Consumidores que fizeram compras nos sites Americanas.com, Submarino, Shoptime e Sou Barato tiveram seus dados expostos na página da internet do Direct, responsável pela entrega dos produtos, nos últimos anos. Tanto a empresa quanto as marcas são propriedades da companhia de comércio eletrônico B2W Digital.
Leia também: Como comprar em sites internacionais sem segredo
No site da Direct era possível saber informações sobre compras feitas nas lojas virtuais destas marcas por qualquer pessoa. Basta digitar o número do CPF e do CEP.
O R7 teve acesso aos dados de um cliente que viu sua lista de compras detalhada no Direct desde 2016.
Confira:
Na terça-feira (21), no entanto, ao pesquisar os dados para publicar a reportagem, o R7 viu que os dados foram fechados. No entanto, não é possível dizer que a solução é permanente.
A redação contatou a empresa no dia 16 de janeiro relatando o problema.
Como funcionava?
Ao optar por digitar o CPF e não o número de remessa na primeira página, o consumidor conseguia descobrir:
• Nome completo;
• Endereço;
• Telefone;
• Preço do produto;
• Data da remessa; e
• Quem recebeu o produto com o nome e RG, além da assinatura
Advogados ouvidos pelo R7 consideram a exposição ilegal e arriscada para o consumidor. “
É muito fácil, hoje em dia, conseguir o CPF e CEP de qualquer pessoa. Expor o meu telefone celular, por exemplo, é uma invasão de privacidade. Tornar público meu endereço, data de entrega e o valor do produto que eu comprei pode me colocar em risco”, diz Alexandre Berthe Pinto, advogado especialista em direito do consumidor.
O advogado, que atua com frequência em casos de fraude, afirma que a maioria delas inicia com o acesso facilitado a informações básicas da vítima.
“Com os meus dados em mãos, a pessoa pode muito bem ligar para o Submarino e pedir para trocar o endereço de entrega, por exemplo”, diz.
A advogada Maria Inês Dolci, especialista na defesa do consumidor, concorda com Berthe sobre a fragilidade do sistema utilizado pela Direct e diz que tornar dados públicos infringe o CDC (Código de Defesa do Consumidor).
“O caso da Direct mostra a vulnerabilidade existente em relação ao processamento das informações do cliente. Ao acessar poucas páginas é possível ver tudo. As pessoas reclamam de celular clonado, por exemplo, mas isso acontece quando há acesso aos seus dados”, afirma Maria Inês.
Leia também: Governo quer coibir pirataria em comércio eletrônico
A advogada destaca que a nova Lei de Proteção de Dados, que entrará em vigor em agosto deste ano, também vem fortalecer o uso de informações pessoais nas relações, principalmente no mundo digital.
“A nova lei defende a transparência na coleta de dados, no compartilhamento e no processamento, inclusive no meio digital. Todos as informações precisam estar seguras e é necessário ter o controle, principalmente nos casos de compras digitais. ”
No caso do Direct, a advogada destaca que o simples fato de qualquer pessoa poder acompanhar o rastreamento do pedido do cliente pode permitir o desvio ou fraude, trocar o produto antes de chegar ao destino, por exemplo.
“A empresa tem de ser responsável por armazenar as informações que chegam no site e protegê-las. Quando isso não ocorre, a lei estabelece o ressarcimento individual e coletivo. A ré pode, inclusive, receber multa”, explica Maria Inês.
Leia também: CPF/CNPJ passa a ser obrigatório em compras internacionais
Mesmo antes de a Lei de Proteção de Dados entrar em vigor, o consumidor já está amparado pela Constituição Federal e pelo CDC, ressalta a advogada.
“A exposição desses dados viola a intimidade da vida privada. Tanto a Constituição quanto o CDC destacam a importância de se respeitar a vida privada. O CDC fala bastante sobre a harmonização das relações de consumo em vários artigos”, conta Maria Inês.
A Direct deve providenciar rapidamente o fechamento dessas informações e o consumidor que se sentir lesado pode, inclusive, entrar com ação na Justiça. “Para isso é preciso ter provas. Tirar foto do passo a passo, por exemplo, para mostrar a exposição dos dados sem a sua autorização. ”
A advogada aconselha o consumidor que teve seus dados expostos a entrar em contato com a Direct e pedir a retirada deles do site imediatamente.
Leia também: Por que usar dinheiro vivo é uma forma de gastar menos
O advogado Renato Falchet Guaracho, especialista em direito empresarial, ainda ressalta que o compartilhamento de informações por questão de uma parceria não é ilegal, mas a exposição dos dados pode tornar a marca que comercializou os produtos corresponsável pelo dano causado.
“O consumidor pode ingressar com uma ação incluindo as duas empresas como ré: Americanas.com e Direct, por exemplo”, orienta.
Outro lado
Procurada, a B2W, detentora das marcas Americanas.com, Submarino, Shoptime, Sou Barato e da Direct, enviou a seguinte nota:
“As informações disponibilizadas no site da Direct são para consulta exclusiva dos clientes, que somente podem acessá-las por meio do preenchimento correto dos seus dados. Além disso, a companhia vem investindo constantemente em tecnologia para garantir a proteção das informações de clientes e parceiros".