Big Cuidado!
No meu post anterior elenquei sem desenvolver aqueles que, de acordo com Bob Braun, são os 5 pontos mais relevantes para a cibersegurança na hotelaria:
Nos pontos acima não existe desde logo uma hierarquia, sendo que estão em grande medida interligados. Assim, e porque o objetivo destes artigos é começar a atalhar caminho irei começar por uma questão que liga estes 5 pontos de forma transversal – a privacidade, proteção e tratamento de dados pessoais.
Já todas as pessoas ouviram falar que vem aí uma diretiva comunitária acerca da privacidade e que com a sua entrada em vigor as coisas vão ficar muito duras – REGULAMENTO (UE) 2016/679 DO PARLAMENTO EUROPEU E DO CONSELHO. Claro está que com tanta informação e ruído acerca deste assunto já nasceram alguns mitos que é melhor deslindar:
Não, é um regulamento e isso faz toda a diferença. Traduzindo de uma forma prática significa que entra em vigor sem que exista necessidade de legislação nacional (ao contrário de uma diretiva).
Trata da "proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação destes dados", logo, para além dos desafios da retenção e tratamento de dados pessoais também aborda as condições em que estes podem circular.
Sabe-se exatamente quando. Basta ler o Artigo 99.º para ficar a saber que entra em vigor a 25 de maio de 2018.
Como desconfio que irei tratar mais vezes este tema escolhi começar por aqui, porque temos apenas 16 meses para nos prepararmos para uma mudança fundamental e, assim sendo, talvez seja melhor ir abordando os desafios impostos e não deixar tudo lá para FEVEREIRO – MARÇO, quando finalmente a imprensa se interessar pelo assunto.
Posto isto, importa começar por estabelecer os seguintes pressupostos:
Partindo dos pressupostos acima elencados é fácil começar a entender porque é que a privacidade é um tema transversal aos 5 pontos iniciais, e sabendo que se aplica às mais variadas indústrias pretendo centrar-me na Hotelaria.
O tratamento de dados pessoais, está atualmente enquadrado pela Lei n.º 67/98 de 25 de outubro que transpôs, esta sim, a diretiva comunitária 95/46/CE de 24 de outubro de 1995. Já nesta Lei se estabelece que o tratamento de dados pessoais deve processar-se de forma transparente e no estrito respeito pela reserva da vida privada, bem como pelos direitos, liberdades e garantias fundamentais, e que “dados pessoais” é basicamente tudo - "qualquer informação, de qualquer natureza e independentemente do respetivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada direta ou indiretamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, cultural ou social".
Todos sabemos que na Hotelaria, uma reserva está carregada deste tipo de dados. Sabemos também que existe a obrigatoriedade de recolher os dados para o boletim de alojamento do Serviço de Estrangeiros e Fronteiras (SEF). Estando a recolha para o SEF enquadrada por Lei, não sendo um problema à partida, a questão está em guardar e tratar estes e outros dados, pois devem ser "recolhidos para finalidades determinadas, explicitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades".
Sabemos ainda que a maioria dos sistemas informáticos guarda estes dados, bem como outros dados pessoais relativos à reserva e estadia dos hóspedes, sem que ao final de algum tempo sejam anonimizados. Ora, o processo de recolha de dados na maioria dos hotéis, mesmo estando lá a possibilidade legal de optar (muitas vezes escrita com duplas negativas), apresenta riscos de cibersegurança e legais. O Regulamento (UE) 2016/679 reconhece isso e impõe alterações importantes para essa recolha, sobretudo relacionadas com a informação que, neste caso, um hotel precisa de prestar para recolher os dados e na forma como um hóspede pode consultar, optar e solicitar a remoção destes dados.
Sabemos tudo isto, no entanto são legítimas as seguintes perguntas:
Responder a estas perguntas não é fácil, nem podemos generalizar, existe um pouco de tudo, mas BIG Cuidado, porquê?
É fácil entender que os dados relativos aos cartões de crédito não são o único risco, que mesmo que se tenha excelentes políticas e sistemas de segurança, pode existir um ‘azar’, e que educar interna e externamente as pessoas para o tema da privacidade é fundamental. Daí a transversalidade deste tema.
Como hóspede vejo muitas vezes comportamentos nos hotéis - de hoteleiros e hóspedes - que em nada contribuem para um ambiente tecnologicamente seguro. No tempo das redes sociais e do social review, para que todos possamos viver com a privacidade como um princípio fundamental existe ainda muito trabalho a fazer.
Por outro lado, sei que a tecnologia avança e que como se pode ler nos posts dos meus colegas Big Data: A porta para a Gestão Hoteleira do Futuro! e Como a Hotelaria pode crescer com a Data Science, o tratamento de dados recorrendo ao Big Data está a chegar à Hotelaria. Aquilo que quero partilhar é que as regras de privacidade, proteção e tratamento de dados pessoais são um dos contrapontos a esta inovação que a hotelaria começa a adotar.
Vejamos: recolher, guardar e tratar dados, não tem mal nenhum. É uma excelente ferramenta para o negócio tomar decisões de gestão com base em informação ao invés da intuição. No entanto há riscos e imposições que é preciso entender e atender.
Hoje, usar todos os dados disponíveis nos sistemas representa um risco que, com a Lei n.º 67/98, pode ser considerado por alguns negligenciável. No entanto, com o Regulamento (UE) 2016/679 passa a ser considerado o volume global de negócios numa percentagem de 2% a 4% até 20 milhões de Euros para a aplicação de coimas.
Por isto, estar informado é parte crucial da equação - saber o que fazer, como fazer e que impactos considerar faz toda a diferença na adoção de comportamentos, procedimentos e sistemas.
Na realidade isto depende de todos nós e é um bom princípio, por oposição à ideia de que são apenas as leis que nos defendem, estar consciente que existem limitações éticas e legais a ter em consideração num mundo cada vez mais cheio de ‘sensores’, que recolhem milhões de dados que podem ser tratados com muita facilidade. Quem nos defende (a primeira linha de defesa da qual o hoteleiro deve ser parte integrante) é, em primeiro lugar, quem pode e deve estar informado, quem conscientemente procura entender e fazer entender os vários enquadramentos que cada tecnologia impõe. Depois, depois existem as leis, as tecnologias e as instituições.
No meu dia-a-dia, estou rodeado de sensores, dados, informação e tecnologia. Para mim, dificilmente vejo as coisas a funcionar sem tudo isto. Entendo a tecnologia como um benefício, mas procuro sempre entender o como, quando e porquê da sua aplicação.
Portanto, caros hoteleiros, usem muita tecnologia, tecnologia que permita que a indústria seja cada vez mais competitiva e que proporcione cada vez melhores experiencias aos hóspedes, mas à cautela tenham BIG cuidado e inteirem-se sempre da melhor forma de a implementar para que todos passemos uma noite tranquila, seja em casa ou numa unidade hoteleira.
Voltaremos a este assunto mais vezes.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.
