Uma vez que a empresa informou não ter havido violação de dados pessoais, vários especialistas se concentraram apenas na relação comercial da plataforma com os restaurantes, que teriam sofrido prejuízo, dando por não infringida a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).

Alertamos entretanto que fatos desta natureza não dispensam auditoria por parte das autoridades, nem indicam não haver violação de dados; ao contrário, suscitam suspeitas acerca da existência de importantes vulnerabilidades e irregularidades no tocante à proteção de dados pessoais, que merecem investigação, porquanto o mero acesso desnecessário a dados pessoais, ainda que não tenham sido adulterados, representaria violação da LGPD.

Segundo noticiado pela imprensa, o PROCON do município do Rio de Janeiro, num processo investigativo, notificou a empresa para fornecer diversas informações, dentre elas informações acerca de compartilhamento de dados com terceiros. Não tendo respondido à notificação, o iFood foi multado em mais de um milhão e meio de reais.

Destacamos aqui alguns aspectos específicos, relativamente ao regime jurídico da proteção de dados pessoais. 

A LGPD prevê que violações de dados pessoais, no âmbito de relações de consumo, podem ser sancionadas com fundamento no Código de Defesa do Consumidor.   

Por outro lado, a ausência de resposta a uma notificação num procedimento destinado a apurar violação de dados pessoais agrava a conduta da empresa. O princípio da accountability impõe não somente que o agente de tratamento implemente medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou ilícitos, ainda que acidentais, como exige que ele seja capaz de demonstrar a implementação destas medidas e a sua aptidão de eficácia. Afinal, a tônica do princípio do privacy by design é a eficácia das medidas de proteção da privacidade, que devem ser implementadas desde a concepção do tratamento de dados, ou seja, não atende à legislação a adoção de medidas que não sejam aptas ao fim visado, tampouco que não assegurem um nível de proteção aos dados que seja proporcional ao risco que o tratamento representa para os direitos dos titulares destes dados.

Além disso, de pouco ou nada vale a recusa em prestar as informações. A Autoridade Nacional de Proteção de Dados – ANPD tem poderes para solicitar documentos físicos e digitais; para ter acesso direto às instalações, equipamentos, aplicativos, sistemas, ferramentas, recursos tecnológicos documentos e informações de natureza técnica e operacional, em poder da empresa ou de terceiros; para ter conhecimento das informações de rastreabilidade dos sistemas utilizados; para realizar auditorias etc.

Em outros termos, a lei outorgou à ANPD competência para acessar diretamente as informações necessárias para a investigação e a proteção dos direitos dos titulares dos dados e ela tem firmado protocolos de cooperação técnica com diversos entes, inclusive de proteção do consumidor, como o SENACOM.

Vale ressaltar que, neste tipo de situação, em havendo violação de dados pessoais, os restaurantes e lanchonetes que contratam a plataforma são responsáveis (Controladores) perante os seus clientes/titulares de dados e perante a ANPD, de modo que devem estabelecer em contrato o modo como a plataforma deve tratar os dados pessoais, definindo ainda as responsabilidades de cada parte, e realizar auditorias periódicas para a fiscalização do contrato.

A plataforma pode assumir a posição jurídica de Operadora ou de co-Controladora, dependendo do grau de autonomia e do papel que desempenha em cada operação de tratamento de dados.

Em qualquer dos casos, é aconselhável que as regras que regem a relação, no tocante a tratamento de dados pessoais, sejam definidas em contrato.

A inexistência de um instrumento contratual não corresponde a uma “boa prática” nos termos da Lei, é interpretada como negligência ou mesmo má fé dos agentes de tratamento de dados e contribui para agravar uma eventual sanção a ser aplicada.