Sobre o Autor: Maurício Rotta é advogado e especialista em LGPD, compliance e gestão de riscos, integrante da Comissão de Direito Digital da OAB/SC. É sócio fundador da GEP, empresa voltada para implementação de Programas de Governança de Privacidade de Dados e consultoria empresarial.
A Lei Geral de Proteção de Dados (LGPD), cuja vigência se inicia em 16 de agosto de 2020, veio estabelecer regras para o tratamento de dados pessoais.
Sua aplicação destina-se a empresas de qualquer porte (pessoas naturais ou jurídicas, de direito público ou privado), e que realizam, em território brasileiro, operações de:
- Coleta;
- Processamento;
- Armazenamento;
- Publicação;
- e exclusão de dados pessoais.
Além disso, também embarca o tratamento de dados que tem por objetivo a oferta de produtos e serviços para pessoas localizadas no Brasil.
Ou seja, neste caso, são empresas de outros países oferecendo seus serviços e produtos para pessoas em território brasileiro, como, por exemplo, internet – de acordo com o art. 3º.
Como o Le Canton aumentou de 30% para 70% a representatividade de suas reservas diretas? Descubra aqui as principais estratégias de sucesso do Le Canton para atingir esse resultado e como o hotel obteve, ainda, um incrível retorno de 32 vezes sobre seu investimento (ROI) !
Qual o impacto da LGDP no mercado hoteleiro?
Como é sabido, muitos clientes buscam realizar a pesquisa, reserva e pagamento de sua hospedagem, se utilizando de meios digitais. Tornou-se prática comum os consumidores buscarem opções de hospedagem diretamente nos sites dos hotéis de seu interesse.
A busca e negociação de opções de hospedagem, como foi dito, ocorre de forma digital, por meio de transmissão de dados pessoais do hóspede, por exemplo, para o prestador de serviços; bem como dos dados de pagamento – comumente através de cartão de crédito.
O Decreto nº 7.381/10, que regulamenta a Lei Geral de Turismo, determina no seu art. 26:
“Constituem-se documentos comprobatórios de relação comercial entre meio de hospedagem e hóspede as reservas efetuadas mediante, entre outros, troca de correspondência, utilização de serviço postal ou eletrônico e fac-símile, realizados diretamente pelo meio de hospedagem ou prepostos, e o hóspede, ou agência de turismo que o represente”.
E, de acordo com o parágrafo 1º do art. 26 “… o contrato de hospedagem será representado pelo preenchimento e assinatura pelo hóspede, quando de seu ingresso no meio de hospedagem, da Ficha Nacional de Registro de Hóspede – FNRH”.
A Lei Geral do Turismo determina que os Hotéis devem fornecer ao Ministério do Turismo, periodicamente, informações sobre o perfil dos hóspedes, informando inclusive sua nacionalidade, bem como: taxas de ocupação, permanência média e número de hóspedes por unidade habitacional.
Todas essas informações deverão ser fornecidas através do envio impresso da FNRH e do Boletim de Ocupação Hoteleira – BOH, ao Ministério do Turismo (MTur).
A Lei Geral do Turismo requer dos prestadores de serviço da área do turismo, a coleta, processamento e guarda de dados pessoais dos hóspedes.
Logo, os hotéis precisam se adequar aos requisitos legais determinados pela LGPD, em especial, em face das penalidades que podem sofrer pela sua não observância.
O que a LGPD quer dizer com “tratamento de dados pessoais” na hotelaria?
Cabem algumas considerações – o art. 5º, inciso I, fixa que dado pessoal é toda “informação relacionada a pessoa natural identificada ou identificável”, como nome, nacionalidade, idade e gênero.
O inciso X, conceitua o tratamento de dados como: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
Assim, na prática hoteleira, é considerado tratamento de dados pessoais dos hóspedes:
- Transferência de dados pessoais dos hóspedes entre hotéis, agências de turismo, OTAs e operadores;
- Armazenamento da Ficha Nacional de Registro de Hóspedes em meio físico ou digital;
- Coleta e armazenamento de dados pessoais para fins de reserva ou para uso em sistemas hoteleiros (CRM, PMS…);
- Uso de listas de e-mail para marketing digital;
- Envio de dados ao MTur, conforme previsão do art. 26 da Lei Geral do Turismo.
Principais cuidados que os hotéis devem ter para se adequar a LGPD
A seguir, apresentamos os principais cuidados que os hotéis e as empresas de turismo devem ter para se adequar a Lei Geral de Proteção de Dados:
1) Determinar a finalidade para o tratamento de dados
O primeiro passo é determinar a finalidade da coleta dos dados pessoais dos viajantes e hóspedes e ser transparente com eles sobre os propósitos que justificam o tratamento de dados.
É necessário seguir os princípios que embasam a LGPD, tais como os princípios da:
- Finalidade;
- Necessidade;
- Adequação.
Em razão desses princípios, os hotéis e as empresas de turismo devem avaliar quais dados pessoais são necessários e quais são, realmente, adequados à finalidade almejada.
Muitas empresas coletam dados em excesso e desvinculados da finalidade específica declarada no momento da coleta, fazendo uso irrestrito e por tempo indeterminado para várias finalidades.
2) Definir papéis e responsabilidades com o intermediário
A Lei de Proteção de Dados definiu papéis para as empresas, de acordo com a relação destas com os dados
pessoais dos titulares e, embora todos sejam responsáveis pela proteção durante todo o ciclo de vida do dado, a responsabilidade de cada empresa pode variar.
Para esclarecer: naqueles casos em que um determinado hotel coleta os dados do hóspede, sem qualquer intermediação de agência ou operadora de turismo, este é considerado o controlador dos dados pessoais do hóspede, pois além de ter sido o responsável pela coleta dos dados do titular, ao hotel compete as decisões referente ao tratamento daqueles dados.
Por seu papel decisório, o controlador é a parte com maior responsabilidade em relação à proteção da privacidade dos hóspedes.
Contudo, caso o hotel venha a repassar os dados dos hóspedes para outra empresa – por exemplo, para uma agência de turismo, a referida agência passa a ser a operadora, pois é ela que fará o tratamento de dados pessoas em nome do controlador (no caso, o hotel).
Nesse caso, a agência (operadora) não poderá compartilhar os dados com outras empresas sem a autorização do titular de dados.
Ainda que a responsabilidade do operador venha a ser menor, pois age conforme as orientações do controlador, poderá ser responsabilizado regressivamente pelo controlador por qualquer violação de dados, se a sua conduta não estiver de acordo com a autorização do titular de dados.
Assim, para proteger tanto o controlador quanto o operador, é fundamental que entre estes exista um contrato determinando, de forma clara e objetiva, os deveres e responsabilidades de cada empresa, de acordo com a LGPD.
3) Obter consentimento dos titulares
O próximo passo é avaliar se a legislação permite o tratamento de dados para essa finalidade em especial.
A primeira hipótese legal para autorizar o tratamento de dados pessoais é a obtenção do consentimento do titular dos dados. Contudo, o consentimento não poderá ser obtido de qualquer forma. Para que o consentimento seja válido, deve ser uma manifestação livre, informada e inequívoca, entre outras.
Entretanto, a LGPD prevê que os titulares podem revogar o consentimento a qualquer momento – se o titular solicitar, a empresa não poderá mais manter seus dados armazenados ou realizar qualquer tipo de tratamento, e os terceiros com quem a empresa tenha compartilhado os dados.
Em razão da maior complexidade para a gestão do consentimento, recomenda-se que a empresa procure outras hipóteses legais que autorizem a coleta e o tratamento de determinados dados pessoais.
Por exemplo, a LGPD prevê mais nove hipóteses que autorizam o tratamento de dado, tais como:
- o legítimo interesse do controlador;
- o cumprimento de obrigação legal;
- e a execução de contrato ou procedimentos preliminares relacionados a um contrato.
4) Conformidade com a LGPD para hotéis
Além das recomendações mencionadas, importantes para a conformidade com a LGPD, é essencial que as empresas saibam o que fazer com sua base de dados atual.
Ainda que esses dados tenham sido coletados antes do vigor da LGPD, as empresas deverão tomar providências para sua regularização, sob pena de manter dados pessoais sem a devida justificação legal em sua base de dados.
Esta recomendação se aplica, além dos dados pessoais de viajantes e hóspedes, de funcionários, parceiros, fornecedores e quaisquer outros mantidos na empresa, em meio físico ou digital.
Por fim, deve ser considerado que a relação entre clientes e empresas (sejam agências, hotéis, operadoras de turismo) é considerada uma relação de consumo, e a partir da vigência da LGPD em hotelaria, a prática de compartilhar dados pessoais poderá se configurar como uma violação ao Código de Defesa do Consumidor (CDC) e a referida lei.
A situação que resulta dessa aplicação do CDC é a inversão do ônus da prova, o que também seria possível com base apenas na LGPD. Assim, a empresa terá a obrigação de provar que ela não foi a responsável pelo vazamento ou uso indevido de dados, ou seja, terá de fazer prova negativa, o que muito custoso.
Neste caso, a empresa deverá demonstrar sua conformidade com a LGPD e que implementou todas as medidas de técnicas e organizacionais requisitadas pela legislação, para impedir que os dados pessoais sob sua tutela fossem utilizados de modo indevido.
5) Prestação de contas e registro de operações de tratamento de dados pessoais
O art. 37 da LGPD determina que a empresa que trata os dados deve manter registro das operações de tratamento que realizar e que tais informações devem ser acessíveis ao titular dos dados.
A LGPD exige muito mais do que a mera redação de Termos de Uso e Políticas de Privacidade pelos hotéis e empresas de turismo…
A lei requer a estruturação de um programa de governança da privacidade de dados, a partir da realidade das operações necessárias e desejadas pela empresa.
Assim, garantindo a política de segurança da informação e o cumprimento da LGPD a cada passo do tratamento de dados – podendo resultar em alterações em websites, bancos de dados e sistemas de informação das empresas.
O cuidado na estruturação do programa é importante, uma vez que o art. 52 da LGPD determina sanções administrativas aos agentes de tratamento de dados que infringirem tais regras, que vão desde uma simples advertência (inciso I) a multas de até 2% do faturamento da empresa ou grupo empresarial.
Conclusão
O setor hoteleiro deve iniciar seu processo de adequação o quanto antes, uma vez que, a depender do tamanho da empresa, o processo de adequação poderá ser complexo e durar muitos meses.
Vale lembrar que, ao contratar qualquer serviço de terceiros, fornecedores ou parceiros, é preciso alinhar a conformidade dessas empresas a LGPD.
Já que quaisquer violações na lei não são apenas sua responsabilidade, mas de todo a cadeia de serviços envolvida, e vice-versa.
Ficou alguma dúvida sobre a LGPD? Deixe seu comentário que vamos respondê-la!
Em parceria com a RM Academy, montamos 5 checklists de Revenue Management indispensáveis na hotelaria. Todos os materiais já estão preenchidos com exemplos para te ajudar na organização. Baixe agora! [Checklist de Revenue Management]