Clientes do McDonald’s receberam um e-mail neste domingo (17) avisando que alguns de seus dados podem ter sido expostos. Na lista, estão nome, estado civil, endereço, e-mail, CPF e número de telefone.
Segundo a mensagem, a vulnerabilidade aconteceu porque um dos prestadores de serviços do McDonald’s “sofreu um incidente que permitiu o acesso não autorizado a dados pessoais de alguns de nossos clientes”.
A companhia ressalta que dados sensíveis não foram expostos. De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), esta classificação é dada àqueles que revelam informações raciais, étnicas, religiosas, filosóficas, políticas, genéticas, biométricas, de saúde ou de vida sexual.
O McDonald’s disponibilizou os e-mails do seu SAC ([email protected]) e de um setor dedicado à LGPD ([email protected]) para quem tiver dúvidas.
Ao Tecnoblog, a assessoria de imprensa do McDonald’s enviou o seguinte comunicado:
“A Arcos Dorados, empresa que opera os restaurantes McDonald’s na América Latina e Caribe, esclarece que um dos nossos prestadores de serviços sofreu um incidente, que permitiu o acesso não autorizado a dados pessoais não sensíveis de alguns clientes da rede no Brasil. Ao tomarmos conhecimento do ocorrido, adotamos as medidas cabíveis, bem como comunicamos a Autoridade Nacional de Proteção de Dados (ANDP) e os clientes possivelmente impactados. A Arcos Dorados repudia esta atividade criminosa e trabalha continuamente para reforçar as medidas de proteção dos dados pessoais dos seus clientes. Lamentamos a situação e disponibilizamos canais de comunicação para esclarecer quaisquer dúvidas dos consumidores”.
Leia Também
Não é o primeiro incidente de segurança envolvendo o McDonald’s de que se tem notícia. Em 2019, o site The Hack revelou que uma prestadora de serviços deixou expostos mais de 2,3 milhões de registros sensíveis da rede de restaurantes, sendo mais de 1 milhão de informações pessoais de funcionários.
LGPD obriga empresa a avisar clientes
Como explica Adriano Mendes, advogado especialista em direito digital, o comunicado do McDonald’s faz parte dos procedimentos previstos na LGPD. “O artigo 48 determina que a empresa que tem o banco de dados é obrigada a comunicar a ANPD e o titular sempre que um incidente de segurança de informação que acarrete risco para ele. O que o McDonald’s fez não foi nada mais do que seguir a lei: identificou um incidente e está comunicando”, afirma.
Mendes recomenda que os clientes que receberam o e-mail fiquem um pouco mais alertas que o normal com relação a mensagens de promoções e campanhas, a ligações telefônicas e ao uso do cartão de crédito.
O advogado destaca que esses dados provavelmente vazaram em incidentes anteriores envolvendo outras bases, portanto não há muita novidade para criminosos.
Também é difícil conseguir indenizações em casos assim, ele explica. “O entendimento da justiça vem sendo de que compensações só devem ser pagas se for possível comprovar o prejuízo sofrido e a ligação com o vazamento”.
O advogado ressalta que a LGPD segue o princípio do mínimo necessário: coletar o menor número possível de informações para prestar um serviço.
“Será que todos estes dados eram necessários para o McDonald’s? Nome, endereço, telefone, CPF, e-mail e endereço são necessários para fazer uma entrega. E estado civil? Era necessário?”, comenta o advogado. “A empresa pode ter escorregado aqui, e a ANPD pode entender como coleta excessiva. Isso pode ser um agravante”.
A investigação da ANPD vai apurar a responsabilidade do McDonald’s no episódio. Mendes comenta que a questão é saber se foram tomadas medidas de precaução corretas para evitar incidentes do tipo ou se a empresa poderia ter feito algo a mais.