Tant Endesa com Endesa Energia han confirmat per carta als seus clients la detecció d'una bretxa de seguretat que ha permès un accés no autoritzat a la seva plataforma comercial, comprometent la confidencialitat de certes dades personals dels seus clients. La companyia assegura que no s'han vist afectades contrasenyes, però sí informació bàsica d'identificació, dades de contacte, DNI, detalls dels contractes energètics i, fins i tot, potencialment els IBAN dels comptes bancaris dels seus clients.

Mesures i seguiment després de l'incident

Després de conèixer la incidència, la companyia ha informat que ha activat els seus protocols de seguretat, bloquejant immediatament els accessos compromesos, analitzant els registres i notificant als clients afectats aquesta bretxa de seguretat greu. La companyia ha reforçat la vigilància dels seus sistemes per a detectar qualsevol activitat sospitosa i ha comunicat el cas a les autoritats competents, inclosa l'Agència Espanyola de Protecció de Dades. La recerca continua oberta, tant internament com amb els proveïdors, per a determinar amb exactitud l'abast de l'accés i prendre mesures addicionals si cal.

L'empresa assegura que, fins avui, no hi ha constància que s'hagi produït cap ús fraudulent de les dades. No obstant això, adverteix que la informació podria ser utilitzada per a suplantacions d'identitat, phishing o enviaments de correu no desitjat, per la qual cosa recomana extremar la precaució davant comunicacions sospitoses dels seus clients.

Recomanacions per als clients

Endesa ha sol·licitat als seus clients que se'ls informi de qualsevol sospita d'ús fraudulent de les dades a la companyia o a les forces de seguretat. L'operativa i els serveis d'Endesa continuen funcionant amb normalitat, segons assegura l'empresa.

 L'empresa assegura que mantindrà informats als seus clients en cas d'obtenir nova informació rellevant sobre l'incident.

Què poden fer els clients afectats per una bretxa de dades segons la llei?

1. Exercir els seus drets davant Endesa (responsable del tractament de dades). Abans de reclamar davant la AEPD, la normativa exigeix —excepte excepcions— #dirigir primer a l'empresa per a:

1.- Sol·licitar confirmació de quines dades concretes han estat afectats.

2.- Demanar explicacions clares sobre l'origen i abast de la bretxa.

3.- Exigir mesures correctores i garanties que no tornarà a ocórrer.

3.- Sol·licitar responsabilitat si es produeix un perjudici econòmic o d'un altre tipus.

Això coincideix amb reclamacions ja presentades per consumidors en casos similars. L'empresa està obligada a respondre en un màxim d'un mes.

2. Presentar una reclamació davant l'Agència Espanyola de Protecció de Dades (AEPD)

Si Endesa no respon, respon de manera insuficient o el client considera que els seus drets han estat vulnerats, pot presentar una reclamació formal davant la AEPD.

La AEPD disposa de models oficials de reclamació per a facilitar el procés.

La reclamació pot basar en: 

Falta de mesures de seguretat adequades.

Gestió incorrecta de la bretxa.

Comunicació tardana o incompleta.

Risc alt per als drets de l'afectat (per exemple, exposició del IBAN).

La AEPD és l'autoritat competent per a investigar i sancionar.

3. Sol·licitar indemnització per danys i perjudicis

El RGPD reconeix el dret a ser indemnitzat per:

Danys materials (per exemple, càrrecs indeguts).

Danys immaterials (ansietat, pèrdua de control sobre les dades, risc de suplantació).

Això pot reclamar:

                         Extrajudicialment a Endesa.

                         Judicialment, si l'empresa no compensa voluntàriament.

4. Mesures d'autoprotecció recomanades

La pròpia companyia adverteix del risc de phishing i suplantació. Els clients deurien:

Vigilar moviments bancaris.

Desconfiar de crides o correus sol·licitant dades.

Activar alertes en el seu banc.

Guardar tota la documentació rebuda sobre la bretxa.

Contacte Agència de Proteccion de Dades