Em nota divulgada nesta quarta-feira, 3, o iFood disse que não há possibilidade de vazamento de dados financeiros de clientes já que 'não armazena dados de cartões' e que, portanto, 'não é possível o vazamento dessas informações'. "Todos os dados financeiros são transmitidos e processados de forma anônima durante as transações", afirma a plataforma.
A empresa também responsabilizou o funcionário de uma empresa prestadora de serviço de atendimento. De acordo com o iFood, ele tinha permissão para ajustar informações cadastrais dos restaurantes na plataforma e 'o fez de forma indevida'.
Para a advogada do escritório Chenut Oliveira Santiago Advogados, a empresa terceirizada também poderá ser acionada na Justiça. "Com relação às eventuais medidas penais cabíveis, a situação deverá ser analisada para verificar se houve a configuração de algum tipo penal, como por exemplo invasão de dispositivo informático", explica.
O advogado Joaquim Pedro de Medeiros Rodrigues, mestre em Direito Constitucional e sócio-fundador do Pisco & Rodrigues Advogados, avalia que a adulteração dos dados na plataforma pode levar os responsáveis a responderem por crimes cibernéticos cujas penas variam entre um e quatro anos de prisão.
"Agora, um aspecto que deve ser observado são as responsabilidades do iFood diante das empresas ali cadastradas. A política de manipulação dos dados deve ser constantemente atualizada para evitar esse tipo de prejuízo às lojas cadastradas no aplicativo, de modo que eventual quebra do protocolo possa gerar a responsabilização do próprio iFood frente aos restaurantes e lanchonetes", opina.
Na mesma linha, a advogada Sofia Rezende, especialista em LGPD do escritório Nelson Wilians Advogados, lembra que o dispositivo prevê a responsabilização solidária entre empresas contratantes e terceirizadas em situações de exposição e vazamento de dados. "Sabemos que a gestão de empresas parceiras, que acessam e manuseiam as bases de dados, é um ponto crítico. O que se recomenda às empresas contratantes, é que privilegiem a contratação de empresas adequadas à LGPD, que possuam programas robustos de Privacidade e Segurança da Informação", orienta.
Para a especialista, o ataque ao iFood mostra a 'imensa fragilidade dos processos de trabalho e medidas de segurança e privacidade envolvidas no tratamento de bases de dados pelas grandes companhias, suas parceiras de negócio e prestadoras de serviços'. Em sua avaliação, essas companhias precisam melhorar os processos de auditoria e treinamentos junto aos parceiros, restringindo o acesso às bases de dados ao estritamente necessário para a consecução do contrato.
"Quanto menos arquivos e sistemas um único usuário puder acessar, mais difícil será para ele abusar desse acesso. No entanto, esta medida também pode tornar o compartilhamento dos dados necessários mais difícil", conclui.
