O Ministério Público Federal (MPF) requereu à Justiça Federal a condenação da concessionária de energia elétrica Enel ao pagamento de indenizações pelo vazamento de dados de mais de 4 milhões de clientes em novembro de 2020. Para tanto, ingressou como coautor em ação civil pública ajuizada pelo Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Instituto Sigilo) contra a empresa. Desde o vazamento de dados de clientes e consumidores, sem qualquer ciência e consentimento desses, há mais de três anos, a Enel não comprovou nenhuma providência adotada para auxiliar os lesados ou reduzir os danos que a exposição pública e ilegal de dados provocou.
O MPF pleiteia que a empresa seja obrigada a indenizar em R$ 30 mil cada um dos clientes atingidos pelo vazamento, além de desembolsar valor não inferior a R$ 500 milhões por danos morais coletivos. Caso a Justiça Federal aceite o pedido e condene a Enel em primeira instância, o pagamento das quantias não será imediato. Os eventuais ressarcimentos somente serão concluídos ao final da tramitação processual, quando estiver esgotada a possibilidade de as partes recorrerem de decisões judiciais.
Mas a Enel pode ser obrigada a tomar outras providências desde já. Em caráter liminar, o MPF requereu que a Justiça determine à empresa a comunicação imediata do vazamento a todos os clientes afetados e a disponibilização, no site da companhia, dos detalhes sobre a exposição indevida de informações, quais dados foram compartilhados com terceiros e quais os planos para sanar os riscos detectados. O Ministério Público Federal demandou, ainda, que a concessionária adote medidas técnicas de aperfeiçoamento da segurança digital e ofereça, em até dez dias, um canal a todos os consumidores de seus serviços para que cada um possa consultar a situação de suas informações pessoais no banco de dados da empresa.
Até agora, a Enel sequer confirmou a extensão e a gravidade do vazamento. Em 9 de novembro de 2020, a empresa admitiu ter tomado ciência da exposição pública de dados referentes a “cerca de 4% da base de clientes da companhia, todos do município de Osasco”, fato este que pode ter resultado em um vazamento em nível nacional, tendo em vista ter sido este veiculado por meio da internet, atingindo o domínio cibernético. A informação constava de uma nota curta que a concessionária publicou, mas logo depois removeu de seu site. No dia 13 daquele mês, a Enel manifestou-se em reportagem veiculada pelo portal Tecmundo, admitindo a ocorrência e o vazamento de dados de 4,3 milhões de consumidores. Nessa segunda manifestação, a empresa limitou-se a falar em um “suposto incidente” relacionado às informações de “uma parcela de seus clientes”.
Ilegalidades – O MPF destaca que a postura da Enel configura desrespeito a pelo menos 12 dispositivos da Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/18). Além de agir sem transparência e deixar os clientes desassistidos, a empresa vem descumprindo seu dever de fiscalizar, identificar e solucionar eventuais falhas de segurança. Os dados vazados continuam disponíveis na internet, mas a concessionária não demonstrou nenhuma ação adotada até o momento para removê-los de circulação. Ao negligenciar sua obrigação de proteger informações pessoais sensíveis, a companhia afronta também o Marco Civil da Internet (Lei 12.965/14) e o Código de Defesa do Consumidor (Lei 8.078/90).
“Seja qual for o tratamento dispensado pela Enel, este foi inadequado e ilícito, lesando milhares de consumidores de seus serviços. E, nesta linha, deve responder objetivamente pelos dados vazados, pois, direta ou indiretamente, com ou sem falhas em seu sistema de armazenamento de dados, concorreu para a ilegalidade, deixando de aplicar métodos, recursos ou instrumentos de segurança para evitar tais vazamentos ou retirar os dados pessoais violados de circulação”, ressaltou a procuradora da República Karen Louise Jeanette Kahn, autora dos pedidos do MPF.
A Agência Nacional de Proteção de Dados (ANPD) também é corré na mesma ação civil pública e o Ministério Público Federal requereu que a autoridade, como órgão responsável pela fiscalização e sancionamento dos agentes que lidam com o tratamento e controle de dados, segundo os deveres fixados pela Lei Geral de Proteção de Dados (LGPD), seja obrigada a instaurar imediatamente um procedimento de investigação contra a Enel e notificar a empresa para que faça a comunicação do vazamento aos consumidores. Ao final do processo, a ANPD pode ser condenada a tomar medidas mais amplas que busquem garantir o cumprimento da legislação, não só pela Enel, mas por todos os agentes que armazenam e operam informações pessoais sensíveis.
Ação Civil Pública 5003011-57.2023.4.03.6100. Leia a íntegra da manifestação do MPF.