Opinião: RGDP – Regulamento Geral da Proteção de Dados, para que te quero? – Parte III, por João Pronto

“Controlo Físico e Lógico do Conhecimento Organizacional!” é o mote da 3ª parte do artigo em que João Pronto continua a analisar o novo Regulamento Geral da Protecção de Dados que entrou em vigor, em todos os países da União Europeia, no passado dia 25 de Maio.

Nos dois anteriores artigos subordinados à temática genérica – RGPD –, abordámos primeiramente, a componente relativa às obrigações legais que foram o fundamento deste novo regulamento; no segundo artigo descrevemos uma, de entre as várias possíveis aplicações do RGPD, como alavanca de otimização de processos de negócio, endógenos e exógenos às organizações turísticas, em que as empresas e instituições do trade “aproveitam” as obrigatoriedades legais para também “arrumar a casa” do ponto de vista dos workflows organizacionais, sejam internos ou externos.

Pelo que, este terceiro artigo subordinado à temática do RGPD, irá descrever um conjunto exemplificativo de procedimentos a realizar pelas organizações turísticas, por forma a solidificar (ainda mais) o controlo físico e lógico de acessos, mitigando quebras de segurança dos dados, da informação, e consequentemente, do conhecimento organizacional das empresas e instituições turísticas.

Como conclusão, no final do presente artigo, iremos sumariamente descrever, “o estado da arte” deste início de processo de “iniciação” ao RGPD, do ponto de vista das empresas e instituições turísticas, e das entidades que supostamente deveriam de dedicar maior atenção a esta “nova” temática da proteção dos, cada vez mais, sensíveis dados consumidos aquando do consumo de um qualquer produto ou serviço turístico…

Comecemos então pelo “cerne” da questão:

A indústria do turismo, como é sobejamente debatido, “vive da confiança que os potenciais turistas sentem em se tornar turistas no destino turístico em questão”!

Se um destino, produto ou serviço turístico não se apresentar, aos olhos dos potenciais consumidores, com “a segurança que se lhe exige” neste mercado turístico, cada vez mais global e concorrencial, a probabilidade dos orçamentos não serem atingidos, é enorme, e a história recente, tem-nos demonstrado isto mesmo.

No entanto, o que tem sido de domínio público são fatores inerentes ao “mundo real”, como as guerras entre estados, desaguisados políticos, ações terroristas, entre outras, que, infelizmente, temos presenciado, ao longo dos séculos, …

Acontece que, recentemente, começaram a surgir notícias preocupantes de que os dados que são manipulados pelos principais players tecnológicos mundiais, como o Facebook e a Google, estejam, alegadamente, a ser tendenciosamente manipulados, por forma a condicionar as tendências comportamentais das pessoas…, se juntarmos a estas “teorias da conspiração” o facto de alegadamente, e de forma crescente, acontecerem ataques aos sistemas informáticos de companhias aéreas, agências de viagens, empresas de eventos, hotéis, e até a restaurantes e bares, e se estes episódios se tornarem, como alegadamente tem sido noticiado em “off”, um desagradável hábito, em que as empresas e as organizações turísticas se encontram extremamente vulneráveis a estes criminosos, parece-me evidente que os potenciais turistas vão ter, cada vez mais, em conta, se um destino para além de ser mais ou menos seguro, se o processo de aquisição do produto ou serviço turístico é, também ele próprio, mais ou menos seguro, e se durante o processo do consumo turístico, se os dados entretanto armazenados e processados, do turista em questão, se são alvo de serem adulterados ou mesmo roubados…

Recentemente foi noticia mundial, a quebra de segurança que ocorreu na British Airways, em que cerca de 380 mil dados de cartões de crédito foram alegadamente roubados, entre 21 de agosto e 5 de setembro do presente ano 2018, e mais recentemente ainda, “a gigantesca ação de ataque ao Facebook em que alegadamente cerca de 50 milhões de utilizadores foram alvo de quebra de segurança”, obrigando a Facebook a forçar milhões de utilizadores, a renovar a password de acesso, ativando preferencialmente a funcionalidade de “autenticação de dois fatores” em que é ativada a confirmação via email ou numero de telemóvel, mediante ativação de SMS.

As empresas e instituições turísticas devem proceder à aquisição de ferramentas de Firewall que lhes permitam criar barreiras “lógicas” do exterior, por forma a que os ataques informáticos não tenham as taxas de sucesso (do ponto de vista dos atacantes, claro está) que têm tido, e que as entidades que têm “fingido” que não aconteceram, passem efetivamente a ter a consciência de que estão efetivamente protegidas de “olhares indiscretos”…

Já lá vai o tempo em que as organizações turísticas “necessitavam apenas de uma única Firewall para se protegerem minimamente dos piratas informáticos”, que vinha “integrada” no router do Operador de Telecomunicações que fornecia o acesso à Internet; essas Firewall, de quase nada servem nos dias de hoje, pois é necessária a aquisição de pelo menos uma Firewall de nova geração, que tenha a funcionalidade de apreensão os comportamentos de fluxos de informação internos, por forma a detetar e a bloquear tentativas externas e/ou internas de intrusão nos sistemas de informação do tecido turístico nacional…

Devemos de ter também em atenção que, nesta atual sociedade altamente tecnológica, é necessário também que a Firewall “olhe” internamente para os dados sensíveis da organização, por forma a detetar “comportamentos desviantes”, bloqueando acessos indevidos efetuados por colaboradores menos respeitadores de níveis de restrições internas, ou, por vezes, de vulnerabilidades criadas ao nível da consulta de sites ou de emails contendo links ou anexos maliciosos, por mais disfarçados que sejam…

É imperiosa uma restritiva política de Anti-virus, também de nova geração, e atualizada em tempo real, que contenha a funcionalidade de, inclusivamente, detetar e bloquear ataques a partir das redes sociais…, e do email…, assim como a capacidade de proteger os conteúdos recebidos e enviados a partir dos smartphones, que são tendencialmente uma preferencial ferramenta de trabalho, que também deve, obviamente, de ser protegida de ataques informáticos!

Necessitam de ser implementadas políticas de acessos com diferentes níveis de consulta e escrita em documentos corporativos, mediante o grau de partilha de informação organizacional que cada pessoa (e/ou departamento) tem dentro da sua organização…

Têm que ser criados procedimentos claros de memorização de passwords, eliminando-se de vez os famosos “post-its” que se colocam ao redor dos monitores das receções e dos POS, contendo credenciais de acessos aos sistemas informáticos… e que podem facilmente ser consultados pelos turistas, que depois, no seu quarto, numa área comum do hotel ou na mesa do restaurante, acedem a informação interna, adulterando, roubando, apagando e outros verbos similares, a informação organizacional, provocando avultados prejuízos…

A utilização de fotocópias de passaporte, cartão cidadão, cartões de crédito… que depois podem ser utilizados em compras inapropriadas… devem ser utilizadas com procedimentos internos claros, por forma a se minimizar a possibilidade de utilização indevida dos supracitados cartões de identificação pessoal, e claro, assim que possível, quando os documentos entretanto copiados deixarem de ser úteis, devem ser triturados numa trituradora de papel com corte irregular, por forma a evitar a reconstrução do documento entretanto inutilizado…

Obviamente que o ideal será “0 cópias em papel de documentos de identificação pessoal”, por forma a que estas cópias sejam exclusivamente efetuadas eletronicamente, de forma encriptada, e com os desejados níveis de acesso à mesma, garantindo-se a fiabilidade e a preservação dos sensíveis dados dos turistas.

Os documentos em papel existentes ao redor dos locais de trabalho, em cima da secretária, nas gavetas, em armários, que contenham dados pessoais também deverão de ser corretamente acondicionados, por forma a se impedir (pelo menos minimizar de forma consistente o acesso indevido a documentação sensível) e, se possível, restringir com cartão de acesso (exemplo: RFID) por forma a que se saiba, em caso de necessidade, quem entrou no gabinete em determinada altura…

Obviamente que os gabinetes de informática, serviços técnicos e financeiros, conselho de administração, entre outros, devem ter, na medida do possível, acessos controlados por RFID, por forma a serem eficazmente monitorizados, no que ao acesso físico diz respeito, pois a componente de acesso lógico já estará a ser controlada pelas diferentes camadas de gestão de informação, desde a rede, ao nível dos switch, até à camada Internet, via Firewall e Antivírus, não descurando as regras de acesso ao nível da camada de sistema operativo e também nas camadas aplicacionais.

Cumulativamente a todos estes procedimentos, deve-se efetuar, regularmente, “auditorias” mais ou menos formais (haja dinheiro) por forma a se identificar e a documentar, processos, eventuais lacunas, e propor melhorias processuais na salvaguarda dos dados, e otimização de processos internos e externos de comunicação.

Para finalizar este 3.º artigo referente ao RGPD, teremos que voltar, infelizmente, a esta temática, até porque em Portugal, a classe política teima em não se dedicar de forma efetiva a estes temas mais “sensíveis”, originando diferentes interpretações do RGPD, como exemplo, tivemos a demissão do coordenador do centro português de cibersegurança… o Professor Pedro Veiga…

Paralelamente, a CNPD – Comissão Nacional de Proteção de Dados, indicou ao Governo que se eliminasse um terço das normas propostas para a proteção de dados, o que não foi efetuado, e ainda, não menos importante, foi chumbado o projeto que mudava a estrutura da Comissão Nacional de Proteção de Dados… e… “cereja em cima do bolo”, dadas as constantes restrições financeiras dos organismos e instituições públicas, um destes dias teremos, em larga escala, nos órgãos do estado, informação de que ocorreram, massivamente, falhas graves de segurança nos sistemas de informação que “guardam e tratam” os dados sensíveis de todos os contribuintes, i.e., de todos nós…

Eis que o RGPD poderia ter sido uma excelente oportunidade para que os organismos e instituições nacionais se protegessem efetivamente, e que se criassem procedimentos concretos de “tratamento” de dados/informação/conhecimento, tanto no “mundo offline”, como no “mundo online”, o que está longe de estar a acontecer… teremos que voltar a esta temática, as vezes necessárias, por forma a acompanharmos o desenvolvimento desta temática relacionada com o RGPD.

* João Pronto

Professor Adjunto da Escola Superior de Hotelaria e Turismo do Estoril

*O colunista escreve ao abrigo do novo acordo ortográfico