O iFood reconheceu nesta terça-feira (3) ter sofrido um incidente de segurança em dezembro de 2025 que resultou na exposição de dados cadastrais de aproximadamente 1,2 milhão de usuários — cifra equivalente a cerca de 2% de sua base. A divulgação ocorre após a circulação de alegações de que o vazamento teria atingido 43 milhões de registros, o que a empresa nega. “O iFood não encontrou qualquer evidência de que 43 milhões de dados de usuários foram vazados”, afirmou a companhia em nota. Segundo a empresa, o material que circula na internet se refere ao evento de dezembro, “rapidamente neutralizado” pelos protocolos internos. O vazamento teria exposto dados cadastrais, como nome e CPF, mas sem comprometimento de senhas, meios de pagamento ou registros financeiros, segundo a empresa. O aspecto regulatório do episódio é o de maior consequência para a companhia. O iFood optou por não comunicar formalmente o vazamento à Autoridade Nacional de Proteção de Dados (ANPD) nem aos titulares afetados. A decisão se baseia na interpretação de que a Lei Geral de Proteção de Dados (LGPD) “dispensa o reporte e comunicação quando o evento não acarreta risco ou dano relevante aos titulares, de acordo com os critérios regulatórios definidos pela ANPD”. A LGPD exige que empresas comuniquem à ANPD e aos usuários afetados quando um incidente de segurança puder causar risco ou dano relevante. A lei, porém, não estabelece critérios objetivos para definir o que é “relevante” — e deixa essa avaliação inicial a cargo da própria empresa. É nessa brecha que o iFood se apoia para justificar a ausência de comunicação. A empresa não detalhou o prazo em que o incidente foi contido nem os critérios utilizados internamente para concluir pela ausência de risco relevante aos titulares. iFood — Foto: Reprodução/iFood