Multa histórica de 6,1 millones a Endesa tras descubrirse el tráfico de bases de datos de sus clientes
La compañía ha asegurado que impugnará la resolución de la Agencia de Protección de Datos «hasta la última instancia»
Multa histórica a Endesa por una brecha de seguridad que acabó con los datos personales de sus clientes vendidos en anuncios a través de Facebook. La Agencia Española de Protección de Datos ha impuesto a la compañía una sanción por valor de 6,1 millones de euros, la mayor impuesta hasta la fecha a una eléctrica.
En agosto de 2021 se detectaron varios anuncios de Facebook que anunciaban la venta de credenciales para acceder a la plataforma de Endesa que contiene datos básicos y relativos al punto de suministro. El 17 de enero de 2022 se volvería a encontrar otro anuncio con características similares a los anteriores en el que se informa de la venta de bases de datos de clientes de energía y gas. No sería hasta el 8 de febrero cuando la compañía encontraría coincidencias con su sistema CRM.
En estos anuncios, los hackers ofrecían lotes de bases de datos con información de entre 50.000 y 200.000 clientes de la compañía en los que incluían el nombre, el DNI, la dirección completa y los móviles de contacto.
En total, Endesa calcula que esta brecha habría afectado a los datos de unas mil personas por un incidente del que acusa a un empleado de haber abusado de privilegios «para extraer, reenviar o copiar datos personales». Estos clientes no serían informados al «no existir un riesgo alto para sus derechos y libertades».
Tras la filtración, la compañía procedió al reseteo de las contraseñas de los usuarios afectados y deshabilitó las sesiones simultáneas a la plataforma para evitar el acceso de dos o más personas. Además, se solicitó la baja de los anuncios de Facebook donde se ofrecía la venta de dichos usuarios. Finalmente, el 1 de abril de 2022 se envió una carta a los afectados alertándoles de la detección de «un posible acceso indebido a determinados sistemas comerciales de Endesa Energía».
Endesa asegura que únicamente transcurrieron 24 horas desde que se tuvo conocimiento de la violación de datos y la notificación a la AEDP y que no sacó beneficios de la brecha, sino que «ha sido la clara perjudicada puesto que ha visto como terceros a la organización accedían a sus sistemas y a los datos en ellos con una finalidad ilegítima».
«Grave falta de diligencia»
No obstante, la AEDP señala que Endesa ha mostrado una «grave falta de diligencia», ya no solo con el expediente, «sino con toda la documentación obrante». «La conducta de Endesa ha sido gravemente negligente en tanto tardó meses en resetear o eliminar los usuarios comprometidos, lo que permitió que durante meses se pudiera acceder a los datos personales obrantes en los sistemas de Endesa y se dieran de alta usuarios de forma fraudulenta», añade.
Asimismo, considera que los datos de hasta 6,5 millones de clientes estuvieron disponibles para la consulta de terceros ajenos a la compañía.
En definitiva, la AEDP resuelve la imposición de cinco multas por un valor total de 6,1 millones de euros por diferentes infracciones de los artículos 5, 32, 33, 34 y 44 del Reglamento General de Protección de Datos, una sanción histórica para una eléctrica.
Impugnación
Fuentes de Endesa han confirmado que van a impugnar la resolución de la AEDP hasta sus últimas instancias al considerar que «se han ignorado nuestras alegaciones y pruebas presentadas durante el procedimiento administrativo» que acreditarían que algunas de las conductas imputadas «carecen de fundamento», así como que la compañía tomó medidas tan pronto como tuvo conocimiento del incidente.
Además, la empresa considera que «no existe en España un precedente comparable que justifique la desproporcionalidad de la sanción propuesta».