De ce foști clienți ai Orange au datele compromise după atacul cibernetic din 23 februarie?

Orange România confirmă, printr-un mesaj transmis recent, că a suferit un atac cibernetic în data de 23 februarie 2025 iar datele clienților au fost expuse, TOATE DATELE. Ceea ce este și mai grav este că au fost expuse și datele foștilor clienți ceea ce arată că Orange păstrează date personale nejustificat chiar și după încheierea relației contractuale. 

Dincolo de frazele standard și scuzele de circumstanță, comunicarea oficială a Orange ridică semne serioase de întrebare. În primul rând, este inexplicabil motivul pentru care compania deține în continuare date ale foștilor client care nu mai au nicio relație contractuală cu operatorul de ani de zile. 

Conform prevederilor Regulamentului General privind Protecția Datelor (GDPR), operatorii de date sunt obligați să respecte principiul minimizării și să șteargă datele personale atunci când scopul pentru care au fost colectate a fost atins. În acest caz, Orange nu are niciun motiv legal să păstreze aceste informații timp de ani de zile.

În ciuda sesizărilor transmise pentru a clarifica situația și a solicita ștergerea datelor, compania nu a oferit nici măcar un număr de înregistrare. O simplă dovadă că demersurile efectuate sunt tratate cu superficialitate, fără transparență și fără un minimum respect procedural.

Un incident previzibil și o responsabilitate asumată doar în teorie

Orange transmite în mesajul trimsi clienților afectați că „ia foarte în serios protecția datelor” și că „se angajează să fie transparent” în astfel de situații. Însă, faptul că un fost client descoperă printr-o notificare rece, standardizată, că informațiile sale au fost compromise, arată exact contrariul. În mesajul trimis celor afectați de atacul cibernetic se explică în detaliu ce fel de date personale au fost furate și ce pot face infractorii cibernetici cu ele. Cei afectați se pot trezi că le-a fost furată identitatea și se pot trezi fără bani în cont sau cu credite care nu sunt ale lor.

Această situație reflectă un comportament sistematic, prin care Orange alege să păstreze și să gestioneze datele personale fără o justificare legală sau morală, cu riscul de a expune acele date unor incidente de securitate. Lipsa unei reacții prompte la solicitările anterioare, refuzul implicit de a confirma măcar primirea cererilor și inexistența unui proces transparent de gestionare a datelor personale denotă lipsa unui sistem eficient de protecție și responsabilizare.

Ce spune GDPR și unde a greșit Orange?

Regulamentul (UE) 2016/679 prevede clar că datele personale trebuie păstrate doar atât timp cât este necesar pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate. În lipsa unui contract activ și fără un consimțământ explicit valabil, păstrarea datelor este ilegală. Mai mult, operatorul este obligat să demonstreze conformitatea cu GDPR, ceea ce presupune un răspuns clar, documentat și verificabil la orice solicitare transmisă de persoana vizată.

Faptul că Orange nu a răspuns și nu a emis niciun număr de înregistrare pentru sesizări reprezintă o încălcare a dreptului la transparență și informare, garantat de articolul 12 din GDPR.

Consecințele expunerii datelor și obligațiile operatorului

În notificarea transmisă, Orange avertizează utilizatorii că datele compromise ar putea fi utilizate în tentative de fraudă, inginerie socială sau furt de identitate. Însă compania pare să transfere întreaga responsabilitate asupra utilizatorilor, recomandându-le să fie „vigilenți”, să-și verifice extrasele de cont și să-și schimbe parolele. Și dacă ne verificăm conturile și constatăm că nu mai avem niciun leu, ce? La ce ne servește ”vigilența”?

Această abordare, deși aparent formal corectă, reflectă lipsa unei asumări reale. Orange avea obligația de a implementa măsuri tehnice și organizatorice adecvate pentru a proteja datele, iar faptul că incidentul s-a produs indică existența unor deficiențe sistemice. Informarea autorităților și luarea de măsuri ulterioare nu compensează prejudiciile generate de păstrarea ilegală și gestionarea defectuoasă a datelor.

Un caz care trebuie anchetat de autorități

Cazul de față ar trebui să fie analizat în detaliu de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP). Este esențial să se verifice de ce Orange a păstrat datele unor foști clienți în lipsa unui temei legal și de ce nu a răspuns solicitărilor de ștergere.

Pentru utilizatori, acest incident reprezintă un semnal de alarmă: este important să verificați periodic ce companii dețin datele dumneavoastră și să cereți ștergerea lor dacă nu mai există un motiv justificat pentru prelucrare. În caz contrar, riscați să descoperiți, prea târziu, că datele personale au fost compromise, fără ca măcar să fi știut că mai existau în evidențele unei companii.

  Fiți la curent cu ultimele noutăți. Urmăriți DCBusiness și pe Google News

Ţi s-a părut interesant acest articol?

Urmărește pagina de Facebook DCBusiness pentru a fi la curent cu cele mai importante ştiri despre evoluţia economiei, modificările fiscale, deciziile privind salariile şi pensiile, precum şi alte analize şi informaţii atât de pe plan intern cât şi extern.