O que muda na hotelaria com a vigência da LGPD

No dia 18 de setembro entrou em vigência a Lei Geral de Proteção de Dados (LGPD), que regulamenta como as empresas e os órgãos públicos devem coletar e usar os dados de pessoas físicas no país. Na edição 413, fizemos uma matéria completa sobre a LGPD.

Agora, as empresas que possuem dados pessoais de clientes e funcionários, como RG, telefone, estado civil, endereço, entre outras informações que permitem identificar o seu titular diretamente ou indiretamente, devem se adequar às novas regras de segurança estabelecidas pela LGPD.

“Os colaboradores deverão mudar a forma como coletam e tratam [usam] os dados. Antes das regulamentações de proteção de dados pessoais, as empresas tinham por hábito coletar o máximo de informações para depois avaliar o que deveria e poderia ser feito. Com a LGPD em vigor, as empresas deverão definir o objetivo e a finalidade para os quais o dado deverá ser coletado antes de iniciar o processo”, explica o especialista em LGPD e diretor associado da ICTS Protiviti, André Cilurzo.

A gestão de dados pessoais está presente em praticamente toda a jornada da atividade hoteleira, desde o preenchimento da ficha de hospedagem durante o check-in, passando pelo registro de um novo funcionário pela área de RH, pelos contratos assinados com os fornecedores, em formulário digitais, até o envio de um e-mail marketing comunicando aos clientes uma nova promoção. O fluxo de dados é contínuo dentro dos hotéis, e o papel da LGPD agora é organizar e elevar o nível de segurança desses procedimentos internos para impedir que essas informações sejam vazadas.

O primeiro ponto a ser esclarecido sobre a vigência da LGPD é que as sanções – que vão de advertências a multas que podem alcançar o valor de R$ 50 milhões – ainda não estão em vigência. A advogada especialista em Privacidade e Proteção de Dados e Professora do Curso de Extensão do Data Privacy Brasil, Maria Cecilia Oliveira Gomes, explica que “as sanções da LGPD vão entrar em vigor em agosto de 2021. Isso significa que somente naquele momento é que vão passar a vigorar as multas, as sanções administrativas e as penalidades previstas na lei caso haja vazamentos de dados, descumprimento de direitos, entre outros”.

Prioridades

A Lei Geral de Proteção de Dados não estabelece uma ordem de prioridade para iniciar a adequação. Mesmo assim, há algumas ações que são importantes para organizar essa jornada. O primeiro passo é identificar o ciclo de vida dos dados pessoais dentro do hotel (como e quais dados são coletados, por quais áreas passam, como são armazenados, com quem são compartilhados, como são descartados) e verificar como eles são protegidos.

“É importante entender quais ações de proteção de dados já existem dentro da empresa e iniciar um mapeamento dos fluxos das operações e procedimentos internos a fim de melhorar ou implementar processos como políticas, treinamentos, capacitação, revisão de documentos e de contratos e a criação de uma estrutura de governança de proteção de dados”, afirma Maria Cecilia.

André Cilurzo pontua que esse inventário precisa ser detalhado e o mais importante é ter a clareza sobre o objetivo da utilização dos dados. “A empresa deve identificar qual é a finalidade do tratamento e, partir disso, definir um prazo de retenção e processo de descarte das informações de acordo com as exigências e necessidades de cada atividade”.

E especifica: “A identificação deve ser feita por meio de entrevistas junto aos responsáveis pelas atividades e deve ser registrada em documento, descrevendo o objetivo da atividade, quais dados são coletados e se existe base legal para o tratamento do dado de acordo com a LGPD. O responsável deverá trabalhar em conjunto com departamento jurídico para que este consiga fazer uma atribuição de base legal a fim de reduzir o risco de tratamento indevido do dado”.

Entre as bases legais previstas pela LGPD para fundamentar o tratamento (uso) de dados pessoais, há quatro que são prioritárias para a hotelaria:

  • consentimento do titular: obtido no ato do atendimento e mediante aviso de quais dados estão sendo coletados e para quais finalidades;
  • execução de contrato: mesmo sem consentimento o hotel precisa dos dados para executar o seu serviço);
  • cumprimento de obrigação legal: a Lei Geral do Turismo obriga o hotel a usar a Ficha Nacional de Registro de Hóspedes;
  • interesse legítimo: de caráter interpretativo, essa base permite que o hotel utilize os dados para uma finalidade específica, como por exemplo se defender de uma ação judicial, ou alegar outros interesses legítimos que justifiquem o tratamento de dados.

Governança

A criação de uma estrutura de governança focada na proteção de dados é fundamental, aponta Maria Cecilia. “A adequação não é tipo contratar um advogado ou uma pessoa de TI para cuidar disso. A ideia é ter uma estrutura, e isso varia muito a depender do tamanho da empresa, porque interfere em diferentes aspectos dentro da organização: departamento de RH, marketing, questões operacionais, desenvolvimento de produtos e serviços, compliance, jurídico. A proteção de dados engloba todas as áreas de um hotel, por isso é importante que exista uma equipe interna que possa fazer esse trabalho”, dimensiona a especialista, que considera importante identificar no hotel se já existem profissionais que trabalham ou tem afinidade com o assunto.

A proteção de dados engloba todas as áreas de um hotel, por isso é importante que exista uma equipe interna que possa fazer esse trabalho

Maria Cecilia Oliveira

A LGPD determina que o hotel crie a função chamada Encarregado (pessoa física ou jurídica), que vai responder pelo assunto dentro da empresa (uma rede hoteleira, por exemplo, não precisa ter um (a) Encarregado (a) por hotel, basta ter um (a) que fale pela rede). “Essa função será responsável pelo atendimento dos direitos dos titulares dos dados e responderá à futura Autoridade Nacional de Proteção de Dados (ANPD) e outras agências ou órgãos que exijam esclarecimentos sobre o tratamento de dados na organização”, explica Maria Cecilia. Em fase de criação, a ANPD é um órgão subordinado à Presidência da República e terá como atribuições fiscalizar e editar normas referentes ao tratamento de dados pessoais.

Atendimento aos titulares

Neste primeiro momento é fundamental priorizar o atendimento aos direitos dos titulares dos dados, pois a LGPD reconhece o direito do titular de saber quais dados seus foram coletados, como são armazenados, com quem foram compartilhados e para quais finalidades.

A lei também prevê ao titular a possibilidade de solicitar a revisão, a portabilidade e a exclusão de dados pessoais mediante a comprovação de erro. “Esse vai ser, provavelmente, o primeiro contato que os hotéis irão ter com a Lei Geral de Proteção de Dados, porque pode aparecer pessoas questionando qual é o tratamento (uso) de dados que é feito, como o tratamento é feito, se há possibilidade de eliminação de dados, ou seja, pedindo informações”, diz Maria Cecilia.

A lei estabelece que no ato da coleta dos dados, presencialmente ou por meios digitais como site ou aplicativos, as empresas precisam informar com clareza ao titular quais dados estão sendo coletados e para quais finalidades. De forma clara, livre e inequívoca deve-se também solicitar a sua permissão para a utilização desses dados.

Na coleta por meios digitais é recomendado o uso de recursos de validação e, a melhor maneira de atender às exigências da lei, é publicar uma Política de Privacidade. Se ela não existe na empresa, é importante criar. “O que acaba tendo maior impacto agora é a criação de um canal de atendimento aos direitos dos titulares, para que, caso as pessoas tenham dúvidas, possam saber a quem procurar”, aponta Maria Cecilia, que sugere a criação de um e-mail de proteção de dados para centralizar o assunto.

O que acaba tendo maior impacto agora é a criação de um canal de atendimento aos direitos dos titulares, para que, caso as pessoas tenham dúvidas, possam saber a quem procurar”

Maria Cecilia Oliveira

A LGPD representa um avanço na legislação brasileira de proteção de dados pessoais. Os padrões de segurança que ela estabelece são permanentes e devem ser aprimorados de modo contínuo. Para assegurar essa cultura de proteção de dados dentro da empresa é essencial haver capacitação. A “mudança cultural é um processo lento e a capacitação dependerá do quão prioritário a liderança colocará este assunto em pauta na organização”, afirma André Cilurzo, que orienta: “A capacitação deve envolver a apresentação dos riscos e impactos que a LGPD traz para a organização, bem como trabalhar a conscientização do por que os dados estão sendo coletados, tratados e armazenados”.

A capacitação deve envolver a apresentação dos riscos e impactos que a LGPD traz para a organização, bem como trabalhar a conscientização do por que os dados estão sendo coletados, tratados e armazenados

André Cilurzo

“É super importante que as empresas invistam em capacitação de seus colaboradores para que eles compreendam a relevância do assunto, possam pensar em soluções criativas para atender as obrigações previstas na lei e melhorar os procedimentos internos. Os colaboradores precisam entender o que estão fazendo para tomar decisões fundamentadas na lei e avaliar os riscos envolvendo os titulares nas operações de tratamento”, conclui Maria Cecilia.

LEIA TAMBÉM: A hora e a vez da LGPD

Deixe uma resposta