s-au asigurat, prin suficiente controale interne, că vor preveni accesul neautorizat la datele clienților sau transmiterea eronată de informații personale către terți. În al doilea rând, dar nu mai puțin important, s-au constatat întârzieri nejustificate ale notificărilor privind incidentele de Securitate, unele dintre acestea nefiind raportate în termenul de 72 de ore, încălcând art. 33 din Regulamentul GPDR. De unde rezultă o altă problemă de procedură internă și instruire a personalului, mai ales în companiile mari cu procese decizionale fragmentate. În fine, putem adăuta și lipsa unei evaluări corespunzătoare a riscurilor de neconformare, iată, mai puțin sau deloc luată în considerare.
Cum ar trebui abordat GDPR-ul în companiile din energie, și am luat ca exemplu acest sector pentru că poate fi reprezentativ pentru alte organizații care lucrează și prelucrează volume mari de date, despre clienți, persoane fizice și juridice deopotrivă,
Evenimente - Club Antreprenor și Ziarul Pozitiv:
Regulamentul GDPR, tratat inteligent, ca un instrument de protecție și de respectare a dreptului celor cărora li se utilizează datele, nu trebuie privit ca un obstacol, ci ca o infrastructură de încredere care permite parteneriate de date mai sigure (cu traderi, distribuitori, platforme digitale), care crește valoarea percepută de clienți (prin transparență și responsabilitate) și reduce costurile viitoare cu potențiale breșe de securitate, sancțiuni, amezi și litigii ulterioare. Necesitatea unei analize proactive de risc asupra prelucrărilor de date și a fluxurilor între sistemele informatice se impune de la sine, dar Autoritatea a reiterat acest aspect de fiecare dată. Sectorul energetic, prin natura sa – cu rețele distribuite, contorizare inteligentă și numeroase interfețe digitale – este expus în mod particular riscurilor de confidențialitate. Și asemenea acestuia, și alte sectoare economice care, prin definiție, lucrează cu baze mari de date.
Conformarea minimală, ar putea fi realizată, în opinia mea, urmând acești pași:
Integrare în guvernanță – adică, include DPO-ul în board sau în comitetul de risc, tratează conformitatea GDPR ca parte a sustenabilității corporative (ESG) – S din ESG include protecția datelor și încrederea digital – și definește indicatori de performanță (KPI GDPR) clari, precum timp de reacție la incident, nivel conformitate training, număr de accesări neautorizate prevenite etc.
Automatizare și date etice, care s-ar traduce prin automatizarea fluxurile de consimțământ și drepturi (drept de acces, ștergere etc.) – acestea devin parte din experiența clientului, nu un disconfort birocratic. Obligatoriu de implementat privacy by design în proiectele de digitalizare energetică (smart grid, IoT, aplicații client). De asemenea, se impune crearea unui set intern de principia („Data Ethics Charter”), care depășește cerința legală, definind modul în care compania folosește și protejează datele
Educație și cultură internă – aici vorbim despre o serie de măsuri, care pot fi aplicate în dinamică, prin care, practic, formarea GDPR devine un program de conștientizare continuă, cu exemple din realitatea companiei, nu doar teoretic, prin articole de lege. Sigur că și performanța personalului din front-office poate fi legată de respectarea procedurilor de protecție a datelor.
Alte măsuri interne, prin care angajații să fie angrenați în respectarea regulilor pot merge de la a avea „ambasadori GDPR” în fiecare divizie operațională (energie, comercial, IT, HR), până la comunicarea constantă a conformării ca valoare reputațională și utilizarea conformării ca instrument de marketing strategic. Apoi, publicarea rapoarte de transparență privind incidentele gestionate și îmbunătățirile aduse devine, în acest context, esențială, astfel încât, cu tot acest pachet de măsuri bine aplicate intern, compania se poate poziția drept lider de încredere digitală în energie – real diferențiator în contextul liberalizării pieței.
Nota bene, am spune că sectorul energetic are un profil unic de risc: date voluminoase, sisteme SCADA/IoT, infrastructuri critice, rețele distribuite și o amprentă IT complexă. Articolul 32 din Regulamentul GDPR cere “măsuri tehnice și organizatorice adecvate riscului”. În energie, “adecvate” înseamnă proporționale cu impactul potențial asupra continuității serviciului și asupra datelor clienților.
Măsurile tehnice recomandate ar fi:
- a) Securitate la nivel de infrastructură, care se referă, în principal, la segmentarea rețelelor IT/OT (SCADA vs. corporate) – izolarea fizică și logică între sistemele de control industrial și rețeaua de birouri. Crearea Zonelor DMZ pentru schimbul de date cu furnizori și operatori de rețea, precum și Actualizări de securitate automatizate pentru sistemele utilizate.
- b) Controlul accesului prin autentificare multifactor (MFA) pentru toate interfețele de administrare și aplicațiile de facturare, aplicarea principiul „least privilege” implementat granular (separarea accesului la date de consum, la profilul financiar și la sistemele de comandă), plus revizuiri trimestriale ale drepturilor de acces.
- c) Protecția datelor clienților ar cuprinde trei aspecte importante: Pseudonimizarea și criptarea datelor din contorizare inteligentă (smart metering), Mascarea datelor (masking) pentru zonele de testare și pentru subcontractanți și Transferul securizat între partenerii de distribuție și furnizori prin canale certificate (TLS 1.3, VPN IPSec).
- d) Reziliență și reacție la incidente, ceea ce s-ar traduce prin existența unor Planuri de continuitate și recuperare (BCP/DRP) testate periodic, inclusiv simulări de tip „data breach drill”. Înființarea unor Centre de operațiuni de securitate (SOC) cu monitorizare 24/7, integrat cu mecanisme GDPR de detecție și notificare și Automatizarea notificării incidentelor – sistemul să declanșeze alertă internă în mai puțin de o oră și notificare DPO/autoritate în mai puțin de 72 ore.
În loc de concluzie
Observăm o direcție strategică a ANSPDCP: accentul se mută din ce în ce mai mult spre operatorii de infrastructuri esențiale, unde breșele de securitate pot genera consecințe extinse asupra consumatorilor și stabilității serviciilor. Faptul că industria energetică domină topul amenzilor din octombrie nu este întâmplător. Este un semnal că autoritatea urmărește cu prioritate domeniile cu impact sistemic și volum mare de prelucrări. Pentru companiile din energie, investiția în controale de securitate, audituri periodice și formarea personalului devine esențială pentru evitarea riscurilor reputaționale și financiare.
Raportul GDPR Enforcement Tracker 2025 notează, la capitolul „Transport & Energie”, faptul că numărul de amenzi este relativ mic, dar valoarea medie este ridicată, de unde rezultă că, atunci când apar, cazurile de neconformare sunt serioase și duc la amenzi mari.
