Repercussão do vazamento de dados da Enel: Procon se manifesta
A distribuidora de energia Enel sofreu nesta segunda-feira (9) um incidente cibernético, onde dados de mais de 280 mil clientes foram vazados. As informações captadas pelo vazamento são, até o momento, nome completo, dados bancários, endereço completo e telefones de contato dos clientes. Segundo a própria Enel, o montante de clientes atingidos pelo incidente equivale a 4% da base total de clientes da empresa. Todos os titulares estão localizados no município de Osasco, no estado de São Paulo.
Enel envia comunicado aos clientes atingidos
Segundo o site Tecnoblog, a empresa enviou um comunicado oficial aos clientes cujo dados foram comprometidos. No e-mail, a Enel diz ter realizado todas as análises preliminares e que “não é ainda possível concluir que o incidente tenha originado riscos significativos a você”.
No entanto, ela sugere que os clientes fiquem atentos “a comunicações telefônicas ou eletrônicas de terceiros que solicitem seus dados pessoais e sigilosos (por exemplo, senhas)”. Ainda na mensagem, a empresa pede “sinceras desculpas pelo ocorrido” e afirma estar adotando novas medidas para evitar eventos similares no futuro.
Como o caso repercute frente à LGPD
Sendo uma empresa que trata dados pessoais de cidadãos no território brasileiro, a Enel deve respeitar as medidas dispostas na LGPD. Na seção I da lei, dentre as medidas de segurança e sigilo de dados pessoais trazidas, consta a comunicação ao titular em prazo razoável, contendo, no mínimo:
I – a descrição da natureza dos dados pessoais afetados;
II – as informações sobre os titulares envolvidos;
III – a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;
IV – os riscos relacionados ao incidente;
V – os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI – as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
Dessa forma, observa-se que o comunicado oficial emitido pela empresa, apesar de abarcar a maioria dos pontos especificados pela LGPD, permanece superficial em quase todos eles.
Nesse sentido, é preciso reiterar que a Lei Geral de Proteção de Dados é principiológica. O que significa que tópicos como a transparência, qualidade, e o livre acesso às informações é fator decisório no ponderamento se uma empresa está tratando os dados pessoais da melhor forma possível, inclusive em cenários de incidentes de segurança, como o em tela.
Sanções só podem ser aplicadas em 2021
Com as sanções administrativas adiadas para agosto de 2021, o principal caminho para exercício dos direitos dos titulares e repreensão à tratamentos inadequados e a vazamentos de dados está, hoje, na judicialização.
Tal cenário preocupa tanto especialistas em privacidade, quanto a própria justiça brasileira, que se encontra no ranking de sistemas mais congestionados do mundo, contando, atualmente, com mais de 114 milhões de processos em tramitação.
A partir de agosto de 2021, incidentes como o sofrido pela Enel serão tratados e penalizados direta e exclusivamente pela autoridade nacional de proteção de dados- ANPD.
Dessa forma, os agentes de tratamento ficarão suscetíveis ao roll completo de sanções administrativas trazidas pela LGPD. As penalizações passam desde advertências simples, com medidas corretivas e prazos de cumprimento, até sanções mais graves, como a publicização da infração, proibição parcial ou total do tratamento de dados pela empresa, e a já tão conhecida pelo mercado: multa simples de até 2% do faturamento anual da companhia, limitado a 50 milhões de reais por infração.
Consequências: Procon notifica Enel
Nesta quarta-feira (11), o Procon comunicou que notificou a distribuidora de energia Enel acerca do vazamento de dados pessoais de seus clientes. Segundo comunicado, a empresa deverá demonstrar se, conforme determina a Lei Geral de Proteção de Dados, adota medidas de segurança, técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Deverá, ainda, informar se os seus colaboradores foram devidamente treinados sobre a aplicação da Lei Geral de Proteção de Dados. Deve explicar, ainda, porque dados como CPF e número de telefone celular não foram criptografados na coleta e no processo de tratamento.
O Procon-SP pediu ainda que a distribuidora apresente : (i) os procedimentos adotados para análise de um incidente com dados pessoais; (ii) as medidas tomadas para mitigar os possíveis danos em razão do vazamento de dados; (iii) a declaração de equipe dedicada de resposta a incidentes; e (iv) o Relatório de Impacto relacionado ao incidente.
A Enel tem 72 horas para responder a notificação