Endesa vuelve a ser noticia, y en esta ocasión no se trata de un rumor o algo que haya corrido por Internet gracias a la redes sociales como en el que la empresa desmintió hace unos días. En este caso se trata de una sanción, impuesta por la Agencia Española de Protección de Datos a la eléctrica española.
El trasfondo del asunto vuelven a ser los datos de los usuarios, una información que como tantas otras veces se ha demostrado, termina siendo muy valiosa para empresas interesadas que terminan usándola para cualquier fin que no tiene que ver con el que inicialmente estaba previsto.
No tomar las medidas oportunas
Foto de Dids
En esta ocasión, la AEPD ha impuesto a la eléctrica una sanción por no tomar las medidas necesarias que impidieran la realización de spam telefónico por parte de otras empresas para captación fraudulenta gracias a unos datos que se habían obtenido de su plataforma Sales Foder (es la utilizada por su red comercial para consultar datos de clientes e información de puntos de suministro) cuyo acceso, por medio de claves privadas, había estado a la venta en Facebook.
Un caso en el que ha vuelto a aparecer una práctica tan conocida como el spam telefónico o lo que es lo mismo, la práctica de enviar mensajes no deseados o realizar llamadas no solicitadas a través de teléfonos móviles o fijos con el objetivo de promocionar productos, servicios o llevar a cabo estafas. Estos mensajes o llamadas suelen ser molestos e invasivos, ya que interrumpen la privacidad de los usuarios y, en muchos casos, pueden resultar en experiencias negativas.
El spam telefónico puede adoptar diversas formas, como llamadas automáticas pregrabadas (también conocidas como llamadas robocalls), mensajes de texto no deseados (SMS spam) o llamadas en las que una persona intenta vender productos o servicios de manera intrusiva y en este caso, llamaba la atención, que la persona al otro lado del teléfono, tuviese todos todos los datos del usuario que recibió la llamada.
Según el informe de la AEPD, del que se han hecho eco en Banda Ancha, han estado expuestos a terceros que nada tienen que ver con Endesa, los datos personales de 4,8 millones de clientes de electricidad y 1,2 millones de gas de la compañía. A estos datos se suma la posibilidad de acceder a datos técnicos de 30,6 millones de puntos de suministro eléctrico y 8,6 de gas, con la gravedad de que en este caso pueden ser de cualquier compañía eléctrica o gasista.
Estos datos incluyen información relativa al nombre y apellidos del titular del contrato, DNI, teléfono, correo electrónico, dirección postal, número de cuenta bancaria, CUPS que identifica el punto de suministro, consumo, facturación y deudas.
En el informe de la AEPD, se relata que Endesa descubrió en agosto de 2021, que la práctica de publicar en Facebook claves de acceso para acceder a su plataforma Sales Folder y no tomó las medidas adecuadas ni consideró que era necesario avisar a las autoridades.
Fue demasiado tarde cuando, según la AEPD, Endesa comenzó a tomar cartas en el asunto. Primero resolviendo el contrato con un distribuidor comercial que había aprovechado estos datos para dar altas fraudulentas. Más tarde contactó con Facebook Spain para que retirase los anuncios y al mismo tiempo informó a la AEPD como paso previo al aviso a los usuarios afectados vía correo postal en el que explicaba que había "detectado un posible acceso indebido a determinados sistemas comerciales".
Foto de Moose Photos
Sin embargo y pese a todos los pasos dados por Endesa, la AEPD sostiene "que transcurrieron varios meses desde que Endesa identificó las posibles mejoras que podía implementar respecto de las medidas de seguridad de las herramientas" y que "Endesa debería haber tenido implementadas, desde un principio, las medidas de seguridad que comenzó a aplicar una vez tuvo constancia del incidente".
Es más, en el documento publicado, la AEPD afirma "que Endesa no fue diligente a la hora de ponerse en contacto con Facebook para la retirada de los anuncios puesto que, tras recibir la contestación en la que se le indicaba que Facebook Spain no era la entidad competente, no remitió a Facebook Ireland Limited requerimiento alguno en este sentido y, por tanto, no implementó las medidas de seguridad" y entienden que "Endesa tardó varios meses en eliminar las cuentas de los usuarios comprometidos de los sistemas de la Sociedad".
Y es que en agosto de 2022, un año después de conocerse el problema, el último de los usuarios cancelados aún estaba activo. Como consecuencia, la AEPD ha impuesto a Endesa una multa de 6,1 millones de euros, divididos en importes que van desde los 500 mil euros a los 2,5 millones en varias sanciones.
Lo que opina Endesa
Imagen | Yubal para Xataka Basics
Ante tal situación, hemos traslado la consulta a Endesa para conocer su postura al respecto En la respuesta, afirman lo siguiente. Están "en desacuerdo con la resolución de la AEPD y por esto vamos a impugnarlo ante los tribunales de justicia hasta sus últimas instancias. Consideramos que se han ignorado nuestras alegaciones y pruebas presentadas durante el procedimiento administrativo".
Para ello la empresa sostiene que tomarán cualquier medida y acción necesaria y alegarán que "ciertas conductas imputadas a Endesa carecen de fundamento", que "tan pronto como se tuvo conocimiento del incidente Endesa tomó las medidas de seguridad, técnicas y organizativas necesarias para solucionar el incidente" y que "no existe en España un precedente comparable que justifique la desproporcionalidad de la sanción propuesta".
Vía | Banda Ancha
Foto de portada | Kindel Media
En Xataka SmartHome | He calculado cuánto ahorras en la factura de la luz si cada día enciendes tus electrodomésticos en la hora más barata
Ver 0 comentarios