O primeiro desafio a ser vencido pelos empresários da área hoteleira é com relação ao entendimento da importância e da abrangência da LGPD que chegou para ficar
A LGPD – Lei Geral de Proteção de Dados Pessoais (Lei N° 13.709/2018) é uma nova Lei, que foi sancionada no Brasil em 2018 e passou a viger em 2020. Ela trata basicamente da proteção dos dados pessoais dos cidadãos, não coibindo que eles possam ser tratados (por tratamento de dados entende-se toda e qualquer ação realizada com dados pessoais), mas estabelecendo orientações e limites para que tais tratamentos de dados pessoais possam ser realizados. Por dado pessoal entende-se não apenas aqueles presentes em documentos oficiais, mas sim toda a informação relacionada à pessoa natural identificada ou identificável. Desta forma, perfis psicológicos são dados pessoais, bem como convicções religiosas pertencentes a um determinado cidadão.
A Lei se aplica a toda e qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio (on-line ou off-line), do país de sua sede ou do país onde estejam localizados os dados. A Lei também não especifica o tipo de mídia na qual o tratamento é realizado, abrangendo então tratamentos realizados nas mídias físicas (papel) e eletrônica.
Para que dados pessoais possam ser tratados, o Controlador (como é conhecida a pessoa natural ou jurídica, de direito público ou privado, a quem compete tomar as principais decisões referentes ao tratamento de dados pessoais e por definir a finalidade deste tratamento) deverá relacionar os tratamentos de dados realizados com às hipóteses legais definidas na Lei que facultam tais tipos de tratamentos.
Além disso, para que os dados pessoais possam ser tratados com o devido rigor exigido pela Lei, deverão ser respeitados os direitos dos titulares de dados pessoais (a quem se referem os dados pessoais que são objeto de tratamento), bem como os princípios legais definidos pela LGPD.
Desafios a serem enfrentados
Muitos são os desafios a serem enfrentados pelo setor hoteleiro. Na verdade, não apenas pelo setor hoteleiro, mas por todo o trade turístico, que deverá se adequar da mesma forma aos requisitos legais da LGPD, em função do grande volume de dados pessoais que tratam dos seus clientes. No caso específico dos hotéis, o primeiro desafio a ser vencido pelos empresários da área hoteleira é com relação ao entendimento da importância e da abrangência da LGPD, uma vez que se trata de uma Lei multidisciplinar, que aborda assuntos jurídicos, técnicos e técnico-jurídicos. “Este caráter multidisciplinar da Lei confere grandes dificuldades para as empresas em geral (incluindo os hotéis) no momento da realização das análises internas necessárias a fim de serem identificadas as inconsistências presentes nas suas atuais operações segundo os requisitos legais da Lei, para que possam ser então devidamente corrigidas. Para que tais análises sejam completas, é mandatório e fundamental que conhecimentos específicos em diversas áreas sejam aplicados já na fase de mapeamento dos dados pessoais tratados, incluindo, mas não se limitando, às seguintes: gestão de controles internos, compliance, gestão de riscos, governança de dados pessoais, TI, segurança da informação, gestão documental, direito, direito digital e administração de negócios”, explica Josmar Lenine Giovannini Jr., Presidente fundador da Conformidados Treinamento, Educação e Consultoria.
Diferentes Leis de proteção de dados pessoais e privacidade têm sido aplicadas em diferentes partes do mundo, conferindo maior segurança para os titulares de dados pessoais (como são conhecidos os cidadãos que são donos dos seus dados pessoais), os quais já se acostumaram com o rigor no tratamento dos seus dados pessoais na prestação de outros serviços, e não estarão dispostos a renunciar à segurança conferida para a privacidade dos seus dados pessoais legalmente assegurada. Assim, os hotéis no Brasil que não se adequarem aos requisitos legais da LGPD poderão correr o risco de diminuir o interesse dos seus clientes pela escolha dos seus estabelecimentos, em detrimento a outros que ofereçam tais garantias para os seus hóspedes. Tal questão é também fundamental de ser levada em consideração pelo setor hoteleiro como motivadora para a realização das necessárias adequações visando a conformidade legal. “Uma vez entendida a importância e a abrangência da Lei, os hotéis deverão entender claramente o que deverão fazer e como deverão fazer para se adequarem, de maneira completa, aos requisitos legais da LGPD. Este entendimento é fundamental de ser adquirido, a fim de que possam ser buscados os recursos necessários para as devidas adequações, de acordo com os modelos de negócio individuais de cada hotel. Importante lembrar que cada hotel é único na maneira como trata dados pessoais, e como único deve ser adequado aos requisitos legais da LGPD”, destaca Giovannini Jr.
A partir deste entendimento, resta aos hotéis entender que precisarão se manter adequados aos requisitos legais da LGPD, uma vez que o processo de adequação não pode ser considerado como detentor de um fim. Isso porque a manutenção dos registros de tratamentos de dados pessoais atualizados deve fazer parte da agenda da administração do hotel, pois, a Lei exige que todas as empresas que realizem o tratamento de dados possuam os devidos registros dos respectivos tratamentos que realizem, os quais deverão estar sempre atualizados. E, neste sentido, as empresas (incluindo os hotéis, claro), deverão manter e assegurar que os registros de dados pessoais tratados sejam sempre adequados e estejam sempre atualizados. Para isso, monitoramentos constantes devem ser realizados em todos os processos internos que tratam dados pessoais.
Desafio para todas as empresas, inclusive para os hotéis: Entendimento da necessidade de adequação; do que fazer para a devida adequação; de como fazer a devida adequação e de como manter a empresa adequada. Vencidas as questões do entendimento da necessidade da adequação completa e da pluralidade da Lei, não podemos enxergar o setor hoteleiro da mesma forma que enxergamos qualquer outro setor do mercado no tocante ao tratamento de dados pessoais, pelo fato do enorme volume de dados pessoais tratados e da grande quantidade de sistemas e players envolvidos no processo de hospedagem. Foi-se o tempo (felizmente, diga-se de passagem) em que as reservas para hospedagens eram feitas via telefone, diretamente para a recepção do hotel. Hoje, o futuro hóspede, ao decidir por realizar uma viagem e escolher um hotel, tem ao seu dispor uma gama variada de serviços digitas para proporcionar que sejam realizadas pesquisas, comparações, reservas e até mesmo pagamentos.
A questão é que dados pessoais são compartilhados por esta grande variedade de meios digitais e provedores de serviços, o que deve ser encarado com muita atenção e cuidado pelos responsáveis pelos respectivos tratamentos dos dados pessoais, forçando-os a desenvolver uma visão global do problema de segurança da informação, bem como a desenvolver estratégias, políticas, normas, procedimentos, processos e proteções para todas as formas de tratamentos de dados pessoais que realizem.
Responsabilidades dos hotéis quanto ao tratamento de dados pessoais
Os hotéis, no papel de Controladores de dados, possuem uma série de responsabilidades quanto aos dados pessoais que tratam, incluindo, mas não se limitando, as seguintes:
- Entendimento de todos os tipos de dados pessoais que tratam;
- Realização do tratamento mínimo necessário dos dados pessoais;
- Limitação do acesso aos dados pessoais que tratam apenas aos colaboradores envolvidos com os processos internos nos quais eles são necessários;
- Entendimento profundo e respeito do ciclo de vida dos dados pessoais internamente aos hotéis, desde o momento em que o dado pessoal é coletado até o momento em que é descartado;
- Entendimento dos riscos trazidos para os hóspedes relacionados à ocorrência de episódios de violação de segurança que comprometam a segurança dos dados pessoais tratados;
- Respeito a todos os direitos conferidos pela Lei aos hóspedes;
- Respeito aos princípios legais na operação interna do hotel com dados pessoais;
- Implementação de medidas técnicas e administrativas visando garantir a segurança dos dados que trata, respeitando o modelo de negócios e as necessidades internas de cada processo interno que realiza o tratamento de dados pessoais;
- Garantia da escolha de parceiros de negócio e prestadores de serviço que possuam grau de maturidade adequado com relação aos dados pessoais compartilhados pelo hotel.
- Entendimento das responsabilidades relativas às prestações de contas relativas aos tratamentos realizados com dados pessoais;
- Realização dos tratamentos de dados pessoais mantendo a devida transparência e segurança que o titular dele espera.
Tais responsabilidades conferidas pelo texto legal ao Controlador incluem adequações jurídicas necessárias à conformidade Legal. Como exemplo, podemos mencionar a definição das hipóteses legais para os tratamentos de dados pessoais, de acordo com as finalidades para as quais são realizados tais tratamentos. “É de fundamental importância que se entendam claramente as finalidades e os tipos de tratamentos de dados pessoais realizados, a fim de se determinarem as hipóteses legais mais adequadas que habilitam tais tratamentos e, após análises detalhadas dos riscos envolvidos com cada uma das hipóteses elencadas, levando em consideração os tratamentos de dados pessoais realizados bem como com as estratégias dos Controladores de dados de acordo com os seus modelos de negócio e necessidades internas, apontar a base legal definitiva para os tratamentos de dados realizados por eles.
Para isso, é essencial que um mapeamento de dados pessoais completo tenha sido realizado, levando em consideração todas as fases do ciclo de vida dos dados pessoais (ou seja, considerando as etapas de coleta, tratamento, compartilhamento, armazenamento e descarte dos dados pessoais)”, explica Ricardo Weberman, Sócio do escritório Garcia, Soares de Melo e Weberman Advogados Associados.
Trilha da reserva no hotel escolhido
Como já observado anteriormente, a trilha a ser seguida pelo hóspede para a escolha do seu hotel bem como para a realização da sua reserva pode contar com uma série de sistemas e players envolvidos, o que exige inclusive atenção e gerenciamento do hotel, a fim de que possa atrair a atenção dos seus futuros hóspedes. É claro que estes sistemas de reservas não são os únicos existentes e, dependendo do modelo de negócios dos hotéis, parte dos sistemas aqui descritos podem não ser utilizados. Mas o interessante na nossa análise é o fato de estressarmos o caso mais desafiador, ou seja, aquele que envolve o maior número de conexões, sistemas e empresas intermediárias, relacionadas ao mesmo procedimento visualizado pelo Titular dos Dados Pessoais.
Ao navegar por uma das OTA´s – Agências de Turismo On-line através de um computador, tablet ou smartphone, o hóspede se depara com as ofertas, descrições, diferenciais e avaliações diversas feitas pelos hóspedes que já se hospedaram nos hotéis presentes no destino escolhido. Ao selecionar o hotel desejado, fornece os seus dados pessoais solicitados para a realização da sua reserva.
Tais dados têm como destino o hotel selecionado e, até chegar nele, trafegam por sistemas intermediários, fornecidos por diferentes empresas, que são responsáveis pela organização e gerência das ofertas feitas pelos hotéis ao mercado, atualizando o inventário do hotel nos diferentes tipos de canais de venda utilizados pelo hotel – (“Channel Managers” – CM), além de sistemas centrais de reservas (“Central Reservation System – CRS) que são responsáveis pela “tradução”, “organização” e “distribuição” organizada e eficaz das reservas dentro do sistema de gestão hoteleiro, conhecido como sistemas de gestão de propriedade (tradução do nome em inglês “Property Management System” – PMS), este último já dentro do hotel (o qual é também fornecido por uma empresa do mercado), responsável pelo monitoramento e controle automatizado das ações internas dos hotéis.
Note que neste caminho, diferentes players tiveram acesso aos dados pessoais enviados pelos titulares de dados pessoais (futuros hóspedes) do hotel selecionado. Além destas ferramentas, existem aquelas que são associadas aos sites dos hotéis, a fim de receberem as reservas feitas pelos próprios titulares de dados pessoais (futuros hóspedes) diretamente no site do hotel, conhecidas como “motores de reserva”. Além delas e por fim, existem ainda ferramentas operadas pelas agências de turismo, operadoras e empresas para viabilizar as reservas nos hotéis, conhecidas como sistemas de distribuição global (em inglês conhecidas como “Global Distribution Systems”, os “GDS”).
A figura abaixo ilustra a diversidade de ferramentas, aplicações e sistemas utilizadas nesta jornada para a efetivação da reserva dos hóspedes nos hotéis.
Já dentro dos limites do hotel, outras aplicações (também fornecidas por outras diferentes empresas do mercado) são operadas e gerenciadas de forma integrada com o sistema de gestão hoteleiro (PMS), com funções e responsabilidades diversas, tais como dar as boas-vindas do hóspede ao hotel, convidar os hóspedes a realizarem os respectivos check-ins de forma prévia (web check-in) e realizar pesquisas de satisfação tão logo os hóspedes façam os seus respectivos check-outs. Importante salientar que, tais serviços operam com dados pessoais dos hóspedes, provenientes dos próprios bancos de dados do hotel, o que deve ser acompanhado de perto e com muita atenção.
As empresas que operam com tais dados pessoais em nome do hotel, perante a Lei, podem assumir o papel de Operadores de dados, os quais, segundo o texto legal, são os agentes responsáveis por realizar o tratamento de dados em nome do Controlador e conforme a finalidade por este delimitada, possuindo responsabilidades para a realização dos referidos tratamentos de dados pessoais, incluindo, mas não se limitando, as seguintes:
- Fornecimento da garantia da segurança dos dados pessoais tratados em nome do Controlador;
- Garantia da limitação do tratamento dos dados pessoais apenas e de acordo com as instruções fornecidas pelo Controlador;
- Respeito a todos os direitos conferidos pela Lei aos titulares dos dados pessoais, bem como aos princípios legais definidos pela Lei, sendo capaz de demonstrar a plena conformidade com estes requisitos;
- Cumprimento de todas as obrigações legais impostas pela LGPD;
- Adoção de medidas técnicas e administrativas aptas a proteger os dados pessoais tratados;
- Limitar o acesso aos dados pessoais tratados em nome do Controlador apenas a colaboradores que realmente necessitam dos mesmos e;
- Notificar o Controlador imediatamente a respeito de qualquer episódio de violação de segurança ocorrido com os dados que realiza o tratamento.
A questão é que os dados pessoais dos hóspedes são acessados e compartilhados por várias empresas e sistemas diferentes, requerendo que cuidados especiais sejam tomados tanto pelos Controladores quanto pelos Operadores de dados pessoais a fim de se evitar a ocorrência de episódios de violação de segurança, bem como que sejam claramente definidas as responsabilidades e funções de cada um nos processos de tratamentos de dados pessoais.
Além disso, é muito importante, no caso da existência de episódios de violação de segurança em um ecossistema composto por tantas sistemas e players diferentes, que os hotéis possam comprovar que estão seguindo todos os requisitos legais da LGPD, bem como que possuam todos os registros referentes aos tratamentos de dados pessoais que realizam.
Tratamento de dados pessoais internamente ao hotel
Diferentemente do que possa parecer, hotéis não tratam apenas dos dados pessoais dos seus hóspedes, mas também dos seus colaboradores, candidatos a vagas de emprego, passantes, participantes de eventos, convidados, novos clientes, visitantes, parceiros de negócio, prestadores de serviço e fornecedores, o que também deve ser feito em consonância com os requisitos legais da LGPD. Para exemplificar os conceitos e boas práticas de tratamentos de dados pessoais realizados no segmento hoteleiro, vamos considerar o caso da Rede Vitória Hotéis, do interior de São Paulo. A Rede buscou auxílio da Conformidados Treinamento, Educação e Consultoria Ltda., empresa especializada na prestação de serviços de adequação de empresas de diversos segmentos aos requisitos legais da LGPD, para realizar o seu processo de adequação. Como exemplo, podemos citar o departamento de Recursos Humanos da Rede. O departamento definiu de forma muito clara as finalidades para as realizações dos tratamentos de dados pessoais nos cinco processos internos que administra, a saber: Processo de recrutamento e seleção; processo de admissão e processo enquanto colaborador ativo; processo de demissão e processo de pós-demissão.
Cada um destes processos foi minunciosamente mapeado e analisado, respeitando-se as fases do ciclo de vida do dado pessoal em cada um deles, a fim de se obter o conhecimento sobre os tratamentos de dados pessoais realizados, bem como se avaliar as eventuais inconsistências (gaps) presentes nas operações correntes dos referidos processos em relação aos requisitos legais da LGPD. “Analisamos simplesmente todos os processos internos que realizam algum tipo de tratamento de dados pessoais, desde o momento em que o dado pessoal entra no processo, até o momento que precisa deixá-lo, considerando todos os detalhes envolvidos com os tratamentos, o que foi fundamental para que as eventuais inconsistências específicas presentes na operação corrente dos processos pudessem ser apontadas para serem então corrigidas. Este trabalho exigiu muito foco, imersão e conhecimento profundo do modelo de negócios do departamento e do hotel”, lembra Marcos Brocchi, Gerente de recursos humanos da rede Vitória Hotéis.
Segundo ele, a realidade do departamento de RH dentro de um hotel pode ser comparada ao departamento de RH de qualquer empresa do mercado. Para isso, deve-se respeitar a Legislação Trabalhista, agora em harmonia com à LGPD. “Temos que tratar dados pessoais que sejam essenciais para as nossas atividades internas legalmente definidas, e ao se restringir a este amparo legal, lidar com o mínimo de dados pessoais possíveis. Não há mais espaço para tratar dados que não tenham esse amparo. Além disso, temos que respeitar os direitos dos titulares de dados pessoais bem como resguardar os seus dados de acordo com princípios legais, a fim de realizar o tratamento dos seus dados de acordo com a conformidade legal exigida”, ressalta Brocchi.
Dependendo do modelo de negócios do hotel, vários outros departamentos também realizarão tratamentos de dados pessoais específicos e relativos às suas operações, muitas vezes de forma despercebida, como parte das atividades realizadas pelos seus colaboradores internos, ou também como parte dos serviços prestados por empresas terceirizadas, constituindo um desafio para serem mapeados a fim de que se possam ser analisados e eventualmente adequados, quando necessário, aos requisitos da LGPD.
Dentro da área de operações da Rede Vitória Hotéis, foram identificados vários tipos de dados pessoais que são tratados dos hóspedes, passantes, participantes de eventos, convidados, novos clientes, visitantes, parceiros de negócio, prestadores de serviço e fornecedores. “Realizamos o mapeamento de cada um dos departamentos, ou melhor, de cada um dos processos internos que realizam o tratamento de dados pessoais em cada um deles. Analisamos as finalidades pelas quais realizamos o tratamento dos dados pessoais em cada uma das fases do ciclo de vida dos dados dos nossos hóspedes e clientes, visando evitar que qualquer tipo de dado pessoal tratado deixasse de ser considerado. O resultado das análises apontou a direção e as ações que deverão ser seguidas para as necessárias adequações, bem como a prioridade do atendimento das mesmas, tanto no tocante ao respeito dos direitos dos titulares de dados pessoais quanto dos princípios legais e das inconsistências específicas de cada processo analisado”, menciona Ana Carolina Lopes Murad, Gerente geral da rede vitória hotéis. Mas ela revela que é um processo longo, que requer foco, dedicação e muito conhecimento a respeito dos processos internos e necessidades do hotel. Somado a isso, estão conhecimentos multidisciplinares aplicados nas análises realizadas a fim de iluminar as inconsistências a serem sanadas, de modo que possa coexistir a necessidade de adequação da Lei e a operação.
Diferentes serviços oferecidos por empresas terceiras também realizam o tratamento de dados pessoais dos hóspedes, mediante o acesso a estes dados. É o caso dos serviços de reposição de alimentos e bebidas nos frigobares dos apartamentos, como também o serviço de lavanderia. Podemos citar também o exemplo de empresas prestadoras de serviço de web check-in, que possuem acesso ao banco de dados do hotel, o qual é muito rico em informações pessoais dos hóspedes.
Em todos os casos em que empresas terceiras tenham acesso aos dados pessoais dos hóspedes, é imperativo que as informações acessadas sejam utilizadas apenas para a prestação do serviço contratado pelo hotel, de acordo com as suas orientações e finalidades estabelecidas. “Para que todos esses processos e procedimentos sejam muito bem mapeados e controlados, também deve haver a entabulação de contratos de prestação de serviços contendo, além de todas as necessidades padrões, a forma e finalidade do tratamento de dados pessoais e os papéis e responsabilidades das partes como agentes de tratamento”, adverte Larissa Pigão, Advogada sócia no escritório Pigão, Ferrão e Fioravante Sociedade de Advogados.
É imperativo que os hotéis possam atestar a qualidade das empresas para as quais compartilharão os dados pessoais (ou facultarão os acessos diretos nos seus bancos de dados), a fim de evitar problemas futuros com eventuais episódios de violação de segurança, que poderão gerar danos diversos aos hóspedes, além de danos financeiros e reputacionais para o próprio hotel.
Sanções legais da LGPD
Como todas as Leis, a LGPD também tem prevista as suas Sanções Administrativas a serem aplicadas no caso de desrespeito aos seus requisitos legais. Estas sanções ficarão a cargo da ANPD – Autoridade Nacional de Proteção de Dados, órgão federal responsável por várias funções, dentre as quais zelar pela proteção dos dados pessoais e por fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação. Tais sanções passarão a valer no dia 1° de agosto de 2021, fazendo com que a LGPD possa estar efetivamente válida em todas as suas disposições. É importante salientar que a LGPD já está em vigor no Brasil desde 2020 e que, desde então, toda e qualquer empresa que realize qualquer tipo de tratamento com dados pessoais tem a obrigação de seguir os seus requisitos legais.
Utilização de processos e ferramentas adequadas
A manutenção das empresas adequadas não é uma tarefa muito simples de ser realizada, uma vez que requer atenção e muito controle na verificação do rol de dados pessoais tratados em cada um dos processos internos que trata dados pessoais. Como apontado anteriormente, a fim de atender à conformidade legal, registros referentes a todos os tratamentos de dados pessoais realizados por todos os processos internos da empresa devem ser realizados, sendo as suas manutenções de responsabilidade delas. E para isso, processos e ferramentas devem ser utilizados.
Processos adequados advindos de mapeamentos especializados nos processos que realizam o tratamento de dados pessoais devem ser utilizados, a fim de que possam ser implementadas as medidas administrativas para a manutenção da conformidade legal.
Medidas técnicas devem ser também adotadas para a manutenção das empresas adequadas, de acordo com os modelos de negócio de cada um dos processos internos que realizam os tratamentos de dados pessoais, dentre as quais podemos ressaltar a importância da utilização da ferramenta DLP.
O DLP é uma sigla em inglês que significa “Data Los s Prevention”, que se traduz por “Prevenção à perda de Dados “. É uma solução tecnológica criada para atender às demandas atuais de controle, monitoramento e segurança sobre as informações e dados que são tratados internamente pelas empresas, as quais podem ser estratégicas, confidenciais ou que não possam ser divulgados por força legal (como é o caso dos dados pessoais), visando mitigar riscos com compartilhamentos de dados/informações de forma acidental ou premeditada, aumentando a segurança com os ativos de informação.
Implantar uma ferramenta de DLP nas empresas é sempre um desafio, pois devem ser criadas as regras de restrição para o tratamento de dados pessoais de acordo com as requisições das empresas, respeitando-se os seus modelos de negócios. Além disso, deve-se associar a praticidade de uma ferramenta de monitoramento sem que exista a concorrência pelos recursos das máquinas utilizadas pelas empresas. Além disso, ela não pode ser invasiva, evitando que os usuários se sintam monitorados de maneira desproporcional em tudo o que fazem, porém registrando e alertando todos os tipos de tentativas de tratamentos de dados pessoais irregulares realizados pelos mesmos, mantendo as devidas evidências dessas tentativas para averiguações do Encarregado pelo tratamento de dados pessoais da empresa, o qual recebe os alertas emitidos pela própria ferramenta indicando tais tentativas.
Complementando a importância da utilização de ferramentas adequadas e, de acordo com o que foi mencionado anteriormente, em termos de armazenamento de dados pessoais, menos é mais. Nem mais, nem menos do que os dados estritamente necessários devem ser tratados, respeitando-se o princípio da necessidade definido na Lei, além de ser necessário a eliminação das cópias desnecessárias. Assim, uma grande preocupação que as empresas possuem é a de identificarem onde se encontram os dados pessoais na corporação.
Neste sentido, podemos citar a importância da utilização de uma outra ferramenta, o “Discovery Scan”, que pode ser utilizada pelas empresas para a realização de uma varredura de todos os computadores utilizados nas suas operações, verificando os seus arquivos bem como os dados pessoais que são tratados neles, além de verificar se existem copias indevidas de arquivos ou não, bem como os locais nos quais eles estão armazenados. Tal ferramenta permite que o conteúdo de arquivos seja inspecionado, proporcionando que um inventário completo das informações tratadas seja realizado, incluindo dados pessoais que são tratados.
Também podem ser feitas buscas avulsas em todos os arquivos de uma organização, mediante à utilização da ferramenta “Discovery Ativo”, a qual, além de localizar os arquivos que contém dados pessoais de uma determinada pessoa, pode inclusive deletar nomes ou ainda torná-los anonimizados (desassociação dos dados pessoais com os seus titulares) sem inutilizar os arquivos, mantendo estes com os demais dados intocados. Estas ferramentas são muito utilizadas no atendimento das demandas dos titulares de dados pessoais por um dos seus direitos conferidos pela LGPD, ao solicitarem que os seus dados sejam descartados (se/quando possível, claro) ou devidamente anonimizados.
Processo complexo
O processo de adequação dos hotéis aos requisitos legais da LGPD é um processo complexo, composto por etapas e procedimentos específicos, envolvendo conhecimentos de uma série de áreas para o completo e efetivo mapeamento de dados pessoais que são tratados por cada processo interno ou departamento, de acordo com os seus modelos de negócio e necessidades internas. Inconsistências presentes na operação corrente dos hotéis de acordo com os requisitos legais da LGPD deverão ser corrigidas a fim de que os hotéis possam operar em consonância com os requisitos legais da LGPD, evitando a ocorrência de episódios de violação de segurança tanto internamente como externamente, o que pode causar danos diversos aos hóspedes bem como aos hotéis.
Vale lembrar que tais processos de adequação são únicos, implementados de acordo com as necessidades internas de cada hotel, sendo ineficazes se reproduzidos de outros hotéis que já realizaram as suas devidas adequações. Processos adequados e ferramentas especializadas deverão ser implantadas nos hotéis, independentemente dos seus portes e volumes de dados tratados, visando a garantia do controle sobre o tratamento de dados que realizam em todos os processos internos ou departamentos. “Por mais profundos e complexos que sejam os processos de adequação dos hotéis aos requisitos legais da LGPD, são possíveis de serem realizados e de forma totalmente compreensível, mediante ao emprego de metodologias e procedimentos adequados. De nada adianta impor mudanças e criar culturas internas de proteção de dados pessoais sem que as necessidades das suas implementações possam ser devidamente compreendidas e abraçadas por todos aqueles que realizam algum tipo de tratamento de dados pessoais”, revela Giovannini Jr.
Ele lembra que a sua empresa Conformidados atua em total parceria com os clientes em diferentes mercados, e não terceiriza para eles as responsabilidades pela execução dos mapeamentos de dados pessoais. Assim como nem a definição dos devidos ajustes e correções necessárias nas suas operações de acordo com os requisitos legais. “Utilizamos as nossas próprias ferramentas desenvolvidas internamente nos processos de adequação que realizamos, bem como ferramentas homologadas de terceiros que atendam as demandas específicas apontadas nos mapeamentos realizados, visando proporcionar aos nossos clientes a total aderência aos requisitos legais da LGPD. Nos tornamos um hub de soluções visando proporcionar aos nossos clientes uma gama variada de soluções, todas voltadas para a adequação completa aos requisitos legais das leis de proteção de dados pessoais e privacidade, nacionais e/ou internacionais”, concluiu.
Gastos enquadrados como insumos
As empresas aumentaram significativamente suas despesas com o desenvolvimento de sistemas, adequação de novos procedimentos, contratação de organizações especializadas em tratamento das informações, dentre outros. Diante deste cenário o número de consultas das empresas para entender se todos os gastos com LGPD podem ser enquadrados como insumo, aumentou significativamente. “Recentemente, foi proferida uma decisão da 4ª Vara Federal de Campo Grande inaugurando o entendimento judicial de que as empresas podem considerar insumo as despesas com LGPD e, como consequência, podem se creditar de PIS E COFINS. A decisão reconheceu o direito de uma empresa varejista de apurar os créditos de PIS E COFINS sobre os valores gastos com sua governança de dados, com o fundamento de que tais despesas são essenciais e relevantes para a produção dos seus bens. O enquadramento das despesas como essenciais é coerente e razoável, dado que as empresas de todos os setores e tamanho precisam realizar as adequações exigidas pelo fato de ser uma obrigação legal”, explica Angelo Ambrizzi, advogado especialista em Direito Tributário e Líder da área tributária do Marcos Martins Advogados.
Segundo ele, o critério para definir se uma despesa pode ser considerada insumo, para fins de creditamento de Pis e Cofins na sistemática não cumulativa, é a necessidade da despesa ser considerada essencial ou relevância para a realização da atividade fim da empresa. “Tal posicionamento foi definido pelo STJ – Superior Tribunal de Justiça no Recurso Especial no 1.221.170 – PR (Tema 779).
Mesmo com a definição do critério aparentemente objetivo pelo STJ, existem casos em que permanecem dúvidas sobre a essencialidade da despesa para a atividade empresarial e, toda vez que existem elementos interpretativos, nasce o risco de entendimentos divergentes entre empresas e o Fisco. O que, consequentemente, gera uma insegurança jurídica sobre a tomada de decisão. São comuns os casos em que a Receita Federal autua empresas desconsiderando os créditos de Pis e Cofins em razão de desclassificar as despesas como insumos. Dado este cenário de incerteza, muitas empresas estão ajuizando medida judicial adequada para ter reconhecido seu direito de classificar como insumo as despesas com governança de dados, e via de consequência, apurando créditos de PIS e COFINS incidentes sobre estes valores, desde que sejam optantes pelo regime de lucro real. Por isso, recomendamos aos empresários se aconselharem com um especialista em Direito Tributário que terá capacidade técnica de opinar sobre os riscos ou não na decisão do melhor caminho a seguir”, recomenda o advogado Ambrizzi.
