Transportadora de compras online expõe dados de clientes de redes
17 de janeiro de 2020Foto: Divulgação
O site da Direct, uma das maiores operadoras logísticas de ecommerce do país, expõe informações de clientes de várias lojas que vendem pela internet, como Americanas e Amazon. Há dados de 2015 a 2020. A prática é considerada ilegal.
Nome completo, endereço, telefone, preço pago pelo produto, data da remessa e informações de terceiros -nome e RG do porteiro habilitado a receber a entrega- estão disponíveis no site da companhia a partir da busca pelo número do CPF e do CEP.
A Direct é da B2W, empresa de comércio eletrônico dona de Americanas.com, Submarino e Shoptime.
Procurada, a empresa diz que “as informações disponibilizadas no site da Direct são para consulta exclusiva dos clientes, que somente podem acessá-las por meio do preenchimento correto dos seus dados”.
Segundo especialistas, a exposição infringe o Código de Defesa do Consumidor porque gera risco aos clientes. O artigo 14 também determina que o fornecedores de serviços podem responder, “independentemente da existência de culpa”, pela reparação dos danos causados aos consumidores.
As pessoas que tiveram seus nomes expostos podem entrar em contato com as empresas para solicitar a exclusão dos dados disponíveis. Havendo prejuízo ou uso indevido, é possível e pedir indenização por danos morais no Procon.
O site acumula dados de consumidores há, no mínimo, cinco anos. Quem já efetuou compra nas Americanas online, em grande empresa de decoração e na Amazon, que cessou contrato com a empresa em 2018, pode ter histórico de compras exposto na página da Direct.
A partir do CPF e do CEP de qualquer pessoa, é possível identificar as entregas já feitas: quando o consumidor comprou, quanto pagou, quem recebeu e quando recebeu.
Não é possível saber o produto, mas o site dá a ideia de quanto o titular do CPF gastou em determinada loja no último mês ou quantas compras realizou.
Pela LGPD (Lei Geral de Proteção de Dados), que entra em vigor em sete meses, a empresa provavelmente seria penalizada pelo órgão regulador, assim como os lojistas.
“É uma preocupação que todo mundo que processa dados tem que ter pela LGPD. Quando a empresa desenha uma aplicação, como a que rastreia um pacote de encomenda, precisa pensar em como prevenir que ocorra dano à proteção de dados dos consumidores”, diz Bruno Bioni, professor do Data Privacy Brasil.
A LGPD tem um capítulo específico sobre a responsabilidade civil que remete ao Código do Consumidor. Segue a lógica de que, via de rega, é uma responsabilidade solidária aos entes da cadeia de tratamento do dado.
“O raciocínio é semelhante ao do mundo off-line: quando um liquidificador explode, toda a cadeia pode ser responsabilizada”, acrescenta Bioni.
Nesse caso, clientes de lojistas que contrataram a Direct poderiam ser indenizados por danos morais e/ou materiais e o site poderia ficar seis meses com a atividade de tratamento de dados suspensa.
“Um dos princípios da LGPD diz que todos produtos tenham desde o principio a segurança. Não se deve expor dados desnecessários e nem seria preciso guardar dados do tipo por mais de 90 dias”, diz Adriano Mendes, advogado especialista em proteção de dados do escritório Assis e Mendes.
Apesar de CPF e CEP serem facilmente encontrados na internet – portanto não se tratam de uma barreira de acesso ao histórico de compras da Direct –, eles também não são considerados dados públicos.
Valedoitaunas/Com informações do FOLHAPRESS