Recentemente entrou em vigor a Lei Geral de Proteção de Dados (LGPD), nº 13.709, aprovada em agosto de 2018. A lei regulamenta questões sobre tratamento de dados com intuito de implementar normas, padrões e práticas para promover mais segurança nessa área.

A proteção de dados é um fator importantíssimo para o setor hoteleiro. Os dados cadastrais sobre hóspedes, funcionários, fornecedores e afins devem ser resguardados conforme as diretrizes legais. Desse modo, é essencial saber como lidar com as novas regulamentações e deveres dos estabelecimentos. Saiba mais sobre a Lei Geral de Proteção de Dados (LGPD).

Essa legislação mexerá ainda em como os dados serão tratados em casos de omnichannel, por exemplo, Booking, mandando os dados dos hóspedes para os omnichannels, que por sua vez envia aos PMS.

O que a LGPD define?

Com base no Art. 5º, é considerado:

I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

II – dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

III – dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;

IV – banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

VIII – encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD;

Bases legais previstas pela LGPD

Entre as bases legais previstas pela LGPD para fundamentar o tratamento (uso) de dados pessoais, há quatro que são prioritárias para a hotelaria:

  • consentimento do titular: obtido no ato do atendimento e mediante aviso de quais dados estão sendo coletados e para quais finalidades;
  • execução de contrato: mesmo sem consentimento o hotel precisa dos dados para executar o seu serviço);
  • cumprimento de obrigação legal: a Lei Geral do Turismo obriga o hotel a usar a Ficha Nacional de Registro de Hóspedes;
  • interesse legítimo: de caráter interpretativo, essa base permite que o hotel utilize os dados para uma finalidade específica, como por exemplo se defender de uma ação judicial, ou alegar outros interesses legítimos que justifiquem o tratamento de dados.
Fonte:revistahotelnews

Obrigações das empresas

Ao coletar dados, as empresas devem informar a finalidade. A lei previu uma série de obrigações para elas, que têm de manter registro sobre as atividades de tratamento, de modo que possam ser conhecidas mediante requerimento pelos titulares ou analisadas em caso de indício de irregularidade pela Autoridade Nacional.

Cabe aos controladores indicar um encarregado pelo tratamento. As informações sobre este deverão ser disponibilizadas de forma clara, como nos sites das companhias. Caso a Autoridade determine, a controladora deve elaborar relatório de impacto à proteção de dados pessoais das suas atividades de tratamento.

Esses entes devem adotar medidas para assegurar a segurança das informações e a notificação do titular em caso de um incidente de segurança. Tal exigência vale para todos os agentes da cadeia de tratamento. Se um controlador causar dano a alguém por causa de uma atividade de tratamento, poderá ser responsabilizado e deverá reparar o prejuízo.

Fonte:agenciabrasil

O que acontece se houver violação da LGPD?

A legislação prevê algumas sanções para casos de violação das regras.

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  (Incluído pela Lei nº 13.853, de 2019)

Em suma, com a legislação vigente, cabe aos empreendimentos hoteleiros implementarem práticas para manter o fluxo de dados dentro das novas regulamentações. Nesse sentido, é essencial viabilizar o atendimento e o acesso as possíveis solicitações do titular. Também é fundamental capacitar a equipe para que atendam as obrigações previstas em lei.