O Ministério Público Federal (MPF) requereu à Justiça Federal a condenação da concessionária de energia elétrica Enel ao pagamento de indenizações pelo vazamento de dados de mais de 4 milhões de clientes em novembro de 2020. Para isso, o MPF entrou como coautor em ação civil pública ajuizada pelo Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Instituto Sigilo) contra a empresa.
A ação solicita indenização de R$ 30 mil a cada cliente que teve os dados vazados, além do pagamento de pelo menos R$ 500 milhões por danos morais coletivos. Eventuais ressarcimentos somente serão efetuados ao final da tramitação processual, quando estiver esgotada a possibilidade de as partes recorrerem de decisões judiciais.
Além disso, o MPF solicitou à Justiça Federal que a Enel faça a comunicação imediata do vazamento a todos os clientes afetados e a disponibilização, no site da companhia, dos detalhes sobre a exposição indevida de informações, quais dados foram compartilhados com terceiros e quais os planos para sanar os riscos detectados. O MPF pede ainda que a concessionária faça aperfeiçoamento da sua segurança digital e ofereça, em até dez dias, um canal para que todos os seus consumidores possam consultar a situação de suas informações pessoais no banco de dados da empresa. Estas solicitações foram feitas em caráter liminar e poderão ter aplicação imediata.
A ação também coloca como ré a Agência Nacional de Proteção de Dados (ANPD). O MPF solicita que a agência instaure “imediatamente” um procedimento de investigação contra a Enel e notifique a empresa para que faça a comunicação do vazamento aos consumidores.
Segundo o MPF, “a Enel não comprovou nenhuma providência adotada para auxiliar os lesados ou reduzir os danos que a exposição pública e ilegal de dados provocou” e “sequer confirmou a extensão e a gravidade do vazamento”.
Para o MPF, a postura da empresa viola pelo menos 12 dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/18), pois a empresa estaria agindo sem transparência e deixando os clientes desassistidos, além de estar descumprindo seu dever de fiscalizar, identificar e solucionar eventuais falhas de segurança.
“Os dados vazados continuam disponíveis na internet, mas a concessionária não demonstrou nenhuma ação adotada até o momento para removê-los de circulação. Ao negligenciar sua obrigação de proteger informações pessoais sensíveis, a companhia afronta também o Marco Civil da Internet (Lei 12.965/14) e o Código de Defesa do Consumidor (Lei 8.078/90)”, diz nota do MPF.
Procurada pela MegaWhat para comentar as acusações do MPF, a Enel informou apenas que não foi notificada sobre a ação.
*Matéria atualizada às 15:52 para inclusão da resposta da Enel sobre o assunto.