Com a evolução da tecnologia, a manipulação (o tratamento) de dados pessoais se tornou uma prática comum em diversos setores. No entanto, essa prática requer uma preocupação especial com a proteção e a privacidade dos titulares desses dados, que devem ter seus direitos preservados. No Brasil, essa preocupação se materializou na Lei Geral de Proteção de Dados Pessoais (LGPD), que estabelece diretrizes claras para o tratamento de dados pessoais. A LGPD entrou em vigor em setembro de 2020, e desde então tem se tornado um assunto cada vez mais relevante em diversas áreas, incluindo o setor hoteleiro. A Lei tem por objetivo garantir a proteção dos dados pessoais dos titulares de dados (“donos” dos dados pessoais), e para isso estabelece regras claras sobre a coleta, uso, armazenamento, compartilhamento e descarte desses dados.
No entanto, a situação da adequação plena dos hotéis à Lei ainda está longe de ser uma realidade no Brasil. É fato que vários hotéis seguiram as recomendações legais e já realizaram as suas devidas adequações, mantendo a vigília para as devidas manutenções necessárias, obrigatórias segundo o texto legal. Porém, é fato também que existem hotéis que decidiram pela implementação de ações mínimas, as quais são insuficientes para a conformidade à Lei, bem como existem outros hotéis que sequer iniciaram as suas adequações à Lei, por diversas razões distintas, dentre elas a falta de conhecimentos sobre as consequências que poderão enfrentar por tais decisões. A falta de adequação ou adequações incompletas à Lei pode gerar sérios riscos para a proteção dos dados pessoais e privacidade dos hóspedes, visitantes, passantes, colaboradores, fornecedores e parceiros de negócio.
Neste artigo, vamos explorar a importância de os hotéis se adequarem (de forma completa e correta) à LGPD, tratando dos riscos da falta de conformidade legal, além de citarmos exemplos de consequências negativas sofridas por alguns hotéis do mundo pela falta de conformidade legal às leis de proteção de dados locais.
Os hotéis geralmente lidam com uma grande quantidade de dados pessoais, incluindo informações de contato, documentos de identificação de hóspedes e visitantes, dados financeiros e informações de saúde dos seus colaboradores. Tais dados são coletados durante o processo de reserva, check-in, e durante a estadia dos hóspedes no hotel, bem como durante o contrato de trabalho que eles mantém com os seus colaboradores. A falta de proteção adequada desses dados, estejam eles registrados em mídias físicas (papel) ou em mídias digitais, pode levar a violações de privacidade, fraudes, roubo de identidade, dentre tantos outros riscos.
Consequências graves relativas à falta de conformidade legal com os ditames das leis locais de proteção de dados já foram observadas em diferentes partes do mundo. Podemos citar vários exemplos de hotéis (e redes) que já sofreram sanções por violações às leis locais de proteção de dados pessoais. Um exemplo bastante difundido ocorreu em novembro de 2018, quando uma das maiores empresas de hospitalidade do mundo afirmou que “desde 2014, pessoas não autorizadas estavam acessando um banco de dados com informações de mais de 500 milhões de hóspedes”. Após as devidas investigações, como resultado, a rede foi multada em 18,4 milhões de libras (cerca de R$ 125 milhões) pela Autoridade de Proteção de Dados do Reino Unido por falhas nas medidas técnicas e administrativas utilizadas para a proteção dos dados pessoais dos seus clientes, violando assim o Regulamento Europeu de Proteção de Dados.
Já em agosto de 2022, as verificações condizidas pela CNIL (Commission Nationale de l'informatique et des Libetres), que é a autoridade nacional francesa de proteção de dados, revelaram que quando um hóspede fazia uma reserva diretamente com o pessoal de um hotel ou no site de uma das marcas hoteleiras de um grande grupo hoteleiro (conhecido internacionalmente), tornava-se automaticamente o destinatário de um boletim informativo contendo ofertas comerciais de parceiros do hotel, sendo a opção relativa ao consentimento para receber a newsletter pré-marcada (com o consentimento prévio dos hóspedes), o que caracteriza um erro de acordo com as exigências do Regulamento Europeu de Proteção de Dados, o GDPR (General Data Protection Regulation). A CNIL considerou contra o grupo hoteleiro uma infração à Lei francesa e quatro infrações ao GDPR, tendo esta última sido a única objeto de cooperação europeia. Após as devidas investigações, como resultado, o hotel recebeu uma sanção de em 600 mil euros “por ter feito prospecção comercial sem o consentimento dos interessados e por não ter respeitado os direitos dos clientes e prospectos”.
E não para por ai, pois, quando um hotel sofre um episódio de violação de segurança (resultando no vazamento de dados pessoais) e como consequência recebe as devidas sanções legais em decorrência desse incidente, pode haver uma série de repercussões negativas que afetam também diretamente a credibilidade e a reputação do hotel.
A perda de credibilidade de um hotel que sofreu um vazamento de dados pessoais pode ser significativa. O vazamento de dados pessoais é um evento que pode gerar preocupação e desconfiança nos titulares dos dados e na opinião pública em geral. Como resultado, a imagem do hotel pode ser afetada negativamente, e a reputação construída ao longo de anos pode ser arruinada rapidamente.
Como exemplos de perda de credibilidade que tais episódios podem gerar, podemos citar os seguintes:
1. Perda de clientes: Os titulares dos dados pessoais que foram vazados podem, por exemplo, decidir não fazer mais negócios com o hotel (pessoais e/ou corporativos). Isso pode levar à perda de clientes, impactando negativamente a receita do hotel;
2. Dificuldade de atrair novos clientes: A publicidade negativa gerada por um vazamento de dados pessoais pode fazer com que o hotel tenha dificuldades em atrair novos clientes. As pessoas podem ficar receosas em compartilhar seus dados pessoais com um hotel que já sofreu um episódio de vazamentos de dados;
3. Processos judiciais: Os titulares dos dados pessoais que foram vazados podem decidir entrar com processos judiciais contra o hotel. Isso pode gerar custos significativos para o hotel e prejudicar ainda mais a sua imagem pública;
4. Multas: O hotel pode ser multado pelas autoridades competentes por não ter protegido adequadamente os dados pessoais dos titulares. Além de ser uma despesa financeira, a multa pode gerar publicidade negativa e prejudicar ainda mais a imagem do hotel;
5. Danos diretos à imagem: A imagem do hotel pode ser seriamente prejudicada pela publicidade negativa gerada pelo vazamento de dados pessoais. Os titulares dos dados e a opinião pública em geral podem associar o hotel a uma empresa que não se preocupa com a privacidade e segurança dos dados pessoais;
Aqui no Brasil, a proteção dos dados pessoais é um direito fundamental dos cidadãos brasileiros, protegido pela nossa Constituição Federal, e as empresas que não espeitarem esse direito poderão enfrentar sérios prejuízos. No Brasil, os hotéis que não se adequarem à LGPD podem enfrentar multas e outras sanções legais. As multas previstas pela Lei podem chegar a 2% do faturamento bruto da empresa, limitadas a R$ 50 milhões por infração.
Em resumo, as perdas que um hotel pode sofrer em decorrência de um vazamento de dados pessoais e das sanções legais resultantes são significativas e podem afetar a sua saúde financeira, a sua imagem e reputação, as relações comerciais e a confiança dos clientes. É fundamental que os hotéis adotem medidas técnicas e administrativas efetivas para proteger os dados pessoais de seus clientes e colaboradores, além de garantirem a conformidade completa e correta com a LGPD, bem como com outras leis de proteção de dados pessoais (quando aplicável).
Aviso Legal: Este artigo tem apenas finalidade informativa sobre casos de aplicação da Lei Geral de Proteção de Dados (LGPD) e não deve ser considerado como aconselhamento jurídico. As informações nele relatadas não constituem uma interpretação completa ou exaustiva da LGPD e a aplicação da lei pode variar de acordo com casos concretos/circunstâncias individuais. Recomendamos que os leitores procurem aconselhamento profissional especializado para compreender como a LGPD se aplica em seus casos específicos. O autor e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas, bem como por quaisquer consequências resultantes de qualquer interpretação ou aplicação inadequada da LGPD.
