Anchetă SRI la Primăria Alba Iulia după ce datele a mii de proprietari au ajuns pe site-ul instituției

Publicarea din greșeală a unor documente pe site-ul Primăriei Alba Iulia s-a transformat, în mai 2023, într-una dintre cele mai grave scurgeri de date personale dintr-o administrație locală din România. Pe 3 mai 2023, în secțiunea "Știri și anunțuri" a paginii oficiale a instituției au apărut opt documente cu mii de pagini care conțineau numele, prenumele, CNP-ul și adresa tuturor proprietarilor de locuințe din oraș, alături de date de identificare ale firmelor. A doua zi dimineață, angajații Serviciului Român de Informații verificau deja calculatoarele Direcției de Venituri.

O breșă cu nume, CNP și adrese expuse public

Datele ajunse online nu se limitau la cetățenii obișnuiți. Printre informațiile expuse se aflau și date care priveau angajați din structuri sensibile - SRI, DIICOT, BCCO -, dar și procurori, judecători, jandarmi și polițiști. Practic, oricine accesa secțiunea de anunțuri putea descărca un set complet de informații care, în mod normal, sunt protejate strict de legislația privind prelucrarea datelor cu caracter personal.

Amploarea expunerii este confirmată de o cifră concretă: în intervalul scurt dintre momentul publicării și cel al ștergerii, fișierele au fost accesate de 46 de ori. Nu se știe public cine le-a descărcat sau în ce scop, însă fiecare accesare înseamnă o potențială copiere a unui set masiv de date personale care nu mai poate fi recuperat.

SRI verifică dacă a fost eroare umană sau atac cibernetic

Reacția instituțiilor a fost rapidă. Pe 4 mai, dimineața, angajații SRI au verificat calculatoarele Direcției de Venituri din primărie. Potrivit surselor neoficiale citate de presa locală, scopul verificării era acela de a stabili

dacă publicarea datelor cu caracter personal s-a produs dintr-o eroare umană sau în urma unui atac cibernetic.

Reprezentanții primăriei au descris incidentul drept "o eroare umană pe care o regretă". Persoana responsabilă urma să răspundă disciplinar, sancțiunea putând merge de la mustrare până la desfacerea contractului de muncă. Cazul a intrat și în atenția Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, instituția care poate aplica amenzi pentru încălcarea regulilor GDPR.

Lecția pentru administrațiile digitalizate

Incidentul de la Alba Iulia arată cât de fragil poate fi un site public atunci când lipsesc procedurile de verificare înainte de publicare. Pe măsură ce primăriile pun tot mai multe servicii și anunțuri online, un singur fișier încărcat fără filtrare poate expune zeci de mii de cetățeni. Diferența dintre o administrație digitalizată sigur și una vulnerabilă nu ține de tehnologie de top, ci de pași elementari - clasificarea documentelor, separarea datelor sensibile și un control înainte ca un anunț să devină public.