O iFood confirmou um vazamento que atingiu cerca de 1,2 milhão de usuários da plataforma em dezembro de 2025. Segundo a empresa, foram expostas apenas informações cadastrais, como nome e CPF, sem comprometimento de senhas, dados bancários ou meios de pagamento.
A companhia disse ainda que não realizou comunicação formal sobre o incidente por entender que não representava risco ou dano relevante aos usuários, ressaltando que segue adotando medidas de proteção e atuando em conformidade com a Lei Geral de Proteção de Dados (LGPD).
Para Pedro Mendonça, professor de Direito da Universidade Anhembi Morumbi, a minimização dos potenciais riscos do vazamento é equivocada, já que as informações podem resultar na prática de crimes. “Nome e CPF, ainda que não sejam dados sensíveis, já bastam, por exemplo, para abertura de contas, contratação de crédito em nome da vítima e golpes que envolvam engenharia social”, avalia.
O especialista acrescenta que o vazamento se soma a outros incidentes similares recentes, criando um amplo mercado ilícito de dados da população. “Ou seja, ainda que o vazamento agora se limite às informações indicadas pelo iFood, elas podem ser cruzadas com outros dados já disponíveis, ampliando o potencial lesivo ao longo do tempo”, afirma.
Como deve agir quem se sentir prejudicado?
- Preservar provas, como prints, e-mails e registros de tentativas de golpe, além de monitorar o CPF por meio de ferramentas como o Registrato, do Banco Central, e os birôs de crédito;
- Registrar uma reclamação junto à ANPD, que pode instaurar procedimento de apuração e aplicar sanções;
- Buscar reparação por danos materiais e morais na esfera cível, caso haja prejuízo;
- Na esfera penal, é recomendável registrar boletim de ocorrência sempre que houver fraude ou indícios de utilização indevida dos dados para a prática de crimes.
Como confiar que os demais dados, como informações bancárias, não foram afetados?
Segundo Mendonça, a rigor, não se trata de confiança, mas de comprovação. A negativa é autodeclaratória, baseada na apuração realizada pela própria empresa. Isso significa que cabe ao controlador demonstrar a efetividade das medidas de segurança adotadas e a extensão real do incidente.
