A rede hoteleira está pronta para a Lei Geral de Proteção de Dados?

Lei Geral de Proteção de Dados

 

Mais de dois terços dos sites de reserva de hotel ao redor do globo podem ter os dados de seus usuários vazados na internet. Este é um dado recentemente apresentado por Candid Wueest, Principal Threat Researcher (pesquisador de ameaças), da Symantec Corporation. Os dados, que podem ser acessados por terceiros, não se restringem a números de reserva. Vão muito além, podendo incluir o nome completo do hóspede, seu endereço de e-mail, código postal (CEP), número do telefone celular, os quatro últimos dígitos do cartão de crédito usado para a reserva, a bandeira do cartão e a data de expiração, e o número do documento de identidade (que muitas vezes é o passaporte, para os viajantes internacionais).

Estes dados são vazados, por incrível que pareça, através dos e-mails de confirmação e acesso à reserva que são enviados pelo site do hotel. A falta de respeito às boas práticas para esse envio de e-mail e o interesse em facilitar ao máximo o acesso do usuário à sua reserva levam a um descuido com as informações do usuário do serviço.

O estudo da Symantec mostra ainda que uma medida inicial de segurança – a encriptação do link de acesso à página de informações da reserva – poderia ser implementada sem grandes dificuldades. Porém, 29% dos sites de hotéis sequer fazem isso, expondo de forma completamente aberta este acesso aos dados dos usuários, sendo que as brechas de segurança são potencializadas quando o usuário acessa esse link através de hotspots públicos, como os de aeroportos e hotéis.

Esta realidade mostrada na pesquisa de Wueest deveria mudar com a nova Lei Geral de Proteção de Dados, que entrará em vigor em agosto de 2020 – pelo menos é o que se espera. A referida norma impõe uma série de medidas para o setor público e para a iniciativa privada, visando a proteção dos dados dos seus usuários, passando por medidas de criptografia e de anonimização de dados, além de políticas rígidas de controle de acesso e uso dos dados pela própria empresa responsável pela guarda desse ativo (dados e informações).

Apesar da União Europeia já contar com legislação de proteção de dados em vigor desde maio de 2018 (GDPR, Regulamento Geral sobre a Proteção de Dados 2016/679), este fato não foi suficiente para levar as redes hoteleiras a se moverem de forma efetiva para gerar a proteção prevista na referida norma.

O autor do estudo ressalta ainda que entrou em contato com os data privacy officers (DPOs) dos hotéis afetados e informa que 25% dos DPOs sequer responderam o seu -mail no período de seis semanas. Dos que responderam, a resposta em média demorou dez dias para acontece. Destes, alguns disseram que iriam investigar os fatos e implementariam as medidas necessárias; outros admitiram que ainda estavam implementando as medidas necessárias para se adequarem às normas da GDPR; outros ainda, que usam serviços de terceiros para fazer as reservas on-line, demonstraram preocupação com o fato destes serviços externos não serem GDPR-compliant (o que mostra que talvez não tenham escolhido bem seus prestadores de serviço).

Enfim, este é um fato que demonstra que a LGPD é uma norma que vem em boa hora. Apesar do Brasil, em regra, não precisar de mais leis – excepcionalmente no caso da privacidade das pessoas -, alguma regulação hoje é necessária, já que os descuidos e os abusos, tanto do setor público quanto da inciativa privada, com os dados privados realmente estão grandes, como se pode ver desse caso do setor hoteleiro.

Jonas Cecílio é sócio do escritório especializado em direito administrativo Eduardo Han e Jonas Cecílio Advogados.

Divulgação: Original 123 Comunicações

Compartilhe essa página com um amigo ou nas redes sociais:

Os comentários estão desativados.

Mais Notícias



VOLTAR