ANSPDCP a sancționat Renault Commercial Roumanie SRL cu 637.262 lei (125.000 EUR) după ce un atac cibernetic asupra unei aplicații gestionate de un împuternicit extern a dus la publicarea neautorizată a datelor personale ale unui număr foarte mare de persoane — inclusiv CNP, date din acte de identitate, adrese, telefoane și serii de șasiu. Autoritatea a constatat încălcarea art. 32 (securitate inadecvată) și art. 28 (responsabilitate față de împuternicit) din GDPR. Investigația a fost declanșată chiar de notificarea voluntară a breșei de către Renault, conform art. 33 GDPR — factor atenuant în calculul sancțiunii.

GDPR România: Renault Amendată cu 125.000 EUR de ANSPDCP după Atac Cibernetic | 2026

CertificatConstatatorOnline

Registrul Comerțului · ANAF · Legislație pentru firme

GDPR · Sancțiune ANSPDCP · Martie 2026 Securitate date 26 Martie 2026 Sursă: Comunicat ANSPDCP · 25 martie 2026

GDPR România: Renault Amendată cu 125.000 EUR de ANSPDCP după un Atac Cibernetic care a Expus Date Personale

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a sancționat Renault Commercial Roumanie SRL cu 637.262 lei — echivalentul a 125.000 EUR — după ce un atac cibernetic asupra unei aplicații gestionate de un împuternicit a dus la publicarea neautorizată a datelor personale ale unui număr foarte mare de persoane.

⏱ Timp de lectură: aproximativ 5 minute Decizie ANSPDCP · 25 martie 2026

Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat în luna martie 2026 o investigație la Renault Commercial Roumanie SRL și a constatat încălcarea Regulamentului (UE) 2016/679 (GDPR). Sancțiunea aplicată este o amendă de 637.262,50 lei, echivalentul a 125.000 EUR — una dintre cele mai mari amenzi GDPR aplicate de autoritatea română în ultimii ani.

125.000 €

637.262,50 lei

Sancțiune ANSPDCP · Renault Commercial Roumanie SRL

Amendă aplicată pentru încălcarea art. 32 alin. (1) lit. b), d) și alin. (2) coroborat cu art. 28 alin. (1) din Regulamentul (UE) 2016/679 (GDPR).

Investigația a fost declanșată ca urmare a notificării voluntare a breșei de securitate de către Renault, conform art. 33 GDPR.

Ce s-a întâmplat: atacul cibernetic și datele expuse

Investigația ANSPDCP a stabilit că un atac cibernetic asupra unei aplicații a Renault Commercial Roumanie, administrată printr-un împuternicit (un furnizor extern de servicii IT), a permis accesarea neautorizată a datelor cu caracter personal ale unui număr foarte mare de persoane. Datele furate au fost ulterior publicate pe o platformă online, ceea ce a transformat breșa de securitate internă într-o expunere publică masivă.

„În cadrul investigației s-a constatat că, în urma unui atac cibernetic asupra unei aplicații a operatorului administrată prin împuternicit, au fost accesate și divulgate în mod neautorizat prin publicarea pe o platformă, o serie de categorii de date cu caracter personal aparținând unui număr foarte mare de persoane vizate." — Comunicat oficial ANSPDCP · 25 martie 2026

Potrivit surselor care au analizat datele compromise, printre categoriile de informații expuse s-au aflat:

Nume și prenume

Numere de telefon

Adrese fizice

Adrese e-mail

Coduri numerice personale (CNP)

Date din acte de identitate

Informații profesionale

Serii de șasiu vehicule

Date tehnice vehicule

⚠️ Gravitatea: CNP și date din acte de identitate — date sensibile cu risc ridicat

Expunerea codurilor numerice personale (CNP) și a datelor din actele de identitate este considerată deosebit de gravă în evaluarea GDPR. Aceste categorii de date pot fi folosite pentru furt de identitate, fraudă financiară și alte activități infracționale. Combinarea lor cu datele de contact (telefon, adresă, e-mail) crește semnificativ riscul de prejudiciu pentru persoanele afectate.

Ce articole din GDPR au fost încălcate

ANSPDCP a reținut încălcarea a trei prevederi distincte din Regulamentul european privind protecția datelor, care vizează în esență obligația de a implementa măsuri tehnice și organizatorice adecvate de securitate și responsabilitatea operatorului față de împuterniciții săi:

Art. 32 (1) b)

Capacitatea de a asigura confidențialitatea și integritatea sistemelor Operatorul are obligația de a implementa măsuri tehnice și organizatorice care să asigure, în mod continuu, confidențialitatea, integritatea, disponibilitatea și rezistența sistemelor și serviciilor de prelucrare. Atacul cibernetic a demonstrat că aceste măsuri nu erau suficiente.

Art. 32 (1) d)

Testarea și evaluarea periodică a eficacității măsurilor de securitate Operatorii sunt obligați să testeze, să evalueze și să aprecieze în mod regulat eficacitatea măsurilor tehnice și organizatorice adoptate pentru securitatea prelucrării. Absența sau insuficiența acestor evaluări a contribuit la vulnerabilitatea exploatată.

Art. 32 (2)

Evaluarea riscurilor proporțională cu natura datelor prelucrate La evaluarea nivelului adecvat de securitate, operatorul trebuie să țină seama în special de riscurile prezentate de prelucrare, mai ales în ceea ce privește distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat. Riscul unui atac cibernetic era previzibil și insuficient adresat.

Art. 28 (1)

Obligația operatorului față de împuternicitul care administra aplicația Atunci când un operator apelează la un împuternicit (furnizor extern), are obligația să lucreze exclusiv cu împuterniciți care oferă garanții suficiente pentru implementarea de măsuri tehnice și organizatorice adecvate. Renault este responsabil și pentru securitatea aplicației gestionate de terțul împuternicit.

Notificarea voluntară: un factor care a atenuat sancțiunea

Un element important al acestui caz este că investigația ANSPDCP a fost declanșată chiar de notificarea voluntară transmisă de Renault Commercial Roumanie, în conformitate cu art. 33 din GDPR. Această prevedere obligă operatorii să notifice autoritatea de supraveghere cu privire la breșele de securitate în termen de 72 de ore de la identificarea acestora.

Obligație legală — art. 33 GDPR

72 ore

Termen maxim legal pentru notificarea ANSPDCP în cazul unei breșe de securitate care prezintă risc pentru drepturile persoanelor vizate.

Amendă maximă posibilă GDPR

20 mil. € sau 4% CA

Amenda de 125.000 EUR este semnificativ sub maximul legal. Notificarea voluntară și cooperarea cu ANSPDCP sunt factori atenuanți în calculul sancțiunii.

✅ Lecție importantă: notificarea breșei nu elimină, dar atenuează amenda

Faptul că Renault a notificat voluntar ANSPDCP în baza art. 33 GDPR a declanșat investigația, dar a reprezentat și un factor atenuant. Nenotificarea ar fi putut atrage o sancțiune mult mai severă. Această abordare de transparență este confirmată de practica ANSPDCP și a altor autorități europene de protecție a datelor.

Ce lecții trag firmele din România din acest caz

Cazul Renault este relevant nu doar pentru companiile mari, ci pentru orice firmă din România care prelucrează date personale — inclusiv IMM-urile care lucrează cu furnizori externi de software sau servicii IT.

Răspunderea față de împuterniciți este a operatorului

Dacă aplicația atacată este gestionată de un furnizor extern (împuternicit), operatorul — adică firma dumneavoastră — rămâne responsabil. Art. 28 GDPR obligă să verificați că împuterniciții dumneavoastră oferă garanții suficiente de securitate și să formalizați relația printr-un contract de prelucrare a datelor (DPA).

Testarea periodică a securității nu este opțională

Art. 32 (1) d) impune testarea regulată a măsurilor de securitate — nu doar implementarea lor inițială. Penetration testing, audituri de securitate și evaluări periodice ale vulnerabilităților sunt obligații, nu opțiuni.

Notificați breșele în 72 de ore — întotdeauna

Respectarea termenului de notificare de 72 de ore prevăzut de art. 33 GDPR este atât o obligație legală, cât și un factor care influențează favorabil nivelul sancțiunii aplicate ulterior de autoritate.

Evaluarea riscului trebuie să fie proporțională cu datele prelucrate

Firmele care prelucrează CNP, date din acte de identitate sau date financiare trebuie să implementeze măsuri de securitate mai riguroase — criptare, autentificare în doi factori, segmentarea accesului — tocmai pentru că riscul de prejudiciu pentru persoanele vizate este mai mare.

Sancțiunile ANSPDCP pot fi contestate în instanță

ANSPDCP reamintește că sancțiunile aplicate pot fi contestate în instanță. Firmele care consideră că decizia autorității este netemeiată sau disproporționată au această cale de atac disponibilă.

Întrebări frecvente

De ce a fost amendată Renault dacă a notificat singură breșa?

Notificarea breșei conform art. 33 GDPR este o obligație legală, nu o alegere. Ea a declanșat investigația ANSPDCP, care a constatat că, deși breșa a fost notificată, Renault nu implementase măsuri tehnice și organizatorice adecvate de securitate — ceea ce constituie o încălcare separată a art. 32 GDPR. Notificarea a reprezentat totuși un factor atenuant, amenda de 125.000 EUR fiind semnificativ sub maximul legal de 20 milioane EUR sau 4% din cifra de afaceri globală.

Ce înseamnă că aplicația era administrată „printr-un împuternicit"?

Împuternicitul (procesatorul de date) este un furnizor extern — de obicei o firmă IT — care prelucrează date personale în numele operatorului (Renault). Conform art. 28 GDPR, operatorul rămâne responsabil și are obligația să se asigure că împuternicitul implementează măsuri de securitate adecvate, formalizate printr-un contract (Data Processing Agreement — DPA).

Firmele mici din România pot fi amendate la fel pentru breșe GDPR?

Da. GDPR se aplică oricărui operator de date, indiferent de dimensiune. Amenzile sunt calculate proporțional și iau în calcul factorii prevăzuți la art. 83 GDPR: natura, gravitatea și durata încălcării, numărul persoanelor afectate, cooperarea cu autoritatea și măsurile luate pentru remedierea situației. IMM-urile au obligații identice, cu amenzi proporționale cu cifra de afaceri și gravitatea încălcării.

Verificați situația juridică a firmei dumneavoastră

Un certificat constatator actualizat confirmă datele înregistrate la Registrul Comerțului — necesar în relațiile cu partenerii, băncile și autoritățile.

Obțineți certificat constatator →