LGPD na Hotelaria: o que você precisa saber!

Paula de Maragno, Maragno Advogados

Vamos ser práticos e objetivos: é fato que todos os hotéis precisarão estar em conformidade com a Lei Geral de Proteção de Dados, a chamada LGPD. Mas o que os hotéis podem fazer – “de largada” – para garantir a proteção de dados dos seus hóspedes e colaboradores? Como a Lei Geral de Proteção de Dados (a “LGPD”) impacta a hotelaria e as quais medidas operacionais que os hotéis podem tomar para aumentar a privacidade e proteção de dados, alavancando a reputação da sua marca? 

Caso você ainda não tenha submetido o seu hotel a um projeto de conformidade em LGPD até o momento, adotar boas práticas – desde já – pode minimizar riscos e ajudar em muito no dia a dia da operação. Alguns passos simples:

  1. Ter um procedimento padrão e utilizar um sistema seguro para a coleta de dados dos seus hóspedes e colaboradores;
  2. Dar treinamentos periódicos em segurança da informação e Lei Geral de Proteção de Dados para a sua equipe;
  3. Monitorar a utilização dos dados (sempre!);
  4. Usar tecnologias e soluções em Wi-Fi recentes e modernas para impedir vazamentos de dados ou atividades maliciosas;
  5. Atentar para as senhas de acesso: exigir senhas exclusivas para cada sistema e dificultar senhas para acessos não autorizados aos hóspedes fazem diferença;
  6. Ter cópias de segurança (parece básico, mas muitos hotéis não têm backups, seja em nuvem ou em servidor próprio);
  7. Reavaliar todos os seus sistemas (hardware e software) para detectar vulnerabilidades e corrigir falhas: nem todo sistema (barato ou não) acompanha a contínua e rápida evolução tecnológica, em especial quando relacionada a meios de pagamento, etc.

Entender alguns conceitos básicos da LGPD para “clarear” o tema também é recomendável. O artigo 5º da Lei no. 13.709/18 traz definições sobre o que é dado pessoal, tratamento de dados, controlador, operador, consentimento, etc.

Na hotelaria, é considerado tratamento de dados pessoais, por exemplo: a transferência e o compartilhamento de dados pessoais dos hóspedes e funcionários entre hotéis, agências de turismo e operadores ou empresas terceirizadas; o armazenamento da Ficha Nacional de Registro de Hóspedes (FNRH) em meio físico ou digital;  a coleta e armazenamento de dados pessoais para fins de reserva ou para uso em sistemas hoteleiros; o uso de e-mails para fins de marketing digital; o envio de dados ao Ministério do Turismo, conforme previsão do art. 26 da Lei Geral do Turismo.

Resolveu contratar um projeto de conformidade em LGPD, mas não sabe por onde começar? Aqui vão algumas dicas práticas e descomplicadas:

  1. Avalie qual a finalidade e a necessidade da coleta dos dados pessoais dos hóspedes e seja transparente no tratamento e uso desses dados. A LGPD estabelece princípios que devem ser seguidos à risca. Muitos hotéis coletam dados em excesso e desvinculados da finalidade específica declarada no momento da coleta, utilizando estes dados de forma irrestrita, para finalidades distintas e por tempo indeterminado. Não pode!;
  2. Defina quem é o operador e o controlador de dados no seu hotel, estabelecendo as responsabilidades e papéis de cada um. Por exemplo, na coleta dos dados dos hóspedes, sem qualquer intermediação de agência ou operadora de turismo, o hotel é considerado o controlador e o operador dos dados pessoais dos hóspedes (foi responsável pela coleta dos dados do titular e somente ao hotel competem as decisões referentes ao tratamento daqueles dados). Se houver empresa intermediária, os papéis mudam e as responsabilidades também. Ao contratar qualquer serviço de terceiros, (fornecedores, por exemplo), é preciso que estes terceiros também estejam conformidade com a LGPD, uma vez que no caso de violações à legislação, toda a cadeia de serviços é envolvida e poderá ser responsabilizada.
  3. Avalie a real necessidade de se obter consentimento dos titulares para o tratamento de dados pessoais. Nem tudo se resolve via consentimento! Para que o consentimento seja válido, deve ser uma manifestação livre, informada, ativa, expressa e inequívoca do titular. Vale lembrar também, que o titular poderá revogar o seu consentimento a qualquer tempo, ou seja, é maior a complexidade para a gestão do consentimento dos titulares, recomendando-se, portanto, que o hotel tente se enquadrar em outras hipóteses de autorização de coleta e tratamento de dados pessoais (o legítimo interesse do controlador, o cumprimento de obrigação legal, a execução de contrato , etc.);
  4. Pensar o que deverá ser feito com a sua base de dados atual, pois mesmo que os dados tenham sido coletados antes da vigência da Lei, os hotéis deverão tomar providências para sua adequação, sob pena de manter dados pessoais sem a devida justificação legal em sua base de dados. Não! Não é necessário descartar estes dados coletados antes da vigência da lei, mas sim regularizar a sua utilização em conformidade com a LGPD. Somente devem ser descartados dados que eventualmente o hotel não saiba a sua origem ou que, de alguma forma, foram obtidos ilegalmente, como por exemplo, via compra de mailing;
  5. Tenha à mão o registro de todas as operações no tratamento de dados pessoais (artigo 37 da LGPD) e mantenha isso acessível de forma prática e rápida aos hóspedes e colaboradores;
  6. Reveja os Termos de Uso e Políticas de Privacidade e crie um programa efetivo de boas práticas de Governança de Privacidade de Dados. Isso implica, não apenas na implantação de um projeto de conformidade, mas também na necessidade de alterações em websites, bancos de dados, sistemas de informação, treinamentos periódicos das equipes, etc.

Por fim, reafirmando aqui nosso compromisso em buscar soluções práticas e objetivas para os nossos clientes, ressaltamos que estamos à disposição para quaisquer esclarecimentos, bem como para apresentar nosso projeto de adequação à LGPD e nossa proposta de trabalho.