Repercussão do vazamento de dados da Enel: Procon se manifesta

Compartilhe esse conteúdo

A distribuidora de energia Enel sofreu nesta segunda-feira (9) um incidente cibernético, onde dados de mais de 280 mil clientes foram vazados. As informações captadas pelo vazamento são, até o momento, nome completo, dados bancários, endereço completo e telefones de contato dos clientes. Segundo a própria Enel, o montante de clientes atingidos pelo incidente equivale a 4% da base total de clientes da empresa. Todos os titulares estão localizados no município de Osasco, no estado de São Paulo.

Enel envia comunicado aos clientes atingidos

Segundo o site Tecnoblog, a empresa enviou um comunicado oficial aos clientes cujo dados foram comprometidos. No e-mail, a Enel diz ter realizado todas as análises preliminares e que “não é ainda possível concluir que o incidente tenha originado riscos significativos a você”.

No entanto, ela sugere que os clientes fiquem atentos “a comunicações telefônicas ou eletrônicas de terceiros que solicitem seus dados pessoais e sigilosos (por exemplo, senhas)”. Ainda na mensagem, a empresa pede “sinceras desculpas pelo ocorrido” e afirma estar adotando novas medidas para evitar eventos similares no futuro.


Como o caso repercute frente à LGPD

Sendo uma empresa que trata dados pessoais de cidadãos no território brasileiro, a Enel deve respeitar as medidas dispostas na LGPD. Na seção I da lei, dentre as medidas de segurança e sigilo de dados pessoais trazidas, consta a comunicação ao titular em prazo razoável, contendo, no mínimo:


I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.


Dessa forma, observa-se que o comunicado oficial emitido pela empresa, apesar de abarcar a maioria dos pontos especificados pela LGPD, permanece superficial em quase todos eles.

Nesse sentido, é preciso reiterar que a Lei Geral de Proteção de Dados é principiológica. O que significa que tópicos como a transparência, qualidade, e o livre acesso às informações é fator decisório no ponderamento se uma empresa está tratando os dados pessoais da melhor forma possível, inclusive em cenários de incidentes de segurança, como o em tela.

Sanções só podem ser aplicadas em 2021


Com as sanções administrativas adiadas para agosto de 2021, o principal caminho para exercício dos direitos dos titulares e repreensão à tratamentos inadequados e a vazamentos de dados está, hoje, na judicialização.

Tal cenário preocupa tanto especialistas em privacidade, quanto a própria justiça brasileira, que se encontra no ranking de sistemas mais congestionados do mundo, contando, atualmente, com mais de 114 milhões de processos em tramitação.


A partir de agosto de 2021, incidentes como o sofrido pela Enel serão tratados e penalizados direta e exclusivamente pela autoridade nacional de proteção de dados- ANPD.

Dessa forma, os agentes de tratamento ficarão suscetíveis ao roll completo de sanções administrativas trazidas pela LGPD. As penalizações passam desde advertências simples, com medidas corretivas e prazos de cumprimento, até sanções mais graves, como a publicização da infração, proibição parcial ou total do tratamento de dados pela empresa, e a já tão conhecida pelo mercado: multa simples de até 2% do faturamento anual da companhia, limitado a 50 milhões de reais por infração.


Consequências: Procon notifica Enel


Nesta quarta-feira (11), o Procon comunicou que notificou a distribuidora de energia Enel acerca do vazamento de dados pessoais de seus clientes. Segundo comunicado, a empresa deverá demonstrar se, conforme determina a Lei Geral de Proteção de Dados, adota medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Deverá, ainda, informar se os seus colaboradores foram devidamente treinados sobre a aplicação da Lei Geral de Proteção de Dados. Deve explicar, ainda, porque dados como CPF e número de telefone celular não foram criptografados na coleta e no processo de tratamento.

O Procon-SP pediu ainda que a distribuidora apresente : (i) os procedimentos adotados para análise de um incidente com dados pessoais; (ii) as medidas tomadas para mitigar os possíveis danos em razão do vazamento de dados; (iii) a declaração de equipe dedicada de resposta a incidentes; e (iv) o Relatório de Impacto relacionado ao incidente.

A Enel tem 72 horas para responder a notificação


Compartilhe esse conteúdo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

7 − dois =