Incidente da Enel ganha novo capítulo

Para o Procon-SP, a distribuidora de energia não respondeu satisfatoriamente aos questionamentos sobre o vazamento de dados ocorrido em novembro do ano passado. Em nota, companhia afirma que prestou todos os esclarecimentos, colocando em prática seu plano de resposta a incidentes

Compartilhar:

Em novembro passado, a Enel sofreu um vazamento de dados afetando 4% da sua base de clientes, todos do município de Osasco-SP. Na época, a companhia se manifestou sobre o incidente e abriu investigação. Mas para o Procon-SP, a distribuidora de energia não respondeu satisfatoriamente aos questionamentos sobre o incidente ocorrido.

 

Em nota publicada hoje (19), o órgão informou que o caso está sendo analisado pela diretoria de fiscalização e que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor, caso tudo não esteja esclarecido.

 

A concessionária informa que o incidente de segurança ocorreu em razão do acesso e extração indevidos de uma planilha com dados de parte dos consumidores do município de Osasco. As apurações e investigações não foram concluídas, até o momento, não foi possível identificar a origem nem a forma como se deu o acesso indevido aos dados.

 

De acordo com a apuração do Procon-SP, a Enel não especificou alguns itens como: quais os parâmetros usados para a classificação da confidencialidade dos dados; quais fundamentos se baseia para permitir o acesso de parceiros, colaboradores e estagiários aos dados pessoais mantidos sob sua guarda; e quais as políticas de segurança de dados utilizadas para evitar que esses dados sigilosos sejam copiados.

 

Em resposta ao motivo pelo qual dados como CPF e telefone celular não terem sido criptografados na coleta e no processo de tratamento, a Enel disse que a criptografia pode ser eventualmente aplicada como um complemento na proteção em conjunto com as medidas já aplicadas, acrescentando que a LGPD não especifica as medidas de segurança técnicas e organizacionais aplicáveis.

 

Para o Procon-SP, apesar de a lei não trazer as especificações, é sabido que uma das melhores formas de se manter a inacessibilidade de informações pessoais é a criptografia, medida amplamente utilizada por grandes empresas no mundo.

 

Comunicação ao titular do dado

 

Outro ponto que foi um dos focos na análise do Procon-SP foi a forma com a Enel comunicou o incidente aos clientes. O órgão alega que o serviço do encarregado de proteção de dados não pode ser confundido com os demais serviços de atendimento. A concessionária informa que foi considerada a opção mais acessível e um canal de comunicação mais cômodo, gratuito e conveniente.

 

Para o Procon-SP, por se tratar de assunto referente a dados pessoais, alguns deles sensíveis, a empresa deveria ter aberto canal de comunicação específico, diverso do 0800. “Conforme algumas reclamações registradas no Procon-SP, verifica-se que na prática quando o consumidor tenta esclarecimentos junto ao SAC da concessionária a respeito desse vazamento, não recebe informações detalhadas”, diz a nota.

 

“As empresas ainda não entenderam a Lei Geral de Proteção de Dados e ainda não estão preparadas. Perigo para o consumidor e prejuízo para as empresas”, afirma o diretor executivo do Procon-SP, Fernando Capez. “As multas da LGPD que entrarão em vigor a partir de agosto podem chegar a 50 milhões”, completa.

 

Procurada pela Security Report, a assessoria de imprensa da Enel enviou a seguinte nota:

 

“A Enel Distribuição São Paulo esclarece que segue rigorosos padrões globais de segurança cibernética e segurança da informação, baseados nas melhores práticas de mercado, e tem trabalhado continuamente para garantir a segurança de seus sistemas. Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o compromisso com o tema foi reforçado em toda a organização, e a empresa vem ministrando treinamentos específicos a todos os seus colaboradores sobre a aplicação da nova lei.

 

Sobre incidente ocorrido em novembro do ano passado, a Enel Distribuição São Paulo reforça que, a partir do momento que tomou conhecimento do incidente envolvendo os dados de cerca de 4% da base de clientes, desabilitou imediatamente o acesso a este banco de dados e cumpriu todos os procedimentos previstos na LGPD, prestando os esclarecimentos às autoridades competentes, em linha com o seu plano de resposta a incidentes.

 

Todos os clientes afetados, localizados na cidade de Osasco, foram comunicados sobre o incidente direta e individualmente por e-mail ou carta registrada, o que foi reforçado posteriormente com o envio de SMS e por meio da conta de luz para aqueles que não receberam a comunicação inicial, seguindo o compromisso de transparência da companhia e em linha com a legislação vigente.

 

A Enel Distribuição São Paulo reitera que prestou todas as informações ao Procon-SP, conforme solicitado pelo órgão.”

 

*Com informações do Procon-SP

Conteúdos Relacionados

Security Report | Destaques

Incidente cibernético gera instabilidade na cobrança do Bilhete Único

Ocorrência teria atingido uma das concessionárias da rede municipal de transportes, impactando na validação do Bilhete Único na zona Sul...
Security Report | Destaques

Cosan ganha visibilidade de segurança em nuvem com IA

Ferramenta de Inteligência Artificial AI Cloud Security trouxe novas configurações de Segurança para o projeto de nuvem em expansão da...
Security Report | Destaques

Ataque de ransomware trouxe nova realidade de acessos gerenciados ao STJ

Uma das instâncias mais altas do Judiciário brasileiro sofreu um grave incidente cibernético há quatro anos, levando a instituição a...
Security Report | Destaques

“Apenas o cargo não faz um C-Level”, afirma Leonardo Muroya

Em entrevista à Security Report, um dos CISOs mais influentes do mercado de SI e, agora, CEO da Vultus Cybersecurity,...