Investigația ANSPDCP asupra AUR: Sancțiuni de peste 126.000 lei
Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) a finalizat o investigație amplă referitoare la gestionarea datelor personale de către Partidul Alianța pentru Unirea Românilor (AUR). Această investigație a condus la aplicarea unor sancțiuni contravenționale în valoare totală de 126.467,50 lei, echivalentul a 25.000 de euro.
Investigația, efectuată în luna iunie 2025, a fost declanșată de două incidente majore legate de securitatea și conformitatea prelucrării datelor personale, care au fost identificate atât în urma unor notificări primite de la AUR, conform art. 33 din Regulamentul (UE) 2016/679 (GDPR), cât și din sesizările primite de Autoritate.
I. Scurgere masivă de date prin aplicația aur.mobi
Primul incident a avut loc în contextul aplicației mobile aur.mobi, dezvoltată și administrată de AUR, care a avut vulnerabilități exploatate de către terți, permițând accesul la codul sursă. Investigația a relevat faptul că, din cauza unei configurări necorespunzătoare, orice persoană putea obține informații sensibile despre utilizatorii aplicației, inclusiv susținători sau membri ai partidului.
Datele personale expuse includ:
- Nume, prenume, CNP, sex, cetățenie, religie
- Date de contact: telefon, e-mail, adresă
- Informații profesionale și educaționale
- Experiență politică și administrativă
- Limbi vorbite, ocupație, domeniul de activitate
Conform ANSPDCP, AUR nu a implementat măsuri tehnice și organizatorice adecvate pentru a asigura securitatea și confidențialitatea datelor prelucrate, ceea ce a dus la încălcarea mai multor prevederi din GDPR. Pentru acest incident, AUR a fost sancționat cu o amendă de 50.587 lei (10.000 euro).
II. Colectare excesivă de date prin platformele „semnezsivotez”
Al doilea incident investigat a fost semnalat de Autoritatea Electorală Permanentă, care a înaintat către ANSPDCP două sesizări referitoare la utilizarea platformelor online www.semnezsivotez.ro și www.semnezsivotez.org de către AUR. Prin aceste platforme, partidul colecta date personale de la susținători ai campaniilor sale.
Datele colectate includeau:
- Nume, prenume, CNP, adresă completă, e-mail, telefon
- Semnătură olografă, data nașterii, seria și numărul cărții de identitate
Investigația a arătat că scopurile declarate (informare și analiză statistică) nu justificau colectarea unui volum atât de mare de date, iar prelucrarea era disproporționată, fără un temei legal clar. Prin urmare, s-au identificat încălcări ale următoarelor prevederi:
- Art. 5 alin. (1) lit. c) și alin. (2) – principiul minimizării datelor și responsabilitatea operatorului
- Art. 6 alin. (1) – legalitatea prelucrării
În urma acestei abateri, AUR a fost sancționat cu o amendă de 75.880,50 lei (15.000 euro). De asemenea, platformele semnezsivotez.ro și semnezsivotez.org au fost dezactivate de operator pe parcursul desfășurării investigației.
