notícias & releases

Vazamento de dados da Enel

Para o Procon-SP, a distribuidora de energia não respondeu satisfatoriamente aos questionamentos sobre o incidente ocorrido em novembro do ano passado

Publicado em 18 de fevereiro de 2021

Em razão de notícia divulgada em novembro do ano passado, o Procon-SP pediu explicações à distribuidora de energia elétrica Enel sobre o vazamento de dados cadastrais de consumidores do município de Osasco. Foram solicitadas informações sobre medidas de proteção dos dados e de situações acidentais e ilícitas, sobre treinamento dos colaboradores, entre outros procedimentos para aplicação da Lei Geral de Proteção de Dados (LGPD).

A concessionária informa que o incidente de segurança ocorreu em razão do acesso e extração indevida de uma planilha com dados de parte dos consumidores do município de Osasco, que as apurações e investigações não foram concluídas e que até o momento não foi possível identificar a origem nem a forma como se deu o acesso indevido aos dados.

Sobre segurança e confidencialidade, a Enel descreve as medidas técnicas e administrativas da empresa, mas, apesar de responder que realiza atualizações periódicas de seu sistema de segurança, não especifica o lapso temporal exato e nem informa se a política de atualização de mecanismos de segurança é a mesma para todos os dados. Também não especifica quais os parâmetros usados para a classificação da confidencialidade dos dados.

Além disso, para o Procon-SP, a empresa não explica em quais fundamentos se baseia para permitir o acesso de parceiros, colaboradores e estagiários, aos dados pessoais mantidos sob sua guarda e quais as políticas de segurança de dados utilizadas para evitar que esses dados sigilosos sejam copiados. Lembrando que a assinatura de termos de responsabilização por parte de funcionários não retira da empresa a obrigação de manter política de sigilo de dados condizente com a LGPD.

Em resposta ao motivo pelo qual dados como CPF e telefone celular não terem sido criptografados na coleta e no processo de tratamento, a Enel disse que a criptografia pode ser eventualmente aplicada como um complemento na proteção em conjunto com as medidas já aplicadas, acrescentando que a LGPD não especifica as medidas de segurança técnicas e organizacionais aplicáveis. Para o Procon-SP, apesar de a lei não trazer as especificações, é sabido que uma das melhores formas de se manter a inacessibilidade de informações pessoais é a criptografia, medida amplamente utilizada por grandes empresas no mundo.

Encarregado de dados e esclarecimentos ao consumidor

Sobre se a empresa tem um encarregado de dados – conforme previsão da LGPD – e por que no comunicado oficial do incidente foi indicado um telefone 0800 e não os meios de contato do encarregado de dados, a concessionária informa que a indicação de contato diretamente pelo canal de atendimento ao consumidor (0800) foi considerada a opção mais acessível e um canal de comunicação mais cômodo, gratuito e conveniente.

Para o Procon-SP, por se tratar de assunto referente a dados pessoais, alguns deles sensíveis, a empresa deveria ter aberto canal de comunicação específico, diverso do 0800. O serviço do encarregado de proteção de dados não se confunde com os demais serviços de atendimento ao cliente e deve ser destacado e amplamente publicizado.

Conforme algumas reclamações registradas no Procon-SP, verifica-se que na prática quando o consumidor tenta esclarecimentos junto ao SAC da concessionária a respeito desse vazamento, não recebe informações detalhadas.

“As empresas ainda não entenderam a Lei Geral de Proteção de Dados e ainda não estão preparadas. Perigo para o consumidor e prejuízo para as empresas”, afirma o diretor executivo do Procon-SP, Fernando Capez. “As multas da LGPD que entrarão em vigor a partir de agosto podem chegar a 50 milhões”, completa.

Conclusão das investigações

Enquanto órgão público que integra o Sistema Nacional de Defesa do Consumidor, o Procon-SP é corresponsável pela aplicação da LGPD, com atribuição legal para aplicar legislações relacionas à relação de consumo. Desta forma, a Enel deve informar a essa instituição o desenvolvimento das investigações, estabelecendo prazos para apresentação de identificação dos responsáveis e as medidas legais adotadas.

O caso será analisado pela diretoria de fiscalização que poderá aplicar multa conforme prevê o Código de Proteção e Defesa do Consumidor.


Procon-SP
Assessoria de Comunicação