Introdução:
A utilização de dados pessoais pelos hotéis já foi alvo de publicação anterior nesta revista. Não restam dúvidas que os hotéis tratam de quantidades massivas de dados pessoais, de diferentes tipos e em diferentes situações, tanto dos seus hóspedes quanto também dos seus colaboradores. A Lei Geral de Proteção de Dados (LGPD) não coíbe que dados pessoais sejam tratados, porém define a forma correta com a qual devem ser realizados tais tratamentos. A Lei introduz vários princípios legais e define quais são os direitos dos titulares de dados pessoais, bem como define as obrigações de quem realiza o tratamento de dados pessoais.
Fases – Tratamento de dados pessoais – Hóspedes
Dados pessoais são tratados em diferentes momentos pelos hotéis, que iniciam os tratamentos antes mesmo do início da hospedagem, a fim de garantir que a reserva seja concluída, bem como que o processo de check-in ocorra sem problemas ou surpresas. Nesta fase de pré-estadia, são exemplos de tratamentos realizados a coleta de informações de contato (como nome, endereço, número de telefone e endereço de e-mail para confirmação da reserva), a coleta de informações sobre eventuais necessidades especiais (como acessibilidade para cadeiras de rodas ou alergias alimentares, para garantir que o hotel possa atender às necessidades do hóspede) e a utilização dos dados dos hóspedes para gerenciamento de transporte e traslados, dentre tantos outros. Já durante a estadia, vários tipos de dados pessoais dos hóspedes são tratados pelos hotéis, para uma série de finalidades distintas, das quais podemos elencar como exemplo o processamento do pagamento da hospedagem, o gerenciamento das reservas e a disponibilidade de quartos, o fornecimento de serviços adicionais aos hóspedes, como limpeza de quartos e serviços de quarto, o gerenciamento das contas dos hóspedes no hotel. Já após a estadia no hotel, dados dos hóspedes ainda continuam sendo tratados, sendo exemplos destes tratamentos os armazenamento dos dados dos hóspedes em sistemas de gestão de clientes ou de marketing para futuras utilizações (tais como envio de newsletters e promoções), faturamento e cobrança, pesquisa de satisfação e melhoria da experiência do cliente, bem como o armazenamento dos dados para cumprimento de obrigações legais e regulatórias.
E com relação aos dados pessoais dos colaboradores? Neste caso, uma extensa lista de dados pessoais pode ser tratada e para a realização de diversas funções, desde a fase de recrutamento e seleção até a de pós-demissão, dentre as quais podemos citar como exemplo o gerenciamento de recursos humanos, recrutamento e seleção, o registro de frequência e controle de horas extras, a administração de férias e licenças, bem como o gerenciamento de conflitos trabalhistas e demandas judiciais.
Para que os hotéis possam gerenciar legalmente todos os dados pessoais que tratam, é fundamental que se adequem aos requisitos legais da LGPD, de acordo com os seus modelos de negócio e necessidades internas (as quais são totalmente diferentes de hotel para hotel), evitando irregularidades no tratamento de dados pessoais que poderiam ser responsáveis pela eventual aplicação de sanções administrativas pela ANPD, (Autoridade Nacional de Proteção de Dados), que é a autoridade responsável por fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil, sendo a responsável por definir sanções administrativas para as empresas que não estiverem em conformidade com os requisitos legais da LGPD, como multas, advertências, bloqueios e exclusões de dados.
A ANPD vem realizando um trabalho educativo referente ao tratamento de dados pessoais no Brasil, há mais de 4 anos. Em janeiro de 2023, o seu presidente, Sr. Waldemar Gonçalves, afirmou que a ANPD está pronta para aplicar as sanções previstas na LGPD, o que poderá acontecer ainda no primeiro semestre de 2023, quando o regulamento que define a dosimetria a ser aplicada nas definições das sanções a serem aplicadas estiver finalizado ([i]). Assim, todos os hotéis deverão rever/finalizar as suas adequações para estarem em plena conformidade com os requisitos legais.
É importante ressaltar que a ANPD deverá respeitar o devido processo legal e os princípios da proporcionalidade e razoabilidade na aplicação das sanções administrativas, ou seja, a gravidade da infração deve ser avaliada para determinar a natureza e a extensão da sanção a ser aplicada.
Consequências das eventuais sanções administrativas para os Hotéis
Com a confirmação da aplicação de sanções administrativas pela ANPD e, a depender da gravidade das infrações cometidas, os hotéis, assim como qualquer empresa que seja sancionada pela ANPD, podem enfrentar uma série de consequências desagradáveis, não apenas associadas com as perdas financeiras, mas também aos danos reputacionais. Podemos citar como exemplos das consequências passíveis de serem enfrentadas as multas (que podem ser elevadas, em virtude dos tipos de infrações cometidas), a perda de confiança dos clientes (o que pode levar à perda de negócios e danos a sua reputação), a dificuldade para a aquisição de novos clientes (pela repercussão do fato), a perda de competitividade no mercado, as ações judiciais movidas contra os hotéis (por parte de hóspedes, clientes, acionistas ou outros interessados), os danos à reputação da marca (que ficará associada ao episódio evidenciado), os gastos com medidas corretivas (necessárias e imediatas), os danos causados à privacidade dos hóspedes e clientes, dentre outras.
Assim, fica claro que o assunto é muito delicado e que ele deverá estar na agenda permanente dos executivos do setor hoteleiro, uma vez que não basta que os hotéis se adequem à LGPD, mas que permaneçam adequados e com todos os seus registros e evidências exigidos pela conformidade legal atualizados.
Situações de descumprimento da LGPD passíveis de serem punidas com sanções administrativas
São muitas as possíveis situações de descumprimento da LGPD que eventualmente poderiam causar sanções administrativas a serem aplicadas pela ANPD aos hotéis. No entanto, nos exemplos a seguir, elencamos algumas irregularidades com o intuito de reforçar a sensibilidade e importância do tema. Todos os exemplos abaixo se referem aos titulares de dados pessoais (hóspedes ou colaboradores):
Falta de consentimento para a coleta e tratamento de dados pessoais (quando aplicável);
Coleta excessiva de dados pessoais dos titulares;
Compartilhamento inadequado de dados pessoais com terceiros;
Ausência de medidas de segurança adequadas para proteger dados pessoais;
Ausência de medidas de segurança visando prevenir a ocorrência de episódios de violação de segurança, comprometendo assim os dados pessoais tratados;
Armazenamento inadequado de dados pessoais;
Falha em notificar os titulares sobre violações de segurança de dados;
Ausência de clareza sobre as finalidades para o tratamento de dados pessoais;
Coleta de dados pessoais sensíveis sem consentimento adequado;
Retenção de dados pessoais irregular;
Falta de transparência no processamento de dados pessoais;
Uso inadequado de dados pessoais para fins de marketing direto;
Transferência internacional de dados pessoais irregular;
Falha em excluir os dados pessoais após a solicitação do titular (quando aplicável);
Falha em fornecer aos titulares acesso a seus próprios dados pessoais;
Uso de cookies sem consentimento dos usuários (site);
Ausência de política de privacidade clara, abrangente e transparente;
Falha em notificar os titulares sobre a coleta de dados sensíveis;
Coleta de dados de crianças e adolescentes sem consentimento de um dos pais ou responsável legal;
Utilização inadequada de dados pessoais de candidatos a vagas de trabalho;
Vale lembrar que a ANPD poderá iniciar investigações para verificar o cumprimento das disposições da LGPD (Lei Geral de Proteção de Dados) por iniciativa própria ou em resposta às análise de reclamações e denúncias recebidas de titulares de dados pessoais ou de terceiros, utilizando-se de uma série de mecanismos que incluirão a solicitação de informações, documentos e registros referentes aos tratamento de dados pessoais realizados pelos hotéis, verificação do cumprimento das obrigações dos hotéis com relação aos direitos dos titulares de dados pessoais e princípios legais, dentre outras.
Conclusão
As eventuais sanções administrativas decorrentes de infrações à LGPD podem ter um impacto financeiro e reputacional significativo para os hotéis, afetando eventualmente as suas capacidades de operar e competir no mercado.
É claro que a LGPD é uma Lei que veio para ficar. Assim, os hotéis, mais do que nunca, deverão se preocupar com os desafios trazidos na busca da gestão legal dos dados pessoais que tratam, lidando com uma série de desafios, dentre os quais podemos exemplificar os seguintes:
Garantir a privacidade dos dados pessoais dos titulares (hóspedes e colaboradores);
Estabelecer processos para solicitações de acesso, correção e exclusão de dados pessoais;
Definir políticas claras para tratamento de dados pessoais;
Estabelecer medidas de segurança para proteção dos dados que trata em sistemas que utiliza;
Estabelecer medidas de segurança para proteção contra a perda de dados pessoais que trata;
Manter registros das atividades de tratamento de dados atualizados;
Definir a política de retenção de dados e eliminar dados pessoais após o término do período necessário para a finalidade;
Estabelecer procedimentos para notificação de violações de dados pessoais;
Estabelecer um programa de governança de dados pessoais;
Implementar medidas técnicas e administrativas para garantir a segurança do processamento de dados pessoais;
Importante lembrar que as informações contidas neste artigo são apenas para fins informativos e não deverão ser considerados como aconselhamento legal e/ou profissional.
[i] ANPD começa a aplicar multas por infrações à LGPD a partir de fevereiro - Convergência Digital - Governo (convergenciadigital.com.br)
Aviso Legal: Este artigo tem apenas finalidade informativa sobre casos de aplicação da Lei Geral de Proteção de Dados (LGPD) e não deve ser considerado como aconselhamento jurídico. As informações nele relatadas não constituem uma interpretação completa ou exaustiva da LGPD e a aplicação da lei pode variar de acordo com casos concretos/circunstâncias individuais. Recomendamos que os leitores procurem aconselhamento profissional especializado para compreender como a LGPD se aplica em seus casos específicos. O autor e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas, bem como por quaisquer consequências resultantes de qualquer interpretação ou aplicação inadequada da LGPD.
Kommentare