Como desenvolver políticas de cookies, privacidade e indicar DPO
A conformidade com a LGPD - Lei Geral de Proteção de Dados Pessoais é uma oportunidade para os hotéis fortalecerem a confiança com seus hóspedes, colaboradores e parceiros
Artigo de Josmar Lenine Giovannini Júnior*
A conformidade com a LGPD – Lei Geral de Proteção de Dados Pessoais não é apenas uma exigência legal, mas também uma oportunidade para os hotéis fortalecerem a confiança com seus hóspedes, colaboradores e parceiros. Este conceito, há muito tempo aqui difundido, deveria ser muito considerado pelos hotéis, mas, infelizmente, não foi isso que se comprovou na análise da amostra analisada e publicada pela Revista Hotéis na edição de setembro de 2024, onde inconsistências básicas foram verificadas, de Norte a Sul do Brasil. A fim de esclarecê-las, a seguir detalharemos como os hotéis podem elaborar e implementar adequadamente suas políticas de cookies, políticas de privacidade e a indicação formal do DPO – Encarregado de Dados, garantindo alinhamento com a LGPD e promovendo uma cultura de proteção de dados pessoais.
1 – O que é a política de cookies? Como deve ser desenvolvida? A política de cookies é um documento essencial que informa aos visitantes do site dos hotéis sobre o uso de cookies e tecnologias semelhantes. Para desenvolvê-la de forma eficaz e em conformidade com a LGPD, os hotéis devem considerar os seguintes aspectos:
A) Razões para a Criação da Política de Cookies: i.) Transparência: Demonstrar respeito pela privacidade dos usuários, informando claramente como os dados são coletados e utilizados; ii.) Consentimento Informado: Garantir que os visitantes forneçam consentimento explícito para a coleta de dados por meio de cookies; iii.) Conformidade Legal: Atender às exigências da LGPD e evitar possíveis sanções legais.
B) Como Deve Ser Desenvolvida: i.) Mapeamento dos Cookies: Os hotéis devem identificar todos os cookies utilizados no site, incluindo suas finalidades (funcionais, analíticos, marketing, etc.); ii.) Redação Clara e Acessível: A política deve utilizar linguagem simples e compreensível, evitando termos técnicos complexos; iii.) Estruturação do Documento: O documento deve conter, no mínimo, as seguintes informações: * Introdução: Explicar o que são cookies e por que o hotel os utiliza; * Tipos de Cookies Utilizados: Detalhar cada tipo de cookie, sua finalidade e duração; * Opções do Usuário: Informar como os usuários podem gerenciar ou desativar os cookies; * Atualizações da Política: Especificar como e quando a política será atualizada.
C) O que Deve Ser Considerado pela política de cookies: Os seguintes itens devem ser considerados nas políticas de cookies: i.) Consentimento Prévio: Implementar um banner ou pop-up que solicite o consentimento dos usuários antes de instalar cookies não essenciais; ii.) Opção de Gerenciamento: Disponibilizar ferramentas para que os usuários possam selecionar quais cookies desejam aceitar ou rejeitar; iii.) Acessibilidade: Garantir que a política esteja facilmente acessível em todas as páginas do site; iv.) Compatibilidade com Outros Documentos: Alinhar a política de cookies com a política de privacidade e demais políticas internas.
2 – O que é a política de privacidade? Como deve ser desenvolvida? A Política de Privacidade é um documento essencial que serve como uma declaração formal do compromisso do hotel em proteger os dados pessoais dos indivíduos com os quais interage, sejam eles hóspedes, colaboradores, fornecedores ou visitantes do site. Ela desempenha um papel crítico na conformidade com a LGPD e na construção de confiança com os titulares de dados. A seguir, detalharemos as principais questões a serem nela consideradas:
A) Razões para a Criação da Política de Privacidade: i.) Transparência e Confiança: Reforçar o compromisso do hotel com a proteção dos dados pessoais de seus hóspedes e colaboradores, bem como dos indivíduos com os quais interage; ii.) Direitos dos Titulares: Informar os titulares sobre seus direitos e como podem exercê-los; iii.) Conformidade com a LGPD: Atender às obrigações legais e evitar penalidades.
B) Como Deve Ser Desenvolvida: i.) Mapeamento de Dados: Os hotéis deverão realizar um levantamento detalhado dos dados pessoais coletados, tratados (utilizados/processados), compartilhados, armazenados, descartados, bem como as bases legais, finalidades e fluxos de tratamento; ii.) Redação Objetiva: Para a criação da política, deve-se utilizar linguagem clara, objetiva e de fácil compreensão; iii.) Estrutura da política de privacidade: a seguir, elencamos um exemplo de estrutura básica que poderá ser utilizada no desenvolvimento de uma política de privacidade: * Introdução: Apresentar o compromisso do hotel com a privacidade; * Dados Coletados: Listar os tipos de dados pessoais coletados e tratados pelo hotel; Finalidades do Tratamento: Especificar para que os dados são utilizados; * Bases Legais: Indicar a base legal para cada atividade de tratamento realizada; * Compartilhamento de Dados: Informar com quem os dados são compartilhados (por exemplo, fornecedores, parceiros, autoridades); *Direitos dos Titulares: Detalhar os direitos garantidos pela LGPD para os titulares de dados pessoais e como exercê-los; *Medidas de Segurança: Descrever as medidas de segurança, técnicas e administrativas, adotadas pelo hotel para proteger os dados dos titulares; *Retenção e Eliminação de Dados: Informar os prazos de retenção e as práticas de descarte seguro de dados pessoais; * Contato do Encarregado de Dados (DPO): Fornecer informações de contato para dúvidas e solicitações, de acordo com os requisitos legais da LGPD; * Atualizações da Política: Esclarecer o processo de revisão e atualização da política.
C) O que Deve Ser Considerado: A política de privacidade leva em consideração alguns itens importantes, os quais devem ser considerados pelos hotéis, dentre eles os seguintes: i.) Adequação às Práticas Reais: A política deve refletir fielmente as práticas do hotel, evitando inconsistências. Detalhes devem ser observados, referentes a cada modelo de negócios de cada hotel, a fim de serem refletidos nas suas respectivas políticas de privacidade; ii.) Inclusão dos Direitos dos Titulares: A política deve garantir que todos os direitos previstos na LGPD estejam contemplados e devidamente explicados; iii.) Acessibilidade e Disponibilidade: A política deve estar facilmente acessível no site e em formato que permita sua leitura e compreensão; iv.) Treinamento Interno: Cada hotel deve garantir que os colaboradores conheçam e compreendam a política de privacidade, bem como a pratiquem nas suas operações diárias, atuando em conformidade com seus preceitos.
3 – Indicação Formal do Encarregado de Dados (DPO): A indicação formal do Encarregado pelo Tratamento de Dados Pessoais, conhecido como DPO (Data Protection Officer), é um dos elementos centrais para a conformidade com a LGPD. No contexto hoteleiro, onde há um fluxo intenso de dados pessoais, a nomeação adequada do DPO é essencial para assegurar a proteção das informações e o cumprimento das obrigações legais. A ANPD – Autoridade Nacional de Proteção de Dados recentemente publicou o Regulamento sobre a Atuação do Encarregado pelo Tratamento de Dados Pessoais (RESOLUÇÃO CD/ANPD Nº 18, DE 16 DE JULHO DE 2024), que fornece diretrizes adicionais sobre a indicação, atribuições e atuação do Encarregado de Dados, também conhecido como DPO (Data Protection Officer). Esta atualização reforça a importância da conformidade e esclarece responsabilidades específicas para os agentes de tratamento de dados, incluindo hotéis. A seguir, detalhamos como os hotéis devem proceder para indicar formalmente o DPO, alinhando-se às novas regulamentações.
A seguir, aprofundamos a importância, os aspectos legais e as melhores práticas relacionadas à indicação formal do DPO:
A) Importância da Indicação Formal do DPO Segundo a Nova Regulamentação: A nova resolução da ANPD enfatiza a necessidade de uma indicação formal e documentada do Encarregado de Dados. Essa formalização é essencial para oferecer transparência Legal, demonstrando o compromisso do hotel em cumprir rigorosamente as obrigações legais estabelecidas pela LGPD e pela ANPD, clareza de responsabilidades, estabelecendo claramente as funções e atribuições do DPO, evitando ambiguidades e facilitando a comunicação, garantindo que os titulares e a ANPD tenham acesso fácil às informações de contato do DPO.
B) Procedimentos para a Indicação Formal do DPO: Para que um Encarregado (DPO) seja formalmente indicado, é necessário um documento formal, datado e assinado pelo responsável legal do hotel, especificando as formas de atuação do DPO e as atividades que serão desempenhadas. Importante lembrar que o hotel deve estar preparado para apresentar esse documento à ANPD quando solicitado.
C) Escolha do Encarregado: O DPO pode ser uma pessoa física, seja colaborador interno ou profissional externo, ou uma pessoa jurídica especializada, oferecendo benefícios extras ao hotel como atualizações e conhecimentos detalhados. O hotel deve definir os critérios de seleção, considerando o conhecimento do profissional sobre a LGPD, a nova regulamentação da ANPD, e a complexidade das operações de tratamento de dados realizadas.
D) Divulgação das Informações do DPO: As informações de identidade e contato do DPO devem ser divulgadas de forma clara e objetiva no site do hotel, em local de destaque e fácil acesso, contendo minimamente: i.) A identidade do Encarregado (DPO): Se pessoa física: Nome completo; Se pessoa jurídica: Razão social ou nome empresarial, além do nome completo da pessoa responsável; ii.) Informações de Contato: Dados que permitam a comunicação direta, como e-mail e telefone, para que os titulares possam exercer seus direitos e a ANPD possa enviar comunicações.
E) Substituição e Ausências do DPO: Em casos de ausência, impedimento ou vacância, o hotel deve designar formalmente um substituto para o DPO. Essas situações não devem impedir o exercício dos direitos dos titulares nem comprometer a comunicação com a ANPD.
A conformidade com a LGPD e as regulamentações da ANPD são essenciais para os hotéis, não apenas para cumprir obrigações legais, mas também para fortalecer a confiança de hóspedes, colaboradores e parceiros. Desenvolver e implementar políticas eficazes de cookies e privacidade, além de indicar formalmente um Encarregado de Dados (DPO) conforme as diretrizes atualizadas, demonstra comprometimento com a transparência e a segurança das informações, assegurando que os direitos dos titulares sejam respeitados e que as operações de tratamento estejam em conformidade com a lei.
Diante da complexidade das atividades hoteleiras e do volume de dados pessoais tratados, é crucial contar com expertise especializada. A contratação de consultorias como a da Conformidados para fornecer serviços de Encarregado (DPO) terceirizado oferece aos hotéis o suporte necessário para navegar pelas exigências legais, implementar soluções eficazes e manter-se atualizado frente às constantes evoluções normativas. Isso permite uma gestão mais eficiente dos riscos, prevenção de possíveis sanções e promoção de uma cultura organizacional orientada à privacidade, garantindo a sustentabilidade do negócio e fortalecendo a reputação da marca em um mercado cada vez mais consciente da importância da proteção de dados.
Aviso Legal: Este texto sobre a LGPD é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico ou orientação profissional. As informações aqui contidas não se destinam a ser uma interpretação abrangente ou exaustiva da LGPD. A aplicação da LGPD pode variar dependendo de circunstâncias individuais, e os leitores são encorajados a buscar aconselhamento profissional especializado para entender como a lei se aplica em seus casos específicos. O autor e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas.
*Josmar Lenine Giovannini Júnior é Diretor da empresa Conformidados, especializada em LGPD. Contato: josmar.giovannini@conformidados.com.br
