Um vazamento de dados de grandes proporções ocorrido em março afetou a plataforma brasileira James Delivery e mais 13 companhias de setores variados. Ao todo 132.957.579 de usuários do mundo todo foram expostos em um banco de dados que começou a ser vendido por criminosos em junho deste ano por valores que vão de US$ 100 a US$ 1.100, de acordo com o Binary Defense.
Quanto ao James Delivery, constam, no total, informações de cerca de 1,5 milhão de perfis, incluindo endereços de e-mail, senhas e localizações. Procurada pela equipe do TecMundo, a empresa afirma que "segurança é um tema prioritário para a companhia", complementando possuir "uma rigorosa política interna de segurança da informação, com um time totalmente dedicado, responsável por realizar atualizações frequentes em seus sistemas." A preocupação não é à toa.
Companhia brasileira James Delivery é afetada por vazamento de dados.Fonte: Reprodução
Luís Fernando Prado, advogado especializado em Direito Digital, Privacidade e Proteção de Dados, explicou à nossa equipe que, com a Lei Geral de Proteção de Dados (LGPD) vigente, existem algumas ações que devem ser tomadas, previstas pela legislação – ainda que não se apliquem necessariamente a essa situação, que demandaria uma análise mais aprofundada.
"No caso de vazamentos de dados, uma empresa precisa comunicar o fato aos titulares afetados e explicar o que ocorreu e o que está fazendo para minimizar as consequências dessa exposição. Dar uma satisfação. Está na Lei, é uma obrigação legal. Ainda que não fosse, estudos demonstram que empresas, quando são mais transparentes e proativas nessa comunicação, acabam sofrendo menos danos reputacionais e até na esfera regulatória", conta.
"Se [a situação] sujeita as pessoas a risco, é preciso notificar a autoridade nacional de proteção de dados, que poderá abrir uma investigação administrativa para entender o que aconteceu", complementa.
O ideal é que usuários sejam informados de casos como esse.Fonte: Pexels
Cada caso é um caso
Para tranquilizar seus usuários, o James Delivery informa que, "diante de rotinas diárias de prevenção e a qualquer indício de eventual fragilidade, a empresa atua imediatamente, a fim de mitigar possíveis danos e promover melhorias nos controles já existentes", informando, também, que "dados financeiros e bancários não são armazenados nas bases de dados da empresa e que senhas são criptografadas de maneira segura." De qualquer modo, a LGPD ainda não exerceria poder sobre o ocorrido.
"A empresa ficaria sujeita a sanções, mas está previsto que só entrem em vigor em agosto do ano que vem, contemplando multas, exclusão de dados, publicação do acontecimento em meios de grande circulação e outras. Mas isso só vale a partir desse período", conta Luís Fernando. Mesmo assim, a companhia não está livre de possíveis ações judiciais movidas por seus consumidores. "Teria de ver se, de fato, houve algum dano a ser indenizado. É caso a caso", salienta.
Cabe às empresas avaliarem os riscos.Fonte: Pexels
Por fim, sendo o fato anterior à LGPD, nada dela se aplica ao vazamento, o que serve de alerta a futuros eventos semelhantes. "A obrigação de comunicar vazamentos a titulares de dados e autoridades se aplica a incidentes que possam causar danos, com risco relevante. No caso de incidentes, empresas têm de, primeiramente, verificar o teor das informações vazadas. Se envolver dados de endereços, financeiros e de saúde, ativaria esse mecanismo", destaca o advogado.
"Por outro lado, se é um incidente menor, por exemplo, vazou uma base de dados criptografada ou apenas dados estatísticos ou muito simples, não há tanta relevância para a LGPD. Cabe à empresa avaliar e determinar como agir", finaliza, algo que, segundo a declaração oficial do James Delivery, está em andamento.
"Com relação ao tema relatado, a empresa informa que iniciou uma investigação interna para apuração dos fatos, e que está em comunicação com as autoridades competentes para a condução dos devidos processos de investigação que se façam necessários", afirma a plataforma.
Leia também:
Fontes
Categorias