O vazamento de dados do McDonald’s foi confirmado pela própria marca por meio de e-mail enviado a clientes do aplicativo Méqui. A marca informou que um prestador de serviço comunicou o incidente no dia 27 de março de 2026.
Segundo o McDonald’s, pessoas não autorizadas tiveram acesso a dados de uma parcela dos usuários do app. A empresa afirma que o acesso foi bloqueado imediatamente após a identificação do problema.
O CidadeMarketing entrou em contato com a equipe de comunicação do McDonald’s Brasil para apurar os fatos e verificar se o caso foi comunicado à Autoridade Nacional de Proteção de Dados (ANPD). A marca confirmou o incidente e informou que o fato foi compartilhado com as autoridades competentes.
O comunicado oficial do McDonald’s ao CidadeMarketing
“A companhia esclarece que um de seus prestadores de serviço sofreu um incidente que permitiu o acesso não autorizado a alguns dados de uma pequena parcela de clientes do aplicativo Méqui. A situação foi imediatamente controlada e todo o acesso indevido bloqueado.
A empresa reforça que repudia essa atividade criminosa, comunicou as autoridades competentes e os clientes impactados e trabalha continuamente para reforçar as medidas de proteção de dados, incluindo a revisão e atualização constante dos sistemas de segurança.
A companhia permanece à disposição por meio de seus canais oficiais de atendimento para esclarecer eventuais dúvidas dos clientes.” — McDonald’s, em nota oficial ao CidadeMarketing
Quais dados podem ter sido acessados?
O McDonald’s listou no e-mail enviado a clientes as categorias de dados possivelmente acessados. A empresa ressalva que nem todos os campos estavam preenchidos em todas as contas.
O destaque vai para o histórico de pedidos do Méqui: trata-se de dado comportamental que, combinado com nome, CPF e endereço, forma um perfil detalhado do consumidor.
Essa combinação é especialmente crítica para a segurança de dados e aumenta os riscos para os consumidores, pois pode viabilizar golpes personalizados, como phishing, spam, fraudes, validação de dados para fraudes, roubo de identidade e ataques via WhatsApp e SMS.
Os riscos reais para os clientes afetados
Dados como nome, CPF, e-mail e endereço reunidos em uma mesma base representam um risco concreto de engenharia social e phishing personalizado. Criminosos usam essas informações para criar abordagens altamente convincentes — e-mails ou mensagens que parecem legítimos porque contêm dados reais do destinatário. O alerta do próprio McDonald’s para que clientes não cliquem em links suspeitos usando seus nomes reflete exatamente esse risco.
O histórico de pedidos do app Méqui acrescenta uma camada de periculosidade raramente discutida em vazamentos de redes de alimentação. Com esse dado, um criminoso sabe com que frequência a vítima usa o aplicativo, quais produtos consome e qual o ticket médio dos pedidos. Combinado com CPF e endereço, esse perfil comportamental pode ser usado para fraudar a conta do usuário, aplicar golpes de falsa promoção personalizada ou até facilitar fraudes em outras plataformas onde a mesma combinação de dados é aceita como prova de identidade.
LGPD e o Méqui: o que diz a lei sobre esse caso?
A Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018 — enquadra diretamente casos como esse. O artigo 48 obriga a empresa controladora a comunicar a ANPD e os titulares dos dados sempre que ocorrer um incidente de segurança que possa gerar risco.
O McDonald’s seguiu esse rito: comunicou os clientes por e-mail e informou ao CidadeMarketing que o caso foi compartilhado com as autoridades competentes. A menção à ANPD não foi explicitada, mas a expressão “autoridades competentes” usada na nota oficial indica que o protocolo previsto pela LGPD foi observado.
Em caso de descumprimento comprovado, a ANPD pode aplicar multas de até 2% do faturamento global da empresa, com teto de R$ 50 milhões por infração. A sanção depende da maturidade do programa de compliance de proteção de dados e da postura da empresa diante do incidente.
Repercussão no X: clientes questionam o vazamento
A notificação chegou por e-mail aos clientes impactados. Alguns usuários compartilharam prints da mensagem recebida no X — questionando a transparência e os desdobramentos do caso.
A reação nas redes seguiu padrão comum em incidentes desse tipo: desconfiança sobre a real dimensão do vazamento e questionamentos sobre o número exato de afetados — dado que o McDonald’s optou por não divulgar, definindo apenas como ‘parcela pequena de clientes’.
McDonald’s já enfrentou outros episódios de segurança de dados
O McDonald’s já registrou outros casos semelhantes envolvendo dados. Em 2022, a empresa comunicou clientes no Brasil sobre um acesso não autorizado. Em 2019, o site The Hack noticiou um vazamento de dados sensíveis de colaboradores.
O que fazer se você recebeu o e-mail suspeito utilizando seus dados?
1. Não clique em links de e-mails, SMS ou mensagens no WhatsApp que usem seu nome ou dados pessoais sensíveis — mesmo que pareçam vir do McDonald’s.
2. Altere sua senha no aplicativo Méqui imediatamente, especialmente se você usa a mesma senha em outros serviços.
3. Monitore seu CPF em serviços como o Registrato (Banco Central) para identificar tentativas de abertura de crédito não autorizado.
4. Registre boletim de ocorrência se identificar uso indevido dos seus dados — o registro é necessário para acionar órgãos de defesa do consumidor.
5. Entre em contato com o McDonald’s pelos canais oficiais: sac@sacmcdonalds.com.br ou privacidade.lgpd@br.mcd.com
6. Denuncie à ANPD pelo site gov.br/anpd se entender que houve violação dos seus direitos como titular de dados.
Para os clientes afetados, o McDonald’s disponibilizou um link para um formulário de contato e também um canal dedicado à LGPD (privacidade.lgpd@br.mcd.com) para atendimento de dúvidas relacionadas à privacidade.
