Em novembro passado, a Enel sofreu um vazamento de dados afetando 4% da sua base de clientes, todos do município de Osasco-SP. Na época, a companhia se manifestou sobre o incidente e abriu investigação. Mas para o Procon-SP, a distribuidora de energia não respondeu satisfatoriamente aos questionamentos sobre o incidente ocorrido.
Em nota publicada hoje (19), o órgão informou que o caso está sendo analisado pela diretoria de fiscalização e que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor, caso tudo não esteja esclarecido.
A concessionária informa que o incidente de segurança ocorreu em razão do acesso e extração indevidos de uma planilha com dados de parte dos consumidores do município de Osasco. As apurações e investigações não foram concluídas, até o momento, não foi possível identificar a origem nem a forma como se deu o acesso indevido aos dados.
De acordo com a apuração do Procon-SP, a Enel não especificou alguns itens como: quais os parâmetros usados para a classificação da confidencialidade dos dados; quais fundamentos se baseia para permitir o acesso de parceiros, colaboradores e estagiários aos dados pessoais mantidos sob sua guarda; e quais as políticas de segurança de dados utilizadas para evitar que esses dados sigilosos sejam copiados.
Em resposta ao motivo pelo qual dados como CPF e telefone celular não terem sido criptografados na coleta e no processo de tratamento, a Enel disse que a criptografia pode ser eventualmente aplicada como um complemento na proteção em conjunto com as medidas já aplicadas, acrescentando que a LGPD não especifica as medidas de segurança técnicas e organizacionais aplicáveis.
Para o Procon-SP, apesar de a lei não trazer as especificações, é sabido que uma das melhores formas de se manter a inacessibilidade de informações pessoais é a criptografia, medida amplamente utilizada por grandes empresas no mundo.
Comunicação ao titular do dado
Outro ponto que foi um dos focos na análise do Procon-SP foi a forma com a Enel comunicou o incidente aos clientes. O órgão alega que o serviço do encarregado de proteção de dados não pode ser confundido com os demais serviços de atendimento. A concessionária informa que foi considerada a opção mais acessível e um canal de comunicação mais cômodo, gratuito e conveniente.
Para o Procon-SP, por se tratar de assunto referente a dados pessoais, alguns deles sensíveis, a empresa deveria ter aberto canal de comunicação específico, diverso do 0800. “Conforme algumas reclamações registradas no Procon-SP, verifica-se que na prática quando o consumidor tenta esclarecimentos junto ao SAC da concessionária a respeito desse vazamento, não recebe informações detalhadas”, diz a nota.
“As empresas ainda não entenderam a Lei Geral de Proteção de Dados e ainda não estão preparadas. Perigo para o consumidor e prejuízo para as empresas”, afirma o diretor executivo do Procon-SP, Fernando Capez. “As multas da LGPD que entrarão em vigor a partir de agosto podem chegar a 50 milhões”, completa.
Procurada pela Security Report, a assessoria de imprensa da Enel enviou a seguinte nota:
“A Enel Distribuição São Paulo esclarece que segue rigorosos padrões globais de segurança cibernética e segurança da informação, baseados nas melhores práticas de mercado, e tem trabalhado continuamente para garantir a segurança de seus sistemas. Com a entrada em vigor da Lei Geral de Proteção de Dados (LGPD), o compromisso com o tema foi reforçado em toda a organização, e a empresa vem ministrando treinamentos específicos a todos os seus colaboradores sobre a aplicação da nova lei.
Sobre incidente ocorrido em novembro do ano passado, a Enel Distribuição São Paulo reforça que, a partir do momento que tomou conhecimento do incidente envolvendo os dados de cerca de 4% da base de clientes, desabilitou imediatamente o acesso a este banco de dados e cumpriu todos os procedimentos previstos na LGPD, prestando os esclarecimentos às autoridades competentes, em linha com o seu plano de resposta a incidentes.
Todos os clientes afetados, localizados na cidade de Osasco, foram comunicados sobre o incidente direta e individualmente por e-mail ou carta registrada, o que foi reforçado posteriormente com o envio de SMS e por meio da conta de luz para aqueles que não receberam a comunicação inicial, seguindo o compromisso de transparência da companhia e em linha com a legislação vigente.
A Enel Distribuição São Paulo reitera que prestou todas as informações ao Procon-SP, conforme solicitado pelo órgão.”
*Com informações do Procon-SP