Vazamento de dados de clientes do McDonald’s inclui e-mail, CPF e telefone

McDonald’s diz que incidente de segurança com prestador de serviços permitiu acesso não autorizado a dados pessoais de clientes

Giovanni Santa Rosa
Por
• Atualizado há 1 ano
Restaurante do McDonald’s (Imagem: Visual Karsa/Unsplash)
Restaurante do McDonald’s (Imagem: Visual Karsa/Unsplash)

Clientes do McDonald’s receberam um e-mail neste domingo (17) avisando que alguns de seus dados podem ter sido expostos. Na lista, estão nome, estado civil, endereço, e-mail, CPF e número de telefone.

Segundo a mensagem, a vulnerabilidade aconteceu porque um dos prestadores de serviços do McDonald’s “sofreu um incidente que permitiu o acesso não autorizado a dados pessoais de alguns de nossos clientes”.

A companhia ressalta que dados sensíveis não foram expostos. De acordo com a Lei Geral de Proteção de Dados Pessoais (LGPD), esta classificação é dada àqueles que revelam informações raciais, étnicas, religiosas, filosóficas, políticas, genéticas, biométricas, de saúde ou de vida sexual.

O McDonald’s disponibilizou os e-mails do seu SAC (sac@sacmcdonlads.com.br) e de um setor dedicado à LGPD (privacidade.lgpd@br.mcd.com) para quem tiver dúvidas.

Ao Tecnoblog, a assessoria de imprensa do McDonald’s enviou o seguinte comunicado:

A Arcos Dorados, empresa que opera os restaurantes McDonald’s na América Latina e Caribe, esclarece que um dos nossos prestadores de serviços sofreu um incidente, que permitiu o acesso não autorizado a dados pessoais não sensíveis de alguns clientes da rede no Brasil. Ao tomarmos conhecimento do ocorrido, adotamos as medidas cabíveis, bem como comunicamos a Autoridade Nacional de Proteção de Dados (ANDP) e os clientes possivelmente impactados. A Arcos Dorados repudia esta atividade criminosa e trabalha continuamente para reforçar as medidas de proteção dos dados pessoais dos seus clientes. Lamentamos a situação e disponibilizamos canais de comunicação para esclarecer quaisquer dúvidas dos consumidores.

Não é o primeiro incidente de segurança envolvendo o McDonald’s de que se tem notícia. Em 2019, o site The Hack revelou que uma prestadora de serviços deixou expostos mais de 2,3 milhões de registros sensíveis da rede de restaurantes, sendo mais de 1 milhão de informações pessoais de funcionários.

LGPD obriga empresa a avisar clientes

Como explica Adriano Mendes, advogado especialista em direito digital, o comunicado do McDonald’s faz parte dos procedimentos previstos na LGPD.

“O artigo 48 determina que a empresa que tem o banco de dados é obrigada a comunicar a ANPD e o titular sempre que um incidente de segurança de informação que acarrete risco para ele. O que o McDonald’s fez não foi nada mais do que seguir a lei: identificou um incidente e está comunicando.”

Mendes recomenda que os clientes que receberam o e-mail fiquem um pouco mais alertas que o normal com relação a mensagens de promoções e campanhas, a ligações telefônicas e ao uso do cartão de crédito.

O advogado destaca que esses dados provavelmente vazaram em incidentes anteriores envolvendo outras bases, portanto não há muita novidade para criminosos.

Também é difícil conseguir indenizações em casos assim, ele explica. “O entendimento da justiça vem sendo de que compensações só devem ser pagas se for possível comprovar o prejuízo sofrido e a ligação com o vazamento.”

O advogado ressalta que a LGPD segue o princípio do mínimo necessário: coletar o menor número possível de informações para prestar um serviço.

“Será que todos estes dados eram necessários para o McDonald’s? Nome, endereço, telefone, CPF, e-mail e endereço são necessários para fazer uma entrega. E estado civil? Era necessário?”, comenta o advogado. “A empresa pode ter escorregado aqui, e a ANPD pode entender como coleta excessiva. Isso pode ser um agravante.”

A investigação da ANPD vai apurar a responsabilidade do McDonald’s no episódio. Mendes comenta que a questão é saber se foram tomadas medidas de precaução corretas para evitar incidentes do tipo ou se a empresa poderia ter feito algo a mais.

Relacionados

Escrito por

Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Temas populares