SÃO PAULO, SP (FOLHAPRESS) - O site da Direct, uma das maiores operadoras logísticas de ecommerce do país, expõe informações de clientes de várias lojas que vendem pela internet, como Americanas, Amazon e TokStock. Há dados de 2015 a 2020.

Nome completo, endereço, telefone, preço pago pelo produto, data da remessa e informações de terceiros -nome e RG do porteiro habilitado a receber a entrega- estão disponíveis no site da companhia a partir da busca pelo número do CPF e do CEP.

A Direct é da B2W, empresa de comércio eletrônico dona de Americanas.com, Submarino e Shoptime.

Procurada, a empresa ainda não respondeu ao pedido da reportagem para comentar o caso.

O site acumula dados de consumidores há, no mínimo, cinco anos. Quem já efetuou compra na TokStock, nas Americanas online e na Amazon, que cessou contrato com a empresa em 2018, pode ter histórico de compras exposto na página da Direct.

Netshoes, Carrefour e Arezzo também aparecem como clientes da operadora no site. 

A partir do CPF e do CEP de qualquer pessoa, é possível identificar as entregas já feitas: quando o consumidor comprou, quanto pagou, quem recebeu e quando recebeu.

Não é possível saber o produto, mas o site dá a ideia de quanto o titular do CPF gastou em determinada loja no último mês ou quantas compras realizou.

Especialistas afirmam que, pela LGPD (Lei Geral de Proteção de Dados), que entra em vigor em sete meses, a empresa provavelmente seria penalizada pelo órgão regulador. Seus fornecedores, as lojas que contrataram o serviço da entrega, também precisariam responder.

"É uma preocupação que todo mundo que processa dados tem que ter pela LGPD. Quando a empresa desenha uma aplicação, como a que rastreia um pacote de encomenda, precisa pensar em como prevenir que ocorra dano à proteção de dados dos consumidores", diz Bruno Bioni, professor do Data Privacy Brasil. 

A LGPD tem um capítulo específico sobre a responsabilidade civil que remete ao Código de Defesa do Consumidor. Segue a lógica de que, via de rega, é uma responsabilidade solidária aos entes da cadeia de tratamento do dado.

"O raciocínio é semelhante ao do mundo off-line: quando um liquidificador explode, toda a cadeia pode ser responsabilizada", acrescenta Bioni. 

Nesse caso, clientes de lojistas que contrataram a Direct poderiam ser indenizados por danos morais e/ou materiais. 

"Um dos princípios da LGPD diz que todos produtos tenham desde o principio a segurança. Não se deve expor dados desnecessários e nem seria preciso guardar dados do tipo por mais de 90 dias", diz Adriano Mendes, advogado especialista em proteção de dados do escritório Assis e Mendes.

Segundo ele, a exposição já infringe artigos do Código de Defesa do Consumidor.

Apesar de CPF e CEP serem facilmente encontrados na internet, portanto não se tratam de uma barreira de acesso ao histórico de compras da Direct, eles também não são considerados dados públicos.