O que fazer em caso de vazamento de dados pessoais?O que é ANPD? [Autoridade Nacional de Proteção de Dados]
Segundo a mensagem, a vulnerabilidade aconteceu porque um dos prestadores de serviços do McDonald’s “sofreu um incidente que permitiu o acesso não autorizado a dados pessoais de alguns de nossos clientes”. A companhia ressalta que dados sensíveis não foram expostos. De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), esta classificação é dada àqueles que revelam informações raciais, étnicas, religiosas, filosóficas, políticas, genéticas, biométricas, de saúde ou de vida sexual. O McDonald’s disponibilizou os e-mails do seu SAC ([email protected]) e de um setor dedicado à LGPD ([email protected]) para quem tiver dúvidas. Ao Tecnoblog, a assessoria de imprensa do McDonald’s enviou o seguinte comunicado: Não é o primeiro incidente de segurança envolvendo o McDonald’s de que se tem notícia. Em 2019, o site The Hack revelou que uma prestadora de serviços deixou expostos mais de 2,3 milhões de registros sensíveis da rede de restaurantes, sendo mais de 1 milhão de informações pessoais de funcionários.
LGPD obriga empresa a avisar clientes
Como explica Adriano Mendes, advogado especialista em direito digital, o comunicado do McDonald’s faz parte dos procedimentos previstos na LGPD. Mendes recomenda que os clientes que receberam o e-mail fiquem um pouco mais alertas que o normal com relação a mensagens de promoções e campanhas, a ligações telefônicas e ao uso do cartão de crédito. O advogado destaca que esses dados provavelmente vazaram em incidentes anteriores envolvendo outras bases, portanto não há muita novidade para criminosos. Também é difícil conseguir indenizações em casos assim, ele explica. “O entendimento da justiça vem sendo de que compensações só devem ser pagas se for possível comprovar o prejuízo sofrido e a ligação com o vazamento.” O advogado ressalta que a LGPD segue o princípio do mínimo necessário: coletar o menor número possível de informações para prestar um serviço. “Será que todos estes dados eram necessários para o McDonald’s? Nome, endereço, telefone, CPF, e-mail e endereço são necessários para fazer uma entrega. E estado civil? Era necessário?”, comenta o advogado. “A empresa pode ter escorregado aqui, e a ANPD pode entender como coleta excessiva. Isso pode ser um agravante.” A investigação da ANPD vai apurar a responsabilidade do McDonald’s no episódio. Mendes comenta que a questão é saber se foram tomadas medidas de precaução corretas para evitar incidentes do tipo ou se a empresa poderia ter feito algo a mais.
