O site da Direct, uma das maiores operadoras logísticas de comércio eletrônico do país, expõe informações de clientes de várias lojas que vendem pela internet, como Americanas, Amazon e uma rede de lojas de decoração.
Há dados de 2015 a 2020. A prática é considerada ilegal.
Nome, endereço, telefone, valor da compra, data da remessa e informações de terceiros —nome e carteira de identidade do porteiro habilitado a receber a entrega— estão disponíveis no site da empresa a partir da busca pelo número do CPF e do CEP.
Procurada, a empresa diz que "as informações disponibilizadas no site da Direct são para consulta exclusiva dos clientes, que somente podem acessá-las por meio do preenchimento correto dos seus dados".
A Direct é da B2W, dona de marcas como Americanas.com, Submarino e Shoptime.
Segundo especialistas, a exposição infringe o Código de Defesa do Consumidor por gerar risco aos clientes, uma vez que qualquer pessoa pode acessar de modo relativamente fácil essas informações.
Com CPF e CEP de qualquer consumidor, é possível identificar as entregas já feitas: quando o cliente comprou, quanto pagou, quem recebeu e quando a entrega foi feita. Não dá para identificar o produto.
O artigo 14 do CDC determina que fornecedores de serviços podem responder, independentemente da existência de culpa, pela reparação dos danos ao consumidor.
Quem tiver nome exposto pode entrar em contato com as empresas para solicitar a exclusão dos dados disponíveis. Havendo prejuízo ou uso indevido, é possível e pedir indenização por danos morais.
O Direct tem dados de consumidores há, no mínimo, cinco anos. Quem já efetuou compra nas lojas parceiras pode ter o histórico de compras exposto.
Pela LGPD (Lei Geral de Proteção de Dados), que entra em vigor em sete meses, a empresa correria risco de ser punida pelo órgão regulador, assim como os lojistas, afirmam especialistas em privacidade.
“Quando a empresa desenha uma aplicação, como a que rastreia um pacote de encomenda, precisa pensar em como prevenir que ocorra dano à proteção de dados do consumidor”, diz Bruno Bioni, professor do Data Privacy Brasil.
A LGPD tem um capítulo específico sobre a responsabilidade civil que remete ao Código do Consumidor: segue a lógica de que a responsabilidade sobre o tratamento de dados é solidária entre os entes da cadeia comercial.
“O raciocínio é semelhante ao do mundo offline: quando um liquidificador explode, toda a cadeia pode ser responsabilizada”, explica Bioni.
Um cliente cujos dados estão expostos em uma parceira da loja onde ele fez uma compra pode ser indenizado por danos morais e/ou materiais.
“Um dos princípios da LGPD diz que todos os produtos tenham desde o começo a segurança. Não se deve expor dados desnecessários”, diz Adriano Mendes, advogado especialista em proteção de dados do escritório Assis e Mendes.
O consumidor que se sentir lesado pode procurar qualquer órgão integrante do sistema nacional de proteção do consumidor. Há canais de comunicação nos sites do Procon-SP, do Idec e da Proteste.
Comentários
Os comentários não representam a opinião do jornal; a responsabilidade é do autor da mensagem.