Como os hotéis devem elaborar a política de privacidade dos sites
O que as políticas de nove hotéis revelam sobre a conformidade com a LGPD
*Artigo de Marco Antônio de Oliveira – Quando falamos em LGPD – Lei Geral de Proteção de Dados Pessoais, muitas vezes escutamos – já colocamos a política de privacidade em nosso site -, mas será que é só isso? Será que esta ‘política de privacidade’ foi escrita adequadamente?
Antes de apresentar um estudo que fiz, primeiro deixem me falar sobre a importância da política de privacidade para seu hotel. Uma política de privacidade precisa traduzir toda a forma como o hotel realiza o tratamento de dados pessoais de seus hóspedes, ela precisa ser clara, objetiva, sem termos técnicos ou que dificultem a compreensão por parte dos titulares de dados, que são seus hóspedes, funcionários, investidores, e todas as demais partes interessadas, desde que sejam pessoas físicas.
Segundo a Dra. Silvia Brunelli em seu livro – Guia prático para elaborar uma política de privacidade. “A Política de privacidade é o documento através do qual o Controlador informará ao titular dos dados pessoais, todos os tipos de tratamento que serão feitos com os seus dados, incluindo finalidade do tratamento, hipóteses de tratamento, compartilhamentos internos, compartilhamento externos com operadores e transferência internacional de dados.”
Antes de continuar, vou te ajudar a entender o que a Dra. Silvia estava falando, controlador é a empresa, neste caso o hotel, que está realizando a coleta dos dados, ou seja, quem irá tratar os dados, ela é a responsável pela segurança dos dados enquanto as finalidades para o tratamento forem válidas. Titular dos dados são os reais donos dos dados, neste caso seus hóspedes, são aqueles que fornecem seus dados em função de uma finalidade legítima e que buscam algum bem ou serviço, e precisam ter a segurança de seus dados garantidas. E operador, são as empresas com quem o controlador, no caso o hotel, se relaciona e que tratam dados em nome do controlador. Eles também são conhecidos com fornecedores de produtos e serviços.
Voltando ao ponto do que a Dra. Silvia falou em seu livro, traduzindo de forma mais clara, é a política de privacidade que vai dar a transparência para o tratamento de dados, transparência que é um dos princípios da LGPD.
Agora que entendemos um pouco melhor o que é e para que serve uma política de privacidade, vamos ao estudo que realizei. Comecei a visitar sites de hotéis, resorts e pousadas para fazer uma análise de suas políticas de privacidade, e o que encontrei me deixou assustado, em alguns casos nem consegui encontrar nada, o que já mostra que estes hotéis não se preocuparam ou não conhecem a lei. O fato de não ter encontrado não quer dizer que estes hotéis não possuem uma política. Mas ela não está acessível no site, e aqui vai a primeira dica, coloquem a política de privacidade na capa dos sites de vocês, quem sabe, por que não, utilizar o banner que hoje utilizam para um consentimento nulo para informar aos seus hospedes que você tem uma política de privacidade com um simples botão “fechar”, aliás, em um ou dois casos estava desta forma, o que é motivo para parabenizar estes hotéis.
Mas por que eu falo de consentimento nulo? Por que, toda vez que você pede um “aceite”, seja um “OK”, “ACEITO”, “CONCORDO” ou qualquer coisa neste sentido você está pedindo o consentimento para o tratamento de dados, e na grande maioria dos hotéis analisados lá estava a mensagem “Nós coletamos dados e blábláblá você concorda?”. E toda que você utiliza o consentimento como hipótese para o tratamento de dados, segundo a LGPD ele precisa ser LIVRE, INFORMADO, ESPECÍFICO E INEQUIVOCO, te pergunto, parece que este “eu concordo” na entrada do site é qualquer um destes adjetivos? Para mim pelo menos não, então esta prática ela passa a ser nula de direito, pois é genérico.
Bom, mas este era só o começo, e eu tinha esperança de que encontraria um cenário muito melhor ao analisar as políticas dos hotéis. Foram analisados 13 quesitos das políticas, são eles: Hipóteses de tratamento, Princípios da LGPD, Consentimento, Canal de contato do titular, Legítimo interesse, Dados sensíveis, Dados de crianças, Acesso à informação, Encarregado de dados (DPO), Compartilhamento com operadores, Transferência internacional, Término do tratamento e Eliminação dos dados.
Para avaliar estes itens utilizei a escala COSO, onde 1 significa muito baixo e 5 muito alto. Em um contexto geral, nos 13 itens avaliados os nove hotéis ficaram com uma média de pontuação 2, o que significa dizer que o nível de adequação à LGPD destas políticas ficou abaixo do esperado. Obviamente que estou falando somente das políticas, pois não tive a oportunidade de avaliar os processos dos hotéis. Em um contexto individual, somente dois hotéis tiveram desempenho médio, mas ainda assim abaixo do esperado.
Mas o que mais preocupa são os itens que tiveram um desempenho muito baixo, itens como dados sensíveis, dados de crianças, compartilhamento de dados, tanto com operadores como internacional, entre outros demonstram que os hotéis, ou não se adequaram de forma correta, ou não souberam expressar nas políticas de privacidade como eles tratam e dão segurança para estes dados. O que me levou a olhar para o item princípios, e neste item, mesmo ele estando em um nível médio, fiquei mais preocupado, pois como que o hotel entende os princípios da LGPD se ele não observa a segurança de operações tão importantes como estas que tiveram um desempenho abaixo do esperado?
Mas vamos falar das hipóteses de tratamento, primeiro, para que você entenda o que são as hipóteses de tratamento, elas são itens que constam na lei, e de acordo com a finalidade do tratamento de dados você enquadra este tratamento em uma hipótese da lei. Exemplo, quais os motivos de você coletar os dados na FNRH, o principal motivo é para atender a lei geral do turismo, então esta é sua finalidade e a hipótese de tratamento está no artigo 7 inciso II – “para o cumprimento de obrigação legal ou regulatória pelo controlador;”. Neste quesito, somente dois hotéis apresentaram uma diversidade de hipóteses, o que me faz acreditar que entenderam a necessidade de encontrar a finalidade real para o tratamento de dados, no entanto, estes hotéis apresentaram o consentimento e o legitimo interesse, que ainda vamos falar sobre eles. Quatro hotéis apresentam apenas três hipóteses, consentimento, cumprimento de obrigações legais e execução de contrato. Olhando para os processos de hotelaria, de maneira geral, é um começo, mas ainda faltaria hipóteses relacionadas a saúde e segurança física dos titulares. Os demais hotéis apresentaram somente duas hipóteses, isso me leva a pensar que, talvez, estas políticas em nada tem em haver com os processos do hotel, já que as únicas hipóteses encontradas por estes hotéis foram o consentimento e cumprimento de obrigações legais.
Bom, falando sobre as hipóteses escolhidas pelos hotéis, o que aconteceria se uma operadora de cartão de crédito questionasse o pagamento de um cartão, pois o portador do cartão contestou a cobrança? A operadora, solicitaria a FNRH assinada, correto? Neste caso o hotel estaria compartilhando dados de seus hóspedes com a operadora de cartão, mas qual hipótese utilizar? Pois o hóspede não te deu o consentimento para isso, e nem mesmo em o seu contrato de prestação de serviço com o hóspede previa algo deste tipo, então, como fazemos?
Para esta situação no artigo 7 inciso X temos a hipótese “para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.” E este é apenas um exemplo, mas com base neste e outros exemplos posso afirmar que a política de privacidade de todos os hotéis analisados não foi escrita olhando para todos os processos do hotel, pois em nem um dos casos temos esta hipótese, poderia dar outros exemplos, relacionados a saúde, segurança física, processos judiciais entre outros, e mais uma vez, a grande maioria das políticas analisadas não previram casos como estes.
Então vamos falar sobre o consentimento, que é uma hipótese que todos os hotéis previram, como já mencionei no início deste artigo, o consentimento precisa ser livre, informado, especifico e inequívoco, mas este não é o maior dos problemas, pois o consentimento dá total poderes ao titular sobre os seus dados, então, toda a vez que você solicitar o consentimento o titular poderá revogar este consentimento a qualquer tempo, e aí, mesmo que vocês precisem destes dados para outras situações, sejam elas legais, judiciais ou comerciais, não poderá utilizar, pois com a revogação do consentimento você precisará eliminar todos estes dados de seu banco de dados. E como você atenderia as demais finalidades legítimas que tem em seu hotel? Simples, não atenderia.
Ainda temos o legítimo interesse, nem todos, mas alguns hotéis utilizaram esta hipótese. Por muito tempo esta hipótese foi tratada como uma “carta branca” ou “bala de prata” para que as empresas pudessem tratar os dados sem se preocupar com muita coisa, mas com a maturidade da legislação e o aumento da percepção real desta hipótese, muitos especialistas cravam esta hipótese como uma das mais difíceis de ser utilizada, pois você precisa garantir uma série de questões, começa pelo que está no próprio inciso desta hipótese, “exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais”. Isso significa dizer que antes de utilizar o legítimo interesse para quaisquer tratamentos de dados, precisa olhar o artigo quinto da constituição e verificar se esta sua finalidade não vai de encontro ao que está lá escrito, recomento o inciso LXXIX que diz “- é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”, então poder utilizar o legitimo interesse, pode, mas é necessário se atentar ao que diz a lei.
Dados sensíveis e de criança, todos os hotéis apresentaram um desempenho baixo nestes dois quesitos, com a exceção de dois hotéis que tiveram um desempenho médio em dados sensíveis. Isto me deu a percepção que este tipo de hospedagem não acontece nestes hotéis. O que sabemos que não é fato, pois temos famílias com crianças hospedadas o tempo todo, sabemos também que a diversidade de etnias, raças, credos entre outras coisas também é um fato dentro dos hotéis, e o fato de sabermos isso corrobora com minha teoria de que os hotéis analisados não olharam para os seus processos internos no momento de construir suas políticas.
Também chamou a minha atenção, hoje em dia com fornecedores de tecnologia baseados em várias partes do mundo mais da metade dos hotéis não menciona transferência internacional de dados, senhores, se vocês utilizam o Gmail ou a Microsoft para enviar ou receber e-mails, muito provavelmente vocês possuem um compartilhamento internacional, isso sem entrar no detalhe de cloud e outros serviços que na grande maioria estão hospedados fora do Brasil.
Outro ponto crítico das políticas, o DPO, ou Encarregado de Proteção de Dados, previsto pela LGPD, todos os hotéis possuem uma forma de contactar o DPO, alguns hotéis mencionam que possem um DPO, mas não informam detalhes e o e-mail para contato com ele é um e-mail genérico. O que vai contra o que prega a LGPD, que diz que a identificação e o contato do encarregado precisam estar expostos no site da empresa e/ou locais de fácil acesso por parte do titular. E nas políticas analisadas, quando muito existe um e-mail genérico informando o contato com o “suposto” encarregado. Poucos dos hotéis analisados nominaram o encarregado e somente um deixa claro quem é o encarregado, dentro do tema proteção e privacidade de dados.
Hoteleiros, como vocês conheço bem os processos de hotelaria, afinal são mais de 27 anos neste ramo, e sei que estas políticas não traduzem a grande maioria de processos dos hotéis analisados, arrisco dizer, que se eu fizesse uma comparação com os processos existentes dentro de qualquer hotel com o que foi colocado na política, mais de 70% do tratamento de dados foi, completamente, ignorado no momento de escrever as políticas.
Mas não estou aqui para criticar os hotéis, pois entendo que muitos ainda não tiveram a percepção da importância de estar adequado a legislação, e a grande maioria ainda pensa “essa lei não vai pegar”, e por isso que não vou falar nas consequências legais de não se adequarem de forma correta, mas sim nas consequências financeiras. Quanto custaria para o seu hotel se em função de um vazamento dos dados de posse de seu hotel, os hóspedes começassem a ser prejudicados, com golpes e crimes virtuais? Processos, reputação abalada, multas por perdas e danos, entre outras coisas. Mas será que seria possível o hóspede requerer alguma indenização, já que o hotel também foi vítima no caso do vazamento dos dados de seus hóspedes.
É por isso que agora vou te falar sobre o artigo 42 da LGPD, e ele é muito claro quando fala que tanto o controlador como o operador que, em razão da atividade de tratamento e dados, causar danos aos titulares, seja patrimonial, moral individual ou até mesmo coletivo, será obrigado a reparar estes danos. Então, sim, mesmo que o hotel seja vítima e tenha sofrido um ataque cibernético, se este hotel não adotou as medidas de proteção adequadas às boas práticas e não está em conformidade com a legislação, ele poderá ser responsabilizado pelo dano causado ao hóspede.
Como eu disse, meu intuito não é críticas, mas sim ajudar aos hotéis a se ajustarem, sendo assim, todos os hotéis analisados precisam passar por um processo de revisão e auditoria, caso já tenham feito o processo de adequação a lei, ou então fazer a adequação do seu hotel, que não se resume somente a política de privacidade. Precisamos mapear os processos, entender o fluxo de dados, ajustar eles para que tenhamos segurança dos dados pessoais ao longo do processo, mitigar os riscos de um incidente de segurança, treinar as equipes para criarmos um ambiente de cultura de segurança da informação. A implantação de um sistema de governança em segurança e privacidade de dados é algo imprescindível para os hotéis, aliás, esta é outra exigência da LGPD, basta consultar o artigo 50 da lei.
Este processo de adequação, precisa ser multidisciplinar, envolvendo jurídico, tecnologia da informação, segurança da informação, recursos humanos, entre outras áreas, para que juntos possam estabelecer esta cultura de segurança da informação no hotel com um todo. E mais importante a alta gestão do hotel precisa estar comprometida com o processo e participar ativamente, mostrando para todos, funcionários e hóspede, que o hotel se preocupa com a segurança e privacidade de seus dados pessoais.
Em um mercado, onde o diferencial competitivo faz toda a diferença, por que não apostar na segurança de seus clientes, quem sabe não está aí o diferencial que você precisa para ficar à frente do mercado e se tornar uma referência para o setor.
Nossos dados pessoais nas mãos erradas podem causar um dano terrível a nós como titular, e se o seu hotel for o responsável por este vazamento de dados, o dano a sua reputação, isso sem falar em sanções administrativas, multas, processos judiciais e tudo mais, vamos nos ater a reputação, e o dano pode ser enorme. Pense nisso, o que vale mais, investir na proteção de dados do seu hóspede, ou ter o prejuízo de uma marca exposta negativamente no mercado.
* Marco Antônio de Oliveira é Consultor especializado em tecnologia e segurança na hotelaria Contato – E-mail marco@bvbh.com.br
