GDPR nu este doar “o formalitate” – este o realitate cu riscuri concrete pentru afacerile din România, inclusiv IMM-uri și antreprenori. Autoritatea română de protecție a datelor (ANSPDCP) a intensificat controalele și sancțiunile, dovedind că nerespectarea regulilor de protecția datelor poate costa scump orice companie.
Există o tendință de sancționare consistentă, chiar dacă unele amenzi individuale pot părea mici. Pentru un IMM, însă, chiar și o amendă de câteva mii de euro reprezintă o lovitură semnificativă, pe lângă prejudiciul de reputație și efortul de remediere.
Exemple de amenzi GDPR aplicate firmelor din România
Pentru a înțelege mai bine riscurile, iată câteva exemple recente de încălcări GDPR sancționate de ANSPDCP, cu detalii despre cine a fost amendat, cât a costat și pentru ce fapte:
- Lipsa consimțământului pentru marketing și nerespectarea drepturilor: Operatorul platformei Lensa.ro (Tensa Art Design S.A.) a fost investigat după plângerea unui client că a primit SMS-uri de marketing fără consimțământ. ANSPDCP a constatat că firma a trimis comunicări comerciale fără baza legală (fără consimțământ explicit) și, în plus, nu a răspuns corespunzător cererilor clientului de acces și ștergere a datelor sale. Rezultatul: două amenzi, de 10.000 € pentru încălcarea legalității prelucrării (art. 6 GDPR) și 5.000 € pentru neglijarea obligațiilor de răspuns la drepturile persoanei vizate (art. 12 raportat la art. 15 și 17 GDPR). Această sancțiune de ~15.000 € transmisă unei companii cunoscute pe piața online locală subliniază că nerespectarea cererilor clienților și spam-ul neautorizat pot atrage amenzi consistente.
- Mesaje comerciale nesolicitate și ignorarea solicitărilor de ștergere: O firmă mai mică, Best Elan Online SRL, a fost amendată cu ~1.000 € (4.977 lei) pentru trimiterea de emailuri/SMS-uri nesolicitate către o persoană, chiar și după ce aceasta ceruse ștergerea datelor sale din baza de date. Mai grav, firma nu a oferit niciun răspuns la cererea de ștergere și nici nu a cooperat inițial cu investigația ANSPDCP, încălcând obligația de a furniza informații autorității. Această situație arată că și un IMM mic poate fi sancționat dacă ignoră drepturile persoanelor vizate, iar amenzile pot veni la pachet cu obligația de a remedia urgent problemele (în acest caz, firma a fost somată să furnizeze autorității toate informațiile solicitate).
- Breșă de securitate și măsuri de protecție inadecvate: Chiar și companiile startup de tehnologie pot fi afectate. UiPath, un “unicorn” românesc în domeniul IT, a primit în 2023 o amendă de 70.000 € pentru o încălcare majoră a securității datelor. O investigație a descoperit că datele a ~600.000 de utilizatori ai platformei UiPath Academy au fost expuse public online ~10 zile, din cauza neimplementării măsurilor tehnice și organizatorice adecvate – mai exact, lipsa protecției implicite a datelor a permis accesul neautorizat la informații personale (nume, email, companie, țară etc.) ale cursanților Acest caz notabil arată că breșele de securitate cauzate de configurații greșite sau lipsa protecției “by default” pot aduce sancțiuni severe, mai ales când afectează un număr mare de persoane.
- Alte situații relevante: ANSPDCP a sancționat diverse domenii – de la bănci și operatori de telefonie, la instituții publice sau site-uri de anunțuri. De pildă, o instituție publică (Primăria Sector 1 București) a primit în 2024 o amendă de 159.000 lei pentru neîndeplinirea unei măsuri corective dispuse anterior, dovedind că autoritatea nu ezită să penalizeze și refuzul de conformare după un avertisment. De asemenea, firmele care încalcă regulile privind modulele cookie (Legea 506/2004) au fost amendate – în 2024 s-au dat cel puțin două amenzi de câte 10.000 lei pentru lipsa consimțământului la cookie-uri. Chiar și un operator de platformă de anunțuri online (Publi24) a fost implicat într-o decizie importantă a Curții de Justiție a UE, care a stabilit că astfel de platforme sunt operatori de date pentru informațiile personale din anunțuri și trebuie să le verifice (inclusiv obținerea consimțământului explicit pentru date sensibile publicate). Aceasta extinde responsabilitățile firmelor online și poate prevesti controale mai stricte în acest sector.
Reputație și încredere afectate: Un incident de încălcare a datelor sau o sancțiune publică pot diminua încrederea clienților și partenerilor. În comunicările sale oficiale, ANSPDCP publică pe site numele operatorilor sancționați și faptele constatate, ceea ce înseamnă și publicitate negativă.
În concluzie, GDPR nu mai este de mult un subiect opțional sau “doar pentru companiile mari”. În 2025, în România, s-a demonstrat că orice companie, indiferent de mărime, poate fi inspectată și sancționată dacă nu respectă protecția datelor personale. Partea pozitivă este că respectarea GDPR aduce și beneficii afacerii tale: date mai organizate, procese clare, încrederea clienților și evitarea incidentelor neplăcute.
Conformitatea cu GDPR trebuie privită ca o investiție în sustenabilitatea afacerii. Fie că implementezi intern un plan riguros, fie că apelezi la servicii GDPR oferite de specialiști, important este să acționezi proactiv. Astfel, vei transforma o potențială amenințare într-un atu – reputația de companie responsabilă și sigură, care își protejează clienții și partenerii. Așa cum sublinia o analiză recentă, companiile ar trebui să-și actualizeze constant procedurile, să aplice măsuri tehnice și să își instruiască personalul pentru a evita incidente și sancțiuni
