Mais de dois terços dos sites de reserva de hotel ao redor do globo podem ter os dados de seus usuários vazados na internet. Este é um dado recentemente apresentado por Candid Wueest, Principal Threat Researcher (pesquisador de ameaças), da Symantec Corporation. Os dados, que podem ser acessados por terceiros, não se restringem a números de reserva. Vão muito além, podendo incluir o nome completo do hóspede, seu endereço de e-mail, código postal (CEP), número do telefone celular, os quatro últimos dígitos do cartão de crédito usado para a reserva, a bandeira do cartão e a data de expiração, e o número do documento de identidade (que muitas vezes é o passaporte, para os viajantes internacionais).
Estes dados são vazados, por incrível que pareça, através dos e-mails de confirmação e acesso à reserva que são enviados pelo site do hotel. A falta de respeito às boas práticas para esse envio de e-mail e o interesse em facilitar ao máximo o acesso do usuário à sua reserva levam a um descuido com as informações do usuário do serviço.
O estudo da Symantec mostra ainda que uma medida inicial de segurança – a encriptação do link de acesso à página de informações da reserva – poderia ser implementada sem grandes dificuldades. Porém, 29% dos sites de hotéis sequer fazem isso, expondo de forma completamente aberta este acesso aos dados dos usuários, sendo que as brechas de segurança são potencializadas quando o usuário acessa esse link através de hotspots públicos, como os de aeroportos e hotéis.
Esta realidade mostrada na pesquisa de Wueest deveria mudar com a nova Lei Geral de Proteção de Dados, que entrará em vigor em agosto de 2020 – pelo menos é o que se espera. A referida norma impõe uma série de medidas para o setor público e para a iniciativa privada, visando a proteção dos dados dos seus usuários, passando por medidas de criptografia e de anonimização de dados, além de políticas rígidas de controle de acesso e uso dos dados pela própria empresa responsável pela guarda desse ativo (dados e informações).
Apesar da União Europeia já contar com legislação de proteção de dados em vigor desde maio de 2018 (GDPR, Regulamento Geral sobre a Proteção de Dados 2016/679), este fato não foi suficiente para levar as redes hoteleiras a se moverem de forma efetiva para gerar a proteção prevista na referida norma.
O autor do estudo ressalta ainda que entrou em contato com os data privacy officers (DPOs) dos hotéis afetados e informa que 25% dos DPOs sequer responderam o seu -mail no período de seis semanas. Dos que responderam, a resposta em média demorou dez dias para acontece. Destes, alguns disseram que iriam investigar os fatos e implementariam as medidas necessárias; outros admitiram que ainda estavam implementando as medidas necessárias para se adequarem às normas da GDPR; outros ainda, que usam serviços de terceiros para fazer as reservas on-line, demonstraram preocupação com o fato destes serviços externos não serem GDPR-compliant (o que mostra que talvez não tenham escolhido bem seus prestadores de serviço).
Enfim, este é um fato que demonstra que a LGPD é uma norma que vem em boa hora. Apesar do Brasil, em regra, não precisar de mais leis – excepcionalmente no caso da privacidade das pessoas -, alguma regulação hoje é necessária, já que os descuidos e os abusos, tanto do setor público quanto da inciativa privada, com os dados privados realmente estão grandes, como se pode ver desse caso do setor hoteleiro.
Jonas Cecílio é sócio do escritório especializado em direito administrativo Eduardo Han e Jonas Cecílio Advogados.