Violação de dados e tentativa de burla através da plataforma Booking.com

Exmos. Senhores, No dia 10 de junho de 2025, efetuei uma reserva na plataforma Booking.com, no valor de 414,66€. Pouco tempo depois, fui contactado através da plataforma do Booking por alguém que se fez passar por representante do hotel. Essa pessoa enviou um link fraudulento onde fui induzido a preencher os meus dados de contacto e dados de um cartão de crédito virtual MBWay criado especificamente para a reserva. Mais tarde, recebi mensagens no WhatsApp, também fraudulentas, que confirmaram que se tratava de um esquema de phishing. Felizmente, apercebi-me da tentativa de fraude a tempo e cancelei o cartão, impedindo que o valor fosse retirado. Contactei imediatamente o hotel, que reconheceu que já tinha conhecimento do ataque, mas recusou qualquer responsabilidade, sem sequer pedir desculpa. Contactei também várias vezes o Booking.com, expondo toda a situação, mas a única resposta que recebi foram mensagens automáticas ou genéricas, que demonstram total desvalorização da gravidade do incidente. Esta situação configura uma violação dos meus dados pessoais através de uma falha grave de segurança da plataforma, afetando a minha confiança, tranquilidade e bem-estar emocional. Tratava-se de uma viagem especial (lua de mel), e em vez de me sentir seguro e respeitado como cliente Genius nível 3, senti-me ignorado por ambas as entidades envolvidas. Venho, por este meio, solicitar o apoio da DECO para que a empresa assuma responsabilidades, ofereça uma resposta digna e compensação pelos danos emocionais causados, e implemente medidas de segurança para evitar que isto continue a acontecer com outros consumidores. Com os melhores cumprimentos, A. M.

------------------------------------ Martin Bergmann (CS Global) Aug 8, 2025, 16::38 GMT+2 Dear Madam/Sir, In reply to the above-referenced claim, please find attached our response. Please respond to the current message (cs.relations.emea@booking.com) for future correspondence on this file. Kind regards, Martin B. Senior Relations Specialist Booking.com Customer Service Team Copyright © 1996–2025Booking.com. All rights reserved This e-mail was sent byBooking.com, Herengracht 597, 1017 CE Amsterdam, Netherlands [Y1Z071-W07M2]

Resposta à Booking.com – Exposição de dados pessoais e tentativa de fraude Na sequência da resposta enviada pela empresa Booking.com, venho por este meio manifestar o meu total desacordo, clarificar os factos reais do caso e reforçar os meus direitos enquanto consumidor e titular de dados pessoais: ⸻ 1. A fraude aconteceu com base em dados reais da minha reserva, obtidos através do sistema da Booking.com No dia 10 de junho de 2025, fiz uma reserva pela plataforma Booking.com. No dia18 de julho de 2025 recebi uma mensagem no próprio chat da reserva, supostamente do alojamento, com dados reais: o meu nome completo, datas da estadia, número de pessoas e valor pago. Pouco depois, fui contactado por WhatsApp, com mais detalhes e um pedido de pagamento através de link fraudulento. Esta mensagem continha todos os detalhes exatos da reserva, que só podem ter sido acedidos: • Pelo sistema da Booking.com; • Ou por alguém com acesso indevido aos dados transmitidos pela Booking ao hotel. A tentativa de fraude foi clara e avançada, e só não fui lesado financeiramente porque cancelei o meu cartão a tempo. ⸻ 2. A Booking não pode ilibar-se de responsabilidade quando os dados que originaram a fraude só existem por via do seu serviço A Booking afirma que “não houve vulnerabilidade nos seus sistemas” e que o ataque foi externo (phishing). No entanto: • Os criminosos contactaram-me através do sistema da Booking (chat da reserva); • Tinham dados que só são acessíveis por Booking.com ou por quem recebe dados via Booking; • A empresa não explica nem investiga se houve má conduta do alojamento; • Não me foi facultado nenhum relatório de segurança. Nos termos do artigo 5.º do Regulamento Geral sobre a Proteção de Dados (RGPD), a Booking.com tem a obrigação de garantir a integridade, confidencialidade e segurança dos dados. O artigo 32.º do RGPD exige que o responsável pelo tratamento implemente medidas técnicas e organizativas adequadas para proteger os dados pessoais. Se os dados foram indevidamente acedidos e usados para um esquema de fraude, então houve falha em proteger esses dados — seja da plataforma, seja do hotel em nome de quem a Booking partilha os dados. ⸻ 3. Contactei o Booking e o alojamento diversas vezes sem qualquer resposta útil Repetidamente, informei a Booking do que aconteceu, incluindo: • O conteúdo da mensagem no chat; • A tentativa de fraude; • O número de WhatsApp usado. Nenhuma explicação, investigação concreta ou relatório me foi apresentado. A responsabilidade parece ser empurrada para o utilizador, mesmo quando os dados foram acedidos através da vossa infraestrutura. ⸻ 4. O dano não é apenas financeiro: trata-se de um grave risco à privacidade, confiança e segurança A Booking afirma que “não é responsável por danos imateriais”. Discordo totalmente: • Os dados pessoais foram expostos; • Fui alvo de uma tentativa de fraude credível, com stress real envolvido; • Tive de cancelar cartões e alterar medidas de segurança. Nos termos do artigo 82.º do RGPD, o titular dos dados tem direito a indemnização por qualquer dano material ou imaterial causado por violação do regulamento. ⸻ 5. Recuso-me a continuar esta conversa por e-mail privado, como sugerido. Esta é uma mediação oficial. A empresa Booking.com, ao pedir que eu envie a resposta por email, tenta desviar-se do canal oficial de mediação da DECO. Isto não é aceitável. A comunicação deve manter-se aqui, na plataforma da DECO, com total transparência. ⸻ Por tudo isto, reitero: • Que os meus dados foram expostos num contexto de confiança (reserva via Booking.com); • Que houve tentativa de fraude real, que só não resultou em perdas devido à minha ação imediata; • Que a Booking deve assumir responsabilidade legal pela segurança dos dados que gere ou transmite; • Que não aceito a negação de responsabilidade com base em generalizações. Estou disponível para fornecer: • Prints do chat na plataforma Booking; • Prints das mensagens de WhatsApp recebidas; • Comunicações com o hotel; • Cópia da participação à CNPD, CEC e outras entidades. Agradeço à DECO pela mediação e apoio neste processo.