Lei de Proteção de Dados prevê responsabilidade solidária entre empresa contratante e terceirizada em caso de vazamento, alertam especialistas após ataque aos sistemas do iFood

Lei de Proteção de Dados prevê responsabilidade solidária entre empresa contratante e terceirizada em caso de vazamento, alertam especialistas após ataque aos sistemas do iFood

Redação

04 de novembro de 2021 | 05h00

Alvo de um ataque que mudou nomes de restaurantes por mensagens de apoio ao presidente Jair Bolsonaro e por críticas à vacinação contra a covid-19, o iFood pode ser responsabilizado judicialmente por eventuais vazamentos de dados cadastrados na plataforma. A avaliação é da advogada Iara Peixoto Melo, especialista em Direito Digital e proteção de dados, com base na Lei Geral da Proteção de Dados (LGPD).

Em nota divulgada nesta quarta-feira, 3, o iFood disse que não há possibilidade de vazamento de dados financeiros de clientes já que ‘não armazena dados de cartões’ e que, portanto, ‘não é possível o vazamento dessas informações’. “Todos os dados financeiros são transmitidos e processados de forma anônima durante as transações”, afirma a plataforma.

A empresa também responsabilizou o funcionário de uma empresa prestadora de serviço de atendimento. De acordo com o iFood, ele tinha permissão para ajustar informações cadastrais dos restaurantes na plataforma e ‘o fez de forma indevida’.

Para a advogada do escritório Chenut Oliveira Santiago Advogados, a empresa terceirizada também poderá ser acionada na Justiça. “Com relação às eventuais medidas penais cabíveis, a situação deverá ser analisada para verificar se houve a configuração de algum tipo penal, como por exemplo invasão de dispositivo informático”, explica.

Ataque mudou nome dos restaurantes cadastrados no iFood. Foto: Reprodução

O advogado Joaquim Pedro de Medeiros Rodrigues, mestre em Direito Constitucional e sócio-fundador do Pisco & Rodrigues Advogados, avalia que a adulteração dos dados na plataforma pode levar os responsáveis a responderem por crimes cibernéticos cujas penas variam entre um e quatro anos de prisão.

“Agora, um aspecto que deve ser observado são as responsabilidades do iFood diante das empresas ali cadastradas. A política de manipulação dos dados deve ser constantemente atualizada para evitar esse tipo de prejuízo às lojas cadastradas no aplicativo, de modo que eventual quebra do protocolo possa gerar a responsabilização do próprio iFood frente aos restaurantes e lanchonetes”, opina.

Na mesma linha, a advogada Sofia Rezende, especialista em LGPD do escritório Nelson Wilians Advogados, lembra que o dispositivo prevê a responsabilização solidária entre empresas contratantes e terceirizadas em situações de exposição e vazamento de dados. “Sabemos que a gestão de empresas parceiras, que acessam e manuseiam as bases de dados, é um ponto crítico. O que se recomenda às empresas contratantes, é que privilegiem a contratação de empresas adequadas à LGPD, que possuam programas robustos de Privacidade e Segurança da Informação”, orienta.

Para a especialista, o ataque ao iFood mostra a ‘imensa fragilidade dos processos de trabalho e medidas de segurança e privacidade envolvidas no tratamento de bases de dados pelas grandes companhias, suas parceiras de negócio e prestadoras de serviços’. Em sua avaliação, essas companhias precisam melhorar os processos de auditoria e treinamentos junto aos parceiros, restringindo o acesso às bases de dados ao estritamente necessário para a consecução do contrato.

“Quanto menos arquivos e sistemas um único usuário puder acessar, mais difícil será para ele abusar desse acesso. No entanto, esta medida também pode tornar o compartilhamento dos dados necessários mais difícil”, conclui.

Comentários

Os comentários são exclusivos para assinantes do Estadão.