S-a atins și culmea GDPR-ului în România: firma unei avocate care este expert în GDPR se numără printre primele trei firme românești care au fost amendate de stat pentru încălcarea Regulamentului General pentru Protecția Datelor (GDPR), potrivit startupcafe.ro. În decembrie 2018 cineva a făcut o reclamație, iar zilele acestea Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal a amendat cu 3.000 euro site-ul avocatoo.ro, deținut de Ana-Maria și Florin Udriște, prin Legal Company & Tax Hub SRL, pentru că nu ar fi protejat suficient datele personale colectate. Avocata Ana-Maria Udriște a explicat că site-ul ei a avut o breșă de securitate, în 2018, când a mutat hostingul și a făcut o schimbare de brand. Iată ce spune autoritatea care a amendat avocatoo.ro pe GDPR: „Sancțiunea a fost aplicată operatorului întrucât nu a implementat măsuri tehnice şi organizatorice adecvate, în vederea asigurării unui nivel de securitate corespunzător riscului prelucrării. Aceasta a condus la divulgarea neautorizată și accesul la datele cu caracter personal ale persoanelor care au efectuat tranzacții recepționate de site-ul avocatoo.ro (nume, prenume, adresa de corespondență, email, telefon, loc de muncă, detalii tranzacții efectuate), documente accesibile public, în perioada 10 decembrie 2018 - 1 februarie 2019“. Avocata Ana-Maria Udriște, care deține avocatoo.ro, a anunțat într-o postare pe acest site, că cea de-a treia amendă pe GDPR din România „pică pe umerii unui site care scrie despre și furnizează, printre altele și servicii de conformare GDPR. Este vorba despre noi, avocatoo.ro“. Experta GDPR a explicat cum a ajuns ca firma ei să fie amendată fix pentru încălcarea GDPR - „La un moment dat, în decursul anului trecut, am decis să mutăm site-ul avocatoo.ro de pe hostingul unde era în altă parte și să facem un fel de mini-rebranding. Am apelat la niște cunoscuți pentru partea de IT, pentru că, deși orice antreprenor se pricepe să facă de toate, nu sunt atât de inteligentă încât să am cunoștinte avansate de programare. Am semnat contractul, am stabilit ce vreau, cum să arate, funcționalități noi, ce păstram din cele vechi etc. Exact cum faci și tu când vrei să achiziționezi niște servicii - găsești un furnizor, te vezi cu el, stabilești detaliile și te apuci de treabă. Am muncit, am mutat site-ul, am adus funcționalități noi, toate bune și frumoase, fără niciun fel de probleme la momentul respectiv“. Din câte se pare, însă, în momentul în care s-a făcut migrația de pe un server pe altul, un fișier care conținea date criptate despre un număr limitat de tranzacții B2B (business-to-business, nu persoane fizice) a putut fi accesat pe bază de link direct (adică doar dacă știai în mod expres unde să cauți). Celelalte două amenzi date în România pentru încălcarea GDPR au fost la banca Unicredit și la hotelul World Trade Center din București.