No dia 02 de novembro de 2021, muitas pessoas verificaram (e foi noticiado em sites especializados) a alteração dos nomes de diversos restaurantes no aplicativo iFood.
A empresa esclareceu que as alterações foram realizadas por meio de login e senha de um prestador de serviços terceirizado e que não teria ocorrido o acesso indevido ou outro incidente com os dados pessoais dos usuários (clientes e entregadores da plataforma).
Ainda que não tenha ocorrido incidente com dados pessoais (mas com dados não pessoais, das pessoas jurídicas fornecedoras de produtos no aplicativo), o fato demonstra a necessidade da definição adequada de perfis de acesso e de outras medidas preventivas de segurança da informação nos sistemas usados por controladores e operadores.
Na Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), entre os princípios de tratamento de dados pessoais está o princípio da segurança, que é assim definido pelo art. 6º, VII, da LGPD: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.
Os agentes de tratamento têm o dever de adoção de boas práticas de segurança da informação, ou seja, de medidas técnicas e administrativas para preservar a segurança da informação dos dados pessoais tratados em todo o seu ciclo de vida e em todas as operações efetivadas sobre eles.
Por exemplo, o incidente teria ocorrido se a mudança do nome cadastrado pelo próprio restaurante pudesse ser realizada por um prestador de serviços terceirizado, sem qualquer verificação por um empregado do próprio controlador? Que outras modificações podem ser realizadas pelo funcionário terceirizado, ou seja, de uma prestadora de serviços (logo, operadora dos dados pessoais da controladora iFood), que tinha um perfil de acesso que permitiu a modificação dos nomes dos restaurantes no aplicativo? Essa prestadora de serviços terceirizada está adequada à LGPD e a sua relação contratual com o iFood foi atualizada após a entrada em vigor da LGPD? Houve ações educativas e treinamento dos colaboradores do controlador e do operador?
A preocupação com o respeito aos direitos dos titulares de dados pessoais reflete também sobre o acesso aos sistemas informatizados, com perfis diferenciados de acesso, a fim de evitar a ocorrência de incidentes.
