O iFood confirmou um vazamento que atingiu cerca de 1,2 milhão de usuários da plataforma em dezembro de 2025. Segundo a empresa, foram expostas apenas informações cadastrais, como nome e CPF, sem comprometimento de senhas, dados bancários ou meios de pagamento.

A companhia disse ainda que não realizou comunicação formal sobre o incidente por entender que não representava risco ou dano relevante aos usuários, ressaltando que segue adotando medidas de proteção e atuando em conformidade com a Lei Geral de Proteção de Dados (LGPD).

Para Pedro Mendonça, professor de Direito da Universidade Anhembi Morumbi, a minimização dos potenciais riscos do vazamento é equivocada, já que as informações podem resultar na prática de crimes.

“Nome e CPF, ainda que não sejam dados sensíveis, já bastam, por exemplo, para abertura de contas, contratação de crédito em nome da vítima e golpes que envolvam engenharia social”, avalia.

O especialista acrescenta que o vazamento se soma a outros incidentes similares recentes, criando um amplo mercado ilícito de dados da população. “Ou seja, ainda que o vazamento agora se limite às informações indicadas pelo iFood, elas podem ser cruzadas com outros dados já disponíveis, ampliando o potencial lesivo ao longo do tempo”, afirma.

Como deve agir quem se sentir prejudicado?

Preservar provas, como prints, e-mails e registros de tentativas de golpe, além de monitorar o CPF por meio de ferramentas como o Registrato, do Banco Central, e os birôs de crédito;

Registrar uma reclamação junto à ANPD, que pode instaurar procedimento de apuração e aplicar sanções;

Buscar reparação por danos materiais e morais na esfera cível, caso haja prejuízo;

Na esfera penal, é recomendável registrar boletim de ocorrência sempre que houver fraude ou indícios de utilização indevida dos dados para a prática de crimes.

Como confiar que os demais dados, como informações bancárias, não foram afetados?

Segundo Mendonça, a rigor, não se trata de confiança, mas de comprovação. A negativa é autodeclaratória, baseada na apuração realizada pela própria empresa. Isso significa que cabe ao controlador demonstrar a efetividade das medidas de segurança adotadas e a extensão real do incidente.