Tratamento de dados dos clientes dos hotéis para atender a LGPD
Artigo de Josmar Lenine Giovannini Júnior*
A sanção da LGPD – Lei Geral de Proteção de Dados Pessoais trouxe para o mercado uma nova (e importante) demanda referente às formas pelas quais os dados pessoais das pessoas físicas (os “titulares” dos dados pessoais) devem ser tratados pelas corporações, independentemente dos mercados nos quais atuem, do número de colaboradores que possuam ou dos seus volumes de faturamento. Assim, toda e qualquer empresa que realize qualquer tipo de ação com dados pessoais deverá se adequar aos requisitos legais da Lei, criando a sua cultura interna de proteção de dados pessoais, única e exclusiva, aderente às suas demandas internas e modelos de negócios que realizam tais tratamentos de dados pessoais, de acordo com a conformidade legal exigida.
Quando imaginamos as atividades realizadas com dados pessoais nos hotéis, logo pensamos nos dados pessoais tratados pela área de reservas e pela área de recepção. Isso porque tais áreas interagem diretamente com os titulares de dados pessoais (hóspedes do hotel) na coleta de dados pessoais e informações a serem utilizadas para viabilizar as suas estadias nos hotéis.
Por exemplo, dentre outras atividades realizadas, a área de reservas necessita utilizar os dados dos hóspedes para a realização dos devidos cadastros no sistema hoteleiro utilizado pelo hotel para efetivação da reserva, bem como para identificar as eventuais preferências que sejam eventualmente ressaltadas pelos hóspedes. Já a área de recepção necessita utilizar os dados pessoais dos hóspedes para efeitos de check-in e checkout, preenchimento da FNRH – Ficha Nacional de Registro de Hóspedes, para o gerenciamento de documentos que devam ser tratados e eventualmente coletados pelos hotéis (quando necessário), bem como para o caso do fornecimento de serviços disponibilizados para os hóspedes, dentre outras.
Porém, a depender da estrutura oferecida pelo hotel, o tratamento de dados pessoais realizado vai muito além dos tratamentos realizados por estas duas importantes áreas. Uma das áreas internas do hotel que também realiza o tratamento dos dados pessoais de hóspedes é a área de governança, em função da organização, limpeza e arrumação dos apartamentos e espaços do hotel que realiza, podendo ter acesso aos dados dos hóspedes dos apartamentos que se encontram ocupados. Além disso, no checkout, não é raro que pertences sejam encontrados na limpeza dos apartamentos já desocupados, os quais devem ser reservados (devidamente identificados) para os seus proprietários. A área de governança é também responsável pela reposição de itens consumidos nos frigobares, tendo acesso a eventuais hábitos de consumo dos hóspedes, que são considerados como dados pessoais deles. Além disso, a área pode fazer a interface com eventuais prestadores de serviços externos ao hotel, tais como lavanderias, o que inclui mais uma vez o tratamento de dados pessoais dos hóspedes.
Tratamento de dados pessoais
Caso o hotel realize eventos, mais dados pessoais são tratados pela área de eventos. Consideraremos neste artigo a realização de conferências/convenções como exemplo de um evento a ser realizado, uma vez que magnitudes diversas de eventos podem envolver o tratamento de outros tipos de dados pessoais. Neste exemplo específico, dados pessoais são tratados na identificação dos hóspedes e/ou participantes do evento (não hóspedes), a fim de que possam usufruir dos serviços prestados pelo hotel e que foram contratados para o evento. Além da identificação, que pode incluir nome e eventual documento de identificação dos participantes, dados pessoais como a imagem dos participantes do evento poderão ser capturadas/monitoradas/armazenadas pelo sistema de CFTV do hotel, exemplificando outros tipos de tratamentos realizados, merecendo a atenção do hotel para que sejam realizados de acordo com a conformidade legal.
Para a realização do evento, a depender da infraestrutura física utilizada pelo hotel, a disponibilização de acessos à internet é fundamental que seja providenciada aos participantes, cabendo aos usuários o cadastramento com o fornecimento das suas identificações para terem acesso à rede internet disponibilizada, evitando assim eventuais problemas futuros para o hotel referentes aos tipos de dados tratados pelos acessos fornecidos para os participantes durante o evento, exemplificando mais um tipo de tratamento de dados pessoais realizado pela área.
Além de tais tratamentos de dados pessoais, a depender da estratégia utilizada e da estrutura oferecida pelos hotéis, dados dos participantes dos eventos poderão ser eventualmente compartilhados com outros departamentos do hotel. Como exemplo, podemos citar o compartilhamento de dados com o restaurante, para a identificação dos hóspedes/participantes do evento nas refeições contratadas. Já com a área de marketing, dados dos participantes do evento poderão ser eventualmente compartilhados para a realização de ações e campanhas visando a promoção do hotel. Com a portaria, nomes e eventuais placas de veículos poderão ser compartilhados a fim de facultar aos participantes do evento o estacionamento nas dependências do hotel. Para que tais compartilhamentos possam ser realizados, deverá ser respeitado o rigor legal exigido pela LGPD.
O restaurante do hotel é uma área que também realiza importantes tratamentos de dados pessoais, tanto de hóspedes quanto de passantes. Neles são realizadas as identificações dos hóspedes para controle do café da manhã, bem como para os lançamentos de consumos efetuados pelos mesmos. Caso o restaurante também seja aberto ao público, quando necessário, é realizada também a identificação de passantes para a emissão do cupom fiscal, atendendo ao pedido dos mesmos, bem como também para a realização das reservas de mesas. Caso seja oferecido o serviço de delivery pelo restaurante, dados pessoais dos clientes solicitantes são também tratados para viabilizar as referidas entregas solicitadas.
A área de segurança do hotel também realiza vários tipos de tratamentos de dados pessoais referentes aos hóspedes e frequentadores do hotel. Profissionais da área são treinados a monitorar perfis e ações de hóspedes e frequentadores do hotel, visando prevenir e evitar qualquer tipo de ocorrência indesejada. Além disso, imagens capturadas/monitoradas/armazenadas pelo sistema de CFTV do hotel (a depender do tipo/estratégia do hotel) exigem que que cuidados específicos sejam tomados para a devida garantia da privacidade dos titulares de dados. Tais cuidados devem ser estendidos quando, além das imagens, tais sistemas forem habilitados para a captura de sons, exemplificando mais dados tratados pela área.
Já a área de TI tem acesso aos dados digitais tratados internamente ao hotel, tendo, por conseguinte, a responsabilidade para a aplicação de medidas técnicas e administrativas visando garantir a proteção de todos os tipos de dados pessoais tratados, bem como prevenir a ocorrência de episódios de violação de segurança.
Alguns hotéis disponibilizam academias para os seus hóspedes. Nestes casos, dados pessoais podem ser tratados no controle dos acessos dos hóspedes a tais espaços, a depender da infraestrutura oferecida pelo hotel. Manutenções também são frequentes em todos os hotéis. Assim, a fim de efetuar os devidos reparos necessários (reportados ou não pelos hóspedes), dados sobre os ocupantes dos apartamentos poderão eventualmente ser tratados pela área de manutenção interna ou externa do hotel.
Não podemos nos esquecer das áreas de “BackOffice” dos hotéis, que realizam também importantes tratamentos de dados pessoais. Como exemplo, podemos mencionar a área de RH, que realiza uma série de tratamentos de dados pessoais relativos aos colaboradores do hotel, bem como a área de marketing, que concentra uma grande quantidade de dados pessoais dos hóspedes e passantes a fim de realizar as suas campanhas e promoções dos hotéis.
É fato que em determinados tipos de hotéis não exista a separação das áreas anteriormente citadas como exemplos, o que não significa dizer que os referidos tratamentos de dados pessoais mencionados (ou uma parte deles) não sejam realizados. Assim, cada hotel é único com relação aos tratamentos de dados pessoais que realizam, e como únicos devem ser tratados, a fim de que sejam devidamente adequados aos requisitos legais da LGPD.
Bússola para a adequação
O tratamento de dados adequado não se limita apenas à forma correta aplicada na coleta dos dados pessoais, independentemente das mídias nas quais estes se apresentem (mídia física – papel, ou mídia digital). Os dados pessoais coletados são também processados/utilizados pelos hotéis a fim de atender a finalidade que gerou as suas determinadas coletas. Tais dados eventualmente podem ser também compartilhados, internamente e/ou externamente aos hotéis, além de serem também armazenados em função de diversas razões, o que deve ser feito de forma conveniente e segura. Após um determinado período, a ser determinado de acordo com a finalidade dos tratamentos realizados e/ou de acordo com a temporalidade definida para a guarda, tais dados pessoais também devem ser descartados de forma permanente, de acordo com a LGPD.
Assim torna-se visível a importância das adequações específicas a serem realizadas em todos os processos internos dos hotéis que tratam dados pessoais, bem como as devidas adequações jurídicas e adequações de TI. Importante ressaltar que estas adequações devem ser realizadas por profissionais devidamente gabaritados e habilitados, visando suportar as necessidades específicas dos hotéis quanto aos tratamentos de dados pessoais realizados.
Todos os tipos de tratamentos de dados pessoais mencionados como exemplos neste artigo, assim como os demais realizados e não relacionados, devem ser realizados dentro do rigor legal exigido pela LGPD. Para isso, primeiramente, devem ser respeitados os direitos fundamentais dos titulares com relação aos seus dados pessoais que são tratados, bem como todos os princípios legais da Lei.
Deve-se também ter o devido cuidado na definição das hipóteses legais definidas pela LGPD que facultam o tratamento de dados pessoais, a fim de que, juntamente com elas, sejam determinadas as necessárias medidas técnicas e medidas administrativas a serem tomadas visando o adequado tratamento de dados pessoais. Além disso, devem ser definidas também as durações dos tratamentos de dados pessoais realizados, de acordo com as análises jurídicas de cada tratamento de dados pessoais. Importante ressaltar que tais atividades necessitam do trabalho de técnicos e advogados especializados para que sejam realizadas.
Por fim e, como já ressaltado anteriormente, assim que atingido o período limite para os seus tratamentos, os dados pessoais deverão ser definitiva e irreversivelmente descartados pelos hotéis, definindo assim o término das suas responsabilidades sobre eles.
*Josmar Lenine Giovannini Jr é Fundador da empresa Conformidados e especialista em LGPD para o segmento hoteleiro.
Contato: E-mail: josmar.giovannini@conformidados.com.br
