Revendo os principais temas levantados da LGPD na hotelaria
A LGPD - Lei Geral de Proteção de Dados Pessoais estabelece diretrizes claras para a gestão de dados pessoais
Artigo de Josmar Lenine Giovannini Júnior* – Nesta revisão das principais questões levantadas pelos hotéis nos últimos 12 meses sobre a LGPD no mercado hoteleiro, abordaremos duas questões fundamentais:
1) Como Responder a Solicitações de Acesso, Correção ou Exclusão de Dados dos Hóspedes
A LGPD – Lei Geral de Proteção de Dados Pessoais estabelece diretrizes claras para a gestão de dados pessoais no Brasil, incluindo os direitos dos titulares sobre esses dados. No contexto de um hotel, é crucial entender e seguir essas diretrizes para garantir a conformidade legal e manter a confiança dos hóspedes. Este artigo detalha como lidar com essas solicitações, abrangendo todos os direitos dos titulares conforme o artigo 18 da LGPD:
a. Confirmação da Existência de Tratamento
O que é: O hóspede tem o direito de obter a confirmação de que seus dados pessoais estão sendo tratados ou não pelo hotel.
Procedimentos a serem seguidos pelo hotel: criação de um canal de solicitação, que deve ser disponibilizado de maneira clara e acessível para que os hóspedes façam suas solicitações. Importante: Para que as respostas possam ser viabilizadas, é necessário verificar a identidade do solicitante. Após a verificação, o hotel deverá informar ao hóspede se seus dados estão sendo tratados ou não, de acordo com a situação.
b. Acesso aos Dados
O que é: Os hóspedes têm o direito de acessar seus dados pessoais que estão sendo tratados pelo hotel.
Procedimentos a serem seguidos pelo hotel: criação de um canal de solicitação, que deve ser disponibilizado de maneira clara e acessível para que os hóspedes façam suas solicitações a respeito de como os seus dados pessoais que estão sendo tratados pelo hotel. Importante: Para que as respostas possam ser viabilizadas, é necessário verificar a identidade do solicitante. Após tais verificações, o hotel deverá fornecer uma cópia dos dados pessoais tratados.
c. Correção de Dados Incompletos, Inexatos ou Desatualizados
O que é: Os hóspedes têm o direito de corrigir dados pessoais incorretos, inexatos ou desatualizados.
Procedimentos a serem seguidos pelo hotel: Utilize o mesmo canal de acesso para receber as solicitações de correção dos hóspedes, corrigindo os dados pessoais conforme solicitado e informando ao hóspede que os dados foram corrigidos. Importante: Para que as respostas possam ser viabilizadas, é necessário verificar a identidade do solicitante.
d. Anonimização, Bloqueio ou Eliminação de Dados Desnecessários, Excessivos ou Tratados em Desconformidade
O que é: O hóspede pode solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
Procedimentos a serem seguidos pelo hotel: O hotel deve utilizar um canal claro e acessível, recebendo as solicitações, avaliando-as, a fim de proceder com a anonimização, bloqueio ou eliminação conforme solicitado pelo hóspede, que deverá receber posteriormente a informação da conclusão do que foi solicitado pelo mesmo.
e. Portabilidade dos Dados
O que é: Os hóspedes têm o direito de solicitar a portabilidade dos seus dados pessoais para outro fornecedor de serviço ou produto.
Procedimentos a serem seguidos pelo hotel: O hotel deve utilizar um canal claro e acessível, recebendo as solicitações, avaliando-as, a fim de preparar os dados para portabilidade solicitada. Após a transferência dos dados conforme solicitado, o hóspede solicitante deverá receber a confirmação formal da realização da ação pelo hotel.
f. Eliminação dos Dados Tratados com Consentimento
O que é: Os hóspedes têm o direito de solicitar a eliminação dos dados pessoais tratados com consentimento.
Procedimentos a serem seguidos pelo hotel: O hotel deve utilizar o mesmo canal de acesso e correção para exclusão de dados para receber as solicitações dos hóspedes. Uma vez recebida a solicitação, o hotel deverá verificar se os dados podem ser eliminados ou não, retornando ao hóspede com a referida confirmação do descarte, ou justificando a necessidade de manutenção dos dados pessoais por razões legais.
g. Informação sobre o Compartilhamento de Dados
O que é: Os hóspedes têm o direito de saber com quais entidades públicas e privadas seus dados foram compartilhados.
Procedimentos a serem seguidos pelo hotel: O hotel deve utilizar um canal claro e acessível, a fim de receber as solicitações dos hóspedes. Após o recebimento das solicitações, o hotel deverá verificar e informar ao hóspede com quais entidades os dados foram compartilhados.
h. Informação sobre a Possibilidade de Não Fornecer Consentimento e sobre as consequências da negativa
O que é: Os hóspedes têm o direito de ser informados sobre a possibilidade de não fornecer consentimento e as consequências dessa negativa.
Procedimentos a serem seguidos pelo hotel: O hotel deverá fornecer previamente essa informação no momento da coleta de dados pessoais, ou sempre que solicitado, de maneira clara o suficiente para que seja completamente compreendida pelos hóspedes. Caso o consentimento seja negado, o hotel também deverá explicar claramente as consequências da negativa que o hóspede terá que enfrentar.
Exemplo da explicação no caso da negativa no fornecimento de consentimento: “Gostaríamos de informar que você tem o direito de não fornecer consentimento para o tratamento dos seus dados pessoais. No entanto, isso pode impactar a prestação de determinados serviços, como [detalhes das consequências].”
i. Revogação do Consentimento
O que é: Os hóspedes têm o direito de revogar seu consentimento a qualquer momento.
Procedimentos a serem seguidos pelo hotel: O hotel deve utilizar um canal claro e acessível, a fim de receber as solicitações dos hóspedes. Após recebidas tais solicitações, o hotel deverá verificar e interromper o tratamento dos dados conforme solicitado, informando ao hóspede sobre as devidas interrupções dos tratamentos dos dados pessoais.
Ações importantes a serem tomadas pelos hotéis em cada uma das situações:
1.) Prazos e Procedimentos Internos: Siga rigorosamente todos os prazos estabelecidos pela LGPD para a execução dos procedimentos internos necessários;
2.) Documentação e Registro: Mantenha registros detalhados de todas as solicitações recebidas e das ações tomadas em resposta a elas;
3.) Treinamento: Treine sua equipe para lidar com essas solicitações de forma eficiente e conforme os regulamentos da LGPD. Nenhuma solicitação recebida deve ser relevada, e os canais estabelecidos pelo hotel devem ser rigorosamente monitorados;
4.) Comunicação Transparente: Informe claramente aos hóspedes sobre os seus direitos e os procedimentos para fazer solicitações de acesso, correção e exclusão. Isso pode ser feito através do site do hotel, em formulários de consentimento e outros pontos de contato.
Importante: Prazos para as respostas dos hóspedes
Conforme a LGPD no seu Art. 19, a confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular:
I – em formato simplificado, imediatamente; ou
II – por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento do titular.
2) Quais são as Sanções por Descumprimento da LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD) é um marco regulatório fundamental para a proteção dos dados pessoais no Brasil. Para garantir a conformidade, a Autoridade Nacional de Proteção de Dados (ANPD) tem a autoridade (conforme disposto no Artigo 52 da LGPD) para aplicar uma série de sanções às organizações que não cumprirem as normas estabelecidas, conforme demonstrado a seguir:
a.) Advertência: A ANPD pode emitir uma advertência, indicando um prazo para que a empresa adote medidas corretivas. Tal advertência deve servir como um alerta formal, dando à empresa a oportunidade de corrigir suas práticas antes de sofrer penalidades mais severas;
b.) Multa Simples: Uma multa de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada a R$ 50 milhões por infração, que pode ter um efeito financeiro significativo, especialmente para grandes empresas;
c.) Multa Diária, observado o limite total a que se refere o item 2;
d.) Publicização da Infração: A infração pode ser tornada pública após devidamente apurada e confirmada a sua ocorrência, que pode danificar significativamente a reputação da empresa, afetando a confiança dos clientes e parceiros;
e.) Bloqueio dos Dados Pessoais: Suspensão temporária de qualquer operação de tratamento com os dados pessoais relacionados à infração até que a situação seja regularizada, podendo interromper operações comerciais importantes, especialmente aquelas que dependem de dados pessoais para funcionar;
f.) Eliminação dos Dados Pessoais a que se refere a infração, podendo resultar na perda permanente de dados importantes, afetando a operação e a gestão do negócio;
g.) Suspensão Parcial do Funcionamento do Banco de Dados pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, podendo dificultar a continuidade do negócio, dependendo do grau de dependência dos dados;
h.) Suspensão do Exercício da Atividade de Tratamento dos Dados Pessoais pelo período máximo de seis meses, prorrogável por igual período, impedindo a empresa de realizar qualquer atividade de tratamento de dados, o que pode ser devastador para operações que dependem fortemente de dados pessoais; e
i.) Proibição Parcial ou Total do Exercício de Atividades Relacionadas a Tratamento de Dados, podendo paralisar completamente certos aspectos do negócio, especialmente se esses aspectos forem centrais para as operações da empresa.
Considerações Finais
Lidar adequadamente com solicitações de acesso, correção ou exclusão de dados dos hóspedes é essencial para garantir a conformidade com a LGPD e manter a confiança dos seus clientes. Ao seguir os procedimentos descritos acima, seu hotel estará mais bem preparado para responder de forma eficiente e conforme as exigências legais, promovendo uma cultura de respeito e proteção aos dados pessoais.
A conformidade com a LGPD não é apenas uma questão legal, mas também uma questão de confiança e reputação para os hotéis. As sanções por descumprimento podem variar desde advertências até multas significativas e suspensão de atividades, o que pode impactar severamente a operação e a imagem do negócio. Portanto, é essencial que os hotéis implementem políticas de proteção de dados robustas, treinem seus funcionários adequadamente e estejam preparados para responder a qualquer solicitação da ANPD de forma eficiente e conforme os regulamentos da LGPD.
Aviso Legal: Este texto sobre a LGPD é fornecido apenas para fins informativos e não deve ser considerado como aconselhamento jurídico ou orientação profissional. As informações aqui contidas não se destinam a ser uma interpretação abrangente ou exaustiva da LGPD. A aplicação da LGPD pode variar dependendo de circunstâncias individuais, e os leitores são encorajados a buscar aconselhamento profissional especializado para entender como a lei se aplica em seus casos específicos. O autor e o editor deste texto não se responsabilizam por quaisquer danos ou perdas decorrentes do uso das informações aqui contidas.
*Josmar Lenine Giovannini Júnior é Diretor da empresa Conformidados, especializada em LGPD. Contato: josmar.giovannini@conformidades.com.br
