A hotelaria sob a ótica da LGPD: Lições de incidentes recentes

Incidentes recentes, envolvendo a Otelier (https://otelier.io/) e o Trump Hotels (https://www.trumphotels.com/), reforçam a necessidade de atenção à segurança e ao cumprimento da legislação.

Introdução à LGPD e Conformidade

A LGPD (Lei nº 13.709/2018) disciplina a coleta, o uso, o armazenamento, o compartilhamento e o descarte de dados pessoais. Seu objetivo é garantir transparência, segurança e respeito aos titulares. De acordo com a lei, empresas podem ser penalizadas em até 2% de seu faturamento, limitadas a R$ 50 milhões por infração. Além disso, a imagem do negócio pode ser seriamente abalada.

Violação de Dados da Otelier (Janeiro de 2025)

Segundo relatos da Bleepingcomputer (https://www.bleepingcomputer.com), a Otelier, fornecedora de software para redes como Marriott, Hilton e Hyatt, foi alvo de um ataque que invadiu seus sistemas entre julho e outubro de 2024. Cerca de 7,8 terabytes de dados foram acessados, incluindo nomes, endereços, e-mails, telefones e números parciais de cartões de crédito. O ponto de vulnerabilidade foi um servidor Atlassian comprometido, cujas credenciais de funcionários foram furtadas. Esse episódio exemplifica como a falha de um fornecedor afeta grandes redes hoteleiras e milhões de hóspedes, além de evidenciar a importância de boas práticas de segurança e acordos de proteção de dados com parceiros.

Vazamento de Dados do Trump Hotels (Fevereiro de 2025)

Outro incidente relevante ocorreu no Trump Hotels, conforme relatos da Trendmicro (https://news.trendmicro.com). Um agente malicioso alegou ter extraído mais de 160.000 registros de seu sistema de notificação por e-mail, expondo nomes, endereços de e-mail e datas de criação de contas. Embora não houvesse informações financeiras, a simples divulgação de dados de contato já permite ataques direcionados de phishing, potencialmente comprometendo a segurança de hóspedes.

Consequências à Luz da LGPD

Vamos supor que tais incidentes ocorressem no Brasil. Quais seriam as consequências? Em ambos os casos, as falhas de segurança podem levar a multas expressivas e ações judiciais, pois a LGPD exige a adoção de medidas técnicas e administrativas aptas a proteger os dados. O descumprimento dessas obrigações não só resulta em penalidades financeiras, mas também pode gerar danos reputacionais de longo prazo, minando a confiança dos hóspedes. Adicionalmente, vale destacar que a lei prevê a possibilidade de responsabilidade solidária entre os diversos agentes de tratamento, o que significa que os hotéis podem ser corresponsabilizados por falhas de seus fornecedores terceirizados caso não estabeleçam, fiscalizem e exijam padrões mínimos de segurança e conformidade em seus contratos.

Medidas de Proteção e Boas Práticas

Para reduzir riscos e atender às exigências da LGPD, destacam-se:

1. Avaliação de Fornecedores: Assegurar que parceiros cumpram padrões de segurança compatíveis.
2. Treinamento Contínuo: Capacitar equipes para prevenir ataques de engenharia social.
3. Senhas Fortes e MFA: Implementar autenticação multifator e políticas de senhas robustas.
4. Monitoramento Contínuo: Detectar anomalias rapidamente e acionar respostas imediatas.
5. Plano de Resposta a Incidentes: Prever procedimentos de comunicação e contenção, reduzindo impactos em caso de vazamentos.

Aprendizados e Sustentabilidade

O setor hoteleiro deve aliar transformações digitais à segurança da informação. Uma infração envolvendo dados pessoais pode paralisar operações, gerar multas e prejudicar a confiança do público. A adoção de padrões de conformidade não é apenas um compromisso legal, mas também um fator de competitividade. Investir em governança, treinamento e tecnologias adequadas assegura mais tranquilidade aos hóspedes e garante a perenidade do negócio.

Os casos da Otelier e do Trump Hotels ilustram como a exposição de dados pode ocorrer em diversos pontos de vulnerabilidade, desde servidores internos até sistemas de e-mail. Sob a LGPD, é indispensável que hotéis e fornecedores adotem ferramentas robustas, treinem suas equipes e mantenham um ciclo contínuo de melhorias. Dessa forma, a indústria hoteleira fortalece sua reputação, protege a privacidade dos clientes e promove relações de confiança.

Referências: (https://www.bleepingcomputer.com/news/security/otelier-data-breach-exposes-info-hotel-reservations-of millions/)

(https://news.trendmicro.com/2025/03/12/zacks-finastra-grubhub-trump-hotels-disa-data-breach/)

(https://www.bitdefender.com/en-au/blog/hotforsecurity/half-a-million-hotel-guests-at-risk-after-hackers-accessed-sensitive-data)

• Aviso Legal: Este texto sobre a LGPD é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico ou orientação profissional. As informações aqui contidas não se destinam a ser uma interpretação abrangente ou exaustiva da LGPD. A aplicação da LGPD pode variar dependendo de circunstâncias individuais, e os leitores são encorajados a buscar aconselhamento profissional especializado para entender como a lei se aplica em seus casos específicos. O autor e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas.

*Josmar L. Giovannini Jr.  é Engenheiro, Fundador e Presidente da Conformidados Treinamento,

Educação e Consultoria Ltda. Contato – www.conformidados.com.br