Artigo de Josmar Lenine Giovannini Júnior*
Ao longo dos últimos anos, fomos apresentados a novos conceitos relacionados à proteção de dados pessoais, assegurados no Brasil pela Lei N° 13.709/2018, conhecida como LGPD – Lei Geral de Proteção de Dados Pessoais. Nesse período, adquirimos um novo direito fundamental à proteção de nossos dados pessoais, o que intensificou a preocupação das empresas que coletam, manipulam, usam, guardam ou compartilham essas informações, tanto internamente quanto além das fronteiras do Brasil. Entre essas empresas, os hotéis se destacam, já que lidam com grande quantidade de dados pessoais em suas atividades cotidianas.
Contrariando o que alguns podem imaginar, LGPD não proíbe o tratamento de dados pessoais. Na verdade, ela estabelece normas rigorosas sobre como esses dados devem ser manuseados pelas empresas, sem levar em consideração seu tamanho, faturamento ou número de colaboradores. A Lei atribui responsabilidades às empresas que manuseiam dados pessoais e estabelece direitos para os titulares desses dados. Aquelas empresas que não aderirem às exigências legais podem estar sujeitas a penalidades administrativas e financeiras, o que pode impactar negativamente sua reputação e saúde financeira.
Adequação a conformidade legal
Para se adequarem à LGPD e garantirem a conformidade legal ao manusear quaisquer dados pessoais, as empresas precisam implementar medidas técnicas e administrativas adequadas às suas especificidades de negócio e necessidades internas. Essas ações incluem, entre outras:
- Estabelecimento de políticas internas que regulamentem o tratamento de dados pessoais;
- Obtenção de termos de consentimento (quando necessário) para o tratamento de dados;
- Definição de procedimentos para o manuseio de dados pessoais em todas as fases do ciclo de vida dos dados, que incluem coleta, tratamento, compartilhamento, armazenamento e descarte;
- Criação de normas internas específicas para o tratamento de dados pessoais;
- Implementação de processos para o manuseio de dados pessoais;
- Manutenção de registros atualizados dos tratamentos de dados pessoais realizados por cada processo interno da empresa;
- Armazenamento de documentos relativos aos tratamentos de dados pessoais realizados.
A conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) é um processo contínuo, não se restringindo a uma única ação imutável. A legislação demanda que os registros de tratamento de dados pessoais estejam sempre atualizados. Assim, a manutenção e a atualização da conformidade com a LGPD são aspectos essenciais para as empresas.
A importância da conformidade com a LGPD pelos hotéis não pode ser subestimada. Além dos riscos legais e financeiros, a não conformidade pode levar a danos significativos à reputação dos hotéis. Os consumidores estão cada vez mais conscientes de seus direitos de privacidade e estão escolhendo apoiar empresas que demonstram respeito por esses direitos. Portanto, a conformidade com a LGPD não é apenas uma obrigação legal, mas uma oportunidade para os hotéis construírem confiança e fidelidade com seus clientes.
Dados pessoais tratados – Hotéis
Os hotéis lidam com uma vasta quantidade de dados pessoais de seus clientes, parceiros de negócio e colaboradores, onde a proteção desses dados é crucial para assegurar a privacidade e segurança de todos os envolvidos.
A LGPD implementou regras estritas para o tratamento dessas informações, abrangendo desde a coleta até a manipulação, armazenamento e compartilhamento de dados pessoais. Além disso, a LGPD também exige que os dados pessoais sejam adequadamente descartados ao final de seu uso, tornando a prática do descarte adequado também uma necessidade.
A seguir descrevemos os dados pessoais tratados das categorias apresentadas, os quais deverão ser analisados de forma específica, de acordo com as necessidades internas e modelos de negócio de cada empresa:
Exemplos de dados pessoais tratados pelos hotéis:
Importante: Riscos de tratamentos de dados pessoais inerentes ao modelo de negócios dos hotéis:
Como já mencionado anteriormente, os hotéis tratam grandes quantidades de dados pessoais, inclusive dados pessoais sensíveis. Como tal, eles enfrentam vários riscos associados a essa prática, principalmente no que diz respeito à conformidade com a LGPD no Brasil. Portanto, os riscos associados ao tratamento de dados pessoais pelos hotéis são consideráveis, dentre os quais podemos citar alguns exemplos:
Violação de Dados: Tal como acontece com qualquer empresa que lida com informações sensíveis, os hotéis correm o risco de violações de dados, que podem levar à exposição de informações pessoais. Isso pode ocorrer devido a falhas de segurança, ataques cibernéticos ou negligência interna.
Não Conformidade com a LGPD: Se os hotéis não estiverem em conformidade com os requisitos da LGPD, como obter o consentimento adequado para o uso de dados ou permitir que os hóspedes acessem, corrijam ou excluam seus dados, eles podem enfrentar penalidades severas, incluindo multas substanciais.
Perda de Confiança do Cliente: Se os clientes sentirem que seus dados não estão sendo tratados com segurança e privacidade, eles podem optar por não se hospedar no hotel, levando a uma perda de negócios.
Riscos de Reputação: Violações de dados ou não conformidade com a LGPD podem causar danos significativos à reputação de um hotel, o que pode ser difícil e demorado para reparar.
Fraude e Roubo de Identidade: Dados pessoais, como informações de cartão de crédito, podem ser usados por criminosos para cometer fraude ou roubo de identidade, causando problemas financeiros e de crédito para os hóspedes.
Desafios com Terceiros: Muitos hotéis trabalham com fornecedores terceirizados para serviços como reservas online ou gerenciamento de programas de fidelidade. Se esses terceiros não estiverem em conformidade com a LGPD, o hotel pode ser considerado responsável.
Questões de Segurança Internacional: Para hotéis que operam internacionalmente ou têm hóspedes de outros países, a conformidade com as leis de proteção de dados de vários países pode ser um desafio.
Para mitigar esses riscos, os hotéis precisam implementar práticas sólidas de segurança de dados, estar cientes de suas obrigações sob a LGPD e treinar funcionários sobre como lidar adequadamente com dados pessoais.
Conformidade legal com diferentes regulamentos de proteção de dados pessoais
Para que um hotel no Brasil esteja em conformidade tanto com a Lei Geral de Proteção de Dados (LGPD) quanto com outros regulamentos internacionais de proteção de dados, como o Regulamento Geral de Proteção de Dados da União Europeia (GDPR) e a Lei de Privacidade do Consumidor da Califórnia (CCPA), é necessário tomar uma série de medidas e cuidados especiais. As ações recomendadas incluem:
Política de Privacidade: O hotel deve ter uma política de privacidade que atenda os seus modelos de negócio e tratamentos de dados pessoais que realiza, que seja clara e que informe aos hóspedes como os seus dados pessoais são coletados, tratados (usados, de forma geral), armazenados, protegidos, compartilhados e descartados. A política também deve explicar os direitos dos indivíduos em relação a seus dados pessoais, além dos princípios legais que norteiam o hotel na realização do tratamento dos seus dados pessoais.
Consentimento: O hotel deve obter o consentimento livre, informado e explícito dos hóspedes para coletar e processar seus dados pessoais, quando necessário. A solicitação de consentimento deve ser clara e distinguível, e deve informar os indivíduos sobre seu direito de retirar o consentimento a qualquer momento.
Gerenciamento e Proteção de Dados: O hotel deve implementar medidas técnicas e administrativas adequadas para proteger os dados pessoais dos hóspedes contra acesso, uso, alteração, destruição ou compartilhamentos não autorizados. Isso inclui o uso de tecnologias e a manutenção de backups seguros dos dados.
Dentre as medidas administrativas podemos citar, por exemplo, a criação de normas, procedimentos, políticas e registro de tratamento dos dados pessoais, treinamentos recorrentes e monitoramento do tratamento de dados pessoais executado.
Já dentre as medidas técnicas, podemos citar a importância da análise detalhada da infraestrutura de segurança de TI do hotel, com a aplicação das necessárias melhorias contínuas de acordo com a evolução das tecnologias, bem como a implementação de ferramentas digitais a fim de evitar a perda de dados pessoais do hotel.
Gerenciamento e Proteção de Dados: É imperativo que o hotel implemente medidas técnicas e administrativas adequadas para proteger os dados pessoais dos hóspedes contra acesso, uso, alteração, destruição ou compartilhamento não autorizado. Essas medidas incluem, dentre outras, o uso de tecnologias seguras e a manutenção de backups protegidos dos dados.
No aspecto administrativo, isso pode envolver a criação de normas, procedimentos, políticas e registros detalhados dos tratamentos dos dados pessoais, bem como a realização de treinamentos recorrentes e monitoramento constante do tratamento realizado com dados pessoais.
No lado técnico, é fundamental realizar uma análise detalhada da infraestrutura de segurança de TI do hotel, com a aplicação de melhorias contínuas conforme as tecnologias evoluem. Isso também inclui a implementação de ferramentas digitais para prevenir a perda de dados pessoais do hotel.
Transparência: O hotel precisa garantir transparência em suas práticas de tratamento de dados pessoais durante todas as etapas do ciclo de vida dos dados (incluindo coleta, processamento, compartilhamento, armazenamento e descarte). Além disso, deve facilitar o acesso dos hóspedes a informações sobre seus direitos e como exercê-los.
Encarregado de Proteção de Dados: Tanto a LGPD quanto o GDPR exigem a nomeação de um DPO – Encarregado de Proteção de Dados. Este profissional é responsável por garantir a conformidade com as leis e regulamentos de proteção de dados, incluindo a LGPD, GDPR e CCPA, e atua como ponto de contato entre o hotel, os hóspedes, clientes (passantes), colaboradores, parceiros e as autoridades de proteção de dados. Além disso, o DPO gerencia meticulosamente os tratamentos de dados pessoais realizados dentro do hotel, mantendo atualizados os registros e documentação legalmente exigida à medida que novos tipos de tratamentos de dados pessoais são implementados ou encerrados.
A importância do DPO
O DPO é também responsável por monitorar o tempo pelo qual os dados pessoais são mantidos pelo hotel, em conformidade com as respectivas finalidades de tratamento. Isso inclui a análise e verificação jurídica para a eliminação definitiva e irreversível dos dados pessoais quando necessário.
O DPO pode ter várias outras responsabilidades, que variam dependendo da estrutura interna do hotel, do modelo de negócios e das necessidades específicas de tratamento de dados pessoais.
Avaliação de Impacto de Proteção de Dados: Para processos que possam resultar em alto risco para os direitos e liberdades dos indivíduos, tanto o GDPR quanto a LGPD requerem uma Avaliação de Impacto de Proteção de Dados.
A Avaliação de Impacto à Proteção de Dados (DPIA) é um processo projetado para ajudar uma organização a identificar e minimizar os riscos de privacidade de um novo projeto ou sistema. Uma DPIA é obrigatória sob a Regulamentação Geral de Proteção de Dados (GDPR) da União Europeia para processamentos que podem resultar em um alto risco para os direitos e liberdades das pessoas físicas. Inclui uma descrição do processamento, uma avaliação da necessidade e proporcionalidade, uma avaliação dos riscos para os direitos e liberdades dos titulares dos dados e as medidas de mitigação propostas.
Já o RIPD – Relatório de Impacto à Proteção de Dados Pessoais é um termo específico da LGPD do Brasil, similar à DPIA na GDPR. O RIPD é um documento que a ANPD – Autoridade Nacional de Proteção de Dados pode exigir de uma organização para demonstrar o cumprimento da LGPD, em casos em que o tratamento de dados possa gerar riscos às liberdades civis e aos direitos fundamentais. O RIPD incluirá a descrição dos tipos de dados coletados, a metodologia usada para a coleta e garantia da segurança das informações, e as medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Assim, os hotéis devem estar cientes das situações em que esses documentos são necessários e estar preparados para realizá-los quando necessário.
Transferência Internacional de Dados: Se o hotel transferir dados pessoais para fora do Brasil ou da UE, ele deve garantir que as proteções adequadas estejam em vigor. Isso pode envolver a utilização de cláusulas contratuais padrão ou a garantia de que o destinatário dos dados está localizado em um país com um nível adequado de proteção de dados.
Treinamento de Funcionários: Todos os funcionários devem receber treinamentos regulares sobre como lidar com dados pessoais de maneira segura e em conformidade as leis e regulamentos de proteção de dados, incluindo a LGPD, GDPR e CCPA.
É importante ressaltar que, embora os regulamentos globais tenham muitas semelhanças, existem também algumas diferenças, e a conformidade com um não garante automaticamente a conformidade com o outro. Portanto, os hotéis devem consultar sempre especialistas na área de proteção de dados para garantir que estejam em conformidade com todas as leis e regulamentos aplicáveis.
Gestão da Conformidade: Desafios e Benefícios da Adequação Contínua da Empresa – LGPD
A LGPD estabelece uma série de requisitos rigorosos para a coleta, tratamento, compartilhamento, armazenamento e descarte de dados pessoais. A conformidade com a LGPD é uma tarefa complexa e contínua, apresentando vários desafios para as empresas, especialmente quando se trata de gerir os dados pessoais que manipulam. Contudo, a manutenção da conformidade pode trazer benefícios significativos, maximizando o retorno dos investimentos feitos na jornada de adequação aos requisitos da LGPD.
A gestão de dados pessoais é um dos aspectos mais desafiadores na conformidade com a LGPD. As empresas coletam e tratam uma grande quantidade de dados pessoais em suas operações cotidianas, e assegurar que esses dados sejam manipulados de maneira adequada e segura pode ser uma tarefa complexa. As empresas necessitam desenvolver processos robustos para rastrear, por exemplo, a coleta de dados, o consentimento dos titulares (quando necessário), o uso dos dados, os compartilhamentos e as exclusões.
Outro desafio é a natureza dinâmica da LGPD. A lei está sujeita a interpretações e orientações regulatórias que podem evoluir ao longo do tempo. Manter-se atualizado com estas mudanças e ajustar as práticas de gestão de dados de acordo é uma tarefa contínua que requer uma abordagem proativa.
Apesar desses desafios, a conformidade contínua com a LGPD traz benefícios significativos para as empresas. Primeiramente, minimiza o risco de sanções legais e danos à reputação que podem decorrer de uma violação de dados. Além disso, a conformidade com a LGPD pode melhorar a confiança e o relacionamento com clientes, funcionários e parceiros, pois demonstra um compromisso com a privacidade e a proteção de dados.
A manutenção da conformidade com a LGPD também possibilita às empresas maximizar o retorno dos investimentos realizados na jornada de adequação à Lei. Esses investimentos podem abranger a implementação de novas metodologias, impulsionadas pelas estratégias de gestão de dados pessoais, bem como treinamentos regulares de colaboradores e parceiros. Ao assegurar a conformidade contínua com os requisitos legais da LGPD, as empresas podem garantir que esses investimentos sigam proporcionando benefícios a longo prazo.
Para concluir, a conformidade e a respectiva manutenção com os requisitos legais da LGPD é uma necessidade urgente e bem importante para todos os hotéis. Com a orientação correta e um compromisso sólido com a proteção de dados pessoais, estes hotéis podem navegar com sucesso neste novo cenário técnico-jurídico, mitigando riscos e aproveitando a oportunidade para se destacarem como líderes em privacidade e proteção de dados. Trata-se de um investimento que vale a pena, pois garante a segurança e a privacidade dos dados dos titulares, o cumprimento da legislação e a construção de um relacionamento de confiança com hóspedes, clientes, funcionários e parceiros.
Aviso Legal: Este artigo tem apenas finalidade informativa sobre casos de aplicação da Lei Geral de Proteção de Dados (LGPD) e não deve ser considerado como aconselhamento jurídico. As informações nele relatadas não constituem uma interpretação completa ou exaustiva da LGPD e a aplicação da lei pode variar de acordo com casos concretos/circunstâncias individuais. Recomendamos que os leitores procurem aconselhamento profissional especializado para compreender como a LGPD se aplica em seus casos específicos. O autor e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas, bem como por quaisquer consequências resultantes de qualquer interpretação ou aplicação inadequada da LGPD.
*Josmar Lenine Giovannini Júnior é Diretor da empresa Conformidados, especializada na LGPD – Contato: josmar.giovannini@conformidados.com.br
