Transportadora expõe dados de clientes de ecommerce
Site de empresa de entrega dá nome e endereço de consumidor e até RG do porteiro que receberá encomenda
SÃO PAULO O site da Direct, uma das maiores operadoras logísticas de comércio eletrônico do país, expõe informações de clientes de várias lojas que vendem pela internet, como Americanas, Amazon e uma rede de lojas de decoração.
Há dados de 2015 a 2020. A prática é considerada ilegal.
Nome, endereço, telefone, valor da compra, data da remessa e informações de terceiros —nome e carteira de identidade do porteiro habilitado a receber a entrega— estão disponíveis no site da empresa a partir da busca pelo número do CPF e do CEP.
A Direct é da B2W, dona de marcas como Americanas. com, Submarino e Shoptime.
Procurada, a empresa disse que as informações disponibilizadas no site são para consulta exclusiva dos clientes e que só podem ser acessadas após a informação correta de seus dados.
Segundo especialistas, a exposição infringe o Código de Defesa do Consumidor por gerar risco aos clientes, uma vez que qualquer pessoa pode acessar de modo relativamente fácil essas informações.
Com CPF e CEP de qualquer consumidor, é possível identificar as entregas já feitas: quando o cliente comprou, quanto pagou, quem recebeu e quando foi feita. Não dá para identificar o produto.
O artigo 14 do CDC determina que fornecedores de serviços podem responder, independentemente da existência de culpa, pela reparação dos danos ao consumidor.
Quem tiver nome exposto pode entrar em contato com as empresas para solicitar a exclusão dos dados disponíveis. Havendo prejuízo ou uso indevido, é possível pedir indenização por danos morais.
OD irectt em dados de consumidores há, no mínimo, cinco anos. Quem já efetuou compra nas lojas parceiras pode ter o histórico de compras exposto.
Pela LGPD (Lei Geral de Proteção de Dados), que entra em vigor em sete meses, a empresa correria risco de ser punida pelo órgão regulador, assim como os lojistas, afirmam especialistas em privacidade.
“Quando a empresa desenha uma aplicação, como a que rastreia um pacote de encomenda, precisa pensar em como prevenir que ocorra dano à proteção de dados do consumidor”, diz Bruno Bioni, professor do Data Privacy Brasil.
ALGPD tem um capítulo específicos obre a responsabilidade civil que remete ao Código do Consumidor: segue alógica de que a responsabilidade sobre o tratamento dedado sé solidária entre o sentes da cadeia comercial.
“O raciocínio é semelhante ao do mundo offline: quando um liquidificador explode, toda a cadeia pode ser responsabilizada”, explica Bioni.
Um cliente cujos dados estão expostos em uma parceira da loja onde ele fez uma compra pode ser indenizado por danos morais e/ou materiais.
“Um dos princípios da LGPD diz que todos os produtos tenham desde o começo a segurança. Não se deve expor dados desnecessários”, diz Adriano Mendes, advogado especialista em proteção de dados do escritório Assise Mendes.
O consumidor que se sentir lesado pode procurar qualquer órgão integrante do sistema nacional de proteção do consumidor. Há canais de comunicação nos sites do Procon-SP, do Idec e da Proteste.