Na noite da última terça-feira (2), muita gente foi surpreendida quando procurava alguma comida para pedir no delivery do iFood. O app estava mostrando restaurantes com nomes bastante esquisitos, sendo que a maioria das identificações dos estabelecimentos foi trocada por termos com conotação política.
No início da tarde da quarta-feira (3), a empresa confirmou que foi vítima de uma ação interna. Ou seja, um funcionário de uma empresa prestadora de serviço foi o responsável por trocar as informações cadastrais dos restaurantes.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
De acordo com a marca, cerca de 6% das lojas de alimentação foram afetadas. O valor indica que pelo menos 16 mil lojas de alimentação tiveram seus nomes trocados, já que, de acordo com a própria empresa, ela tem cerca de 270 mil restaurantes parceiros no Brasil.
Galeria 1
O caso reacendeu uma discussão sobre a relação entre empresas de tecnologia e sua terceirizadas. Apesar de as empresas contratadas terem acesso aos dados dos clientes, não há muita transparência para os consumidores.
No caso desta semana do iFood, muita gente ficou com receio de ter seus dados de cartão de crédito vazados, por exemplo. No Twitter, vários usuários chegaram a dizer que estavam excluindo as informações do cartão da plataforma de delivery.
Recomendo a todos excluir o cartão salvo no ifood, estão invadindo o site.
— Fábio R. (@fabioirodrigues) November 3, 2021
Ifood nesse momento (pelo menos aqui em Natal). Algum fã do Bolsonaro (ou daquele podcaster lá). Diversos restaurantes (especialmente pequenos) e entregadores vão sair no prejuízo nesta noite. Sugiro excluir o cartão salvo por enquanto pic.twitter.com/FvjZxys28b
— Mr Lawful (@MrLawful) November 3, 2021
URGENTE: Hackearam as contas dos restaurantes locais no ifood. Importante excluir os dados de cartão de crédito do app e mudar a senha. pic.twitter.com/no6RgB1BgK
— Saulo Spinelly (@saulospinelly) November 3, 2021
As terceirizadas e os dados dos clientes
Thiago Ayub, diretor de Tecnologia da Sage Networks, empresa especializada em Cibersegurança, pontua ao TecMundo que, no processo também chamado de outsourcing (terceirização), as companhias contratadas podem ter acesso a todos os dados dos clientes.
"Um exemplo fácil de reconhecer são as empresas de telecomunicações, água e gás encanados, energia elétrica e cartões de crédito: quase sempre ao entrarmos em contato por internet ou telefone nós somos atendidos por um funcionário terceirizado que em tela vê todos os nossos dados cadastrais para nos atender", diz Ayub.
O especialista cita a Atento SA, que recentemente foi vítima de um ataque ransomware, que é uma das maiores marcas de contact center do mundo. Ela atua, basicamente, como empresa terceirizada no atendimento ao cliente e, por causa disso, está o tempo todo lidando com informações sensíveis de pessoas que assinam ou compraram algum produto de um cliente final.
É possível garantir transparência aos clientes?
Ayub pontua que as relações entre empresas privadas são igualmente privativas e que por isso não há obrigação legal de que elas informem publicamente quem são seus fornecedores. Além disso, mesmo que os clientes se engajem em um processo de fiscalização, as chamadas terceirizantes (que contratam os serviços) continuam sendo responsáveis juridicamente sobre o tratamento das informações sensíveis dos clientes.
"Terceirização é quase a regra, não a exceção".
O diretor de tecnologia defende, inclusive, que mais transparência não protegeria as pessoas de novos incidentes como o que aconteceu com o iFood nesta semana. "O importante a se entender sobre o assunto é que a terceirização é quase a regra, não a exceção. Nossos dados pessoais sempre serão tratados por mão-de-obra terceirizada", afirmou.
Ele defende, contudo, que os consumidores precisam se conscientizar sobre a importância de seus próprios dados. Além disso, o especialista afirma que as pessoas devem criar o hábito de se recusarem a entregar os dados que não são necessários para companhias que oferecem produtos ou serviços.
"Por exemplo, se a empresa não vai entregar alguma encomenda na sua casa nem fazer uma cobrança em cartão de crédito, por que ela precisa do seu endereço residencial? Ao não provê-lo num exemplo como esse, estamos nos protegendo ao reduzir a chance de um vazamento", disse.
E a LGPD?
Para tentar tornar mais claras as obrigações de empresas que tratam de dados sensíveis de clientes, foi implementada no Brasil a Lei Geral de Proteção de Dados Pessoais (LGPD). Inspirada pelo Regulamento Geral sobre a Proteção de Dados (GDPR, em inglês), da Europa, a norma brasileira entrou em vigor em setembro do ano passado (mesmo tendo sido aprovada em 2018), já que a ideia era dar um tempo para que os empreendimentos se adequassem.
O texto da Lei Nº 13.709/2018, que rege sobre a LGPD, também criou a Autoridade Nacional de Proteção de Dados (ANPD), que tem poder de multar e aplicar sanções a quem descumprir regras de anonimização e consentimento das informações dos usuários.
"Antes da LGPD as empresas não sabiam e não tinham um limite claro estabelecido do que podia ou não podia ser feito com os dados dos clientes. Por isso, a maior parte delas não tinha nenhum cuidado com os dados coletados pelos seus sistemas e os vazamentos acabavam acontecendo sistematicamente sem nenhuma penalidade. Hoje, graças à LGPD, esse cenário já mudou um pouco", diz Félix Schultz, CEO da Milvus, empresa de tecnologia e segurança da informação.
Apesar disso, ele afirma que a lei sozinha não é e nem será o suficiente para garantir que as informações dos clientes sejam preservadas. De acordo com Schultz, é preciso que uma "nova consciência sobre o uso de dados seja implementada nas empresas e nos seus colaboradores".
Como saber se as empresas estão seguindo a LGPD?
O executivo reforça o ponto que, assim que os dados são entregues para um terceirizado, é difícil que até mesmo a terceirizante tenha controle de como as informações estão sendo manipuladas. Sobre isso, ele pontua que os empreendimentos poderiam manter a custódia dos dados e dar acesso controlado às terceirizadas, por exemplo.
"Outra ferramenta que pode apoiar é a IA (Inteligência Artificial), que poderia ter notado — no caso do iFood — uma ação fora do padrão de um determinado usuário que fez alteração em massa nos nomes dos restaurantes. Quando identificada uma ação fora do comum, a IA poderia notificar rapidamente o próprio DPO [Data Protect Officer, profissional responsável pelo controle e gestão de dados em uma companhia], que irá tomar as providências cabíveis", afirmou.
Schultz sustenta que casos como o do iFood podem, sim, resultar em multas, tendo em vista que a ANPD já está fiscalizando as atividades das empresas brasileiras. Ele lembra, por exemplo, da construtora Cyrela, que foi multada em R$ 10 mil por infringir regras de proteção de dados que estão explícitas na LGPD. Por último, o executivo diz que é essencial fortalecer o órgão fiscalizador para permitir que novas denúncias sejam mais facilmente averiguadas.
E o que diz o iFood?
O TecMundo entrou em contato com o iFood para entender quais atitudes foram tomadas para evitar que novos casos de um "ataque interno" ocorram. A empresa preferiu não comentar detalhes sobre o relacionamento com as terceirizadas, explicando somente que "tomou todas as medidas necessárias e a segurança dos dados cadastrais dos estabelecimentos, consumidores e entregadores foi preservada".
A marca já havia informado que o acesso da prestadora de serviço — que empregava o funcionário que alterou o nome dos restaurantes — foi interrompido. Depois do caso, a empresa informou ao g1 que reembolsará todas as lojas de alimentação que foram prejudicadas pelo "ataque", já que essa foi uma demanda da Associação Brasileira de Bares e Restaurantes (Abrasel).
Para tranquilizar os clientes, o iFood destaca que não armazena dados de cartões e que, portanto, não é possível que essas informações vazem. "Todos os dados financeiros são transmitidos e processados de forma anônima durante as transações feitas pelo consumidor com o estabelecimento", ressaltou a companhia.
Política de segurança
Em nota, o iFood também divulga um site institucional que explica com mais detalhes a sua política de privacidade. Na página, que foi atualizada pela última vez em 9 de abril, há quase sete meses, é mostrado que um usuário entrega para a plataforma dados como nome, CPF, e-mail, endereço de entrega e número de telefone quando faz um cadastro. Na navegação, o aplicativo também captura informações como data e horário de acessos, buscas, visualizações, data e hora do pedido e valor cobrado.
A companhia diz que coleta os dados dos clientes para prover o serviço, para que seja possível avaliar os restaurantes, para segurança e prevenção à fraude, enviar comunicações, oferecer suporte, entre outras justificativas.
Mais para o meio do site, a empresa cita as terceirizadas. "Por razões de processamento de dados em nome do iFood, poderemos compartilhar dados com terceiros prestadores de serviços. Nesse caso, os dados serão tratados de forma a proteger a sua privacidade, tendo essas empresas o dever contratual de garantir proteção compatível com a legislação aplicável e com os termos desta Declaração de Privacidade do iFood", diz trecho do texto.
Apesar de ser positiva a existência de uma página do iFood contendo a política de privacidade, ainda há dúvidas. O site não deixa claro como é feito o tratamento dos dados pelas terceirizadas, por exemplo.
Como dito pelos especialistas, a relação entre empresas e terceirizadas nunca será completamente transparente. Portanto, neste cenário, cabe aos consumidores se conscientizarem sobre quais informações estão entregando para prestadoras de serviço.