Evento debate impactos da LGPD na operação hoteleira

27/08/2020

Buscando debater os impactos da Lei Geral de Proteção de Dados (LGPD) no setor, o Sindicato dos Hotéis do Rio de Janeiro (HoteisRio) e a Associação de Hotéis do Rio de Janeiro (ABIH-RJ) realizaram, na última sexta-feira, 20 de agosto, evento on-line “Lei Geral de Proteção de Dados – LGPD: vigência à luz da Lei nº 14.010/2020 e da MPV nº 959/2020”.

A realização foi uma parceria com o escritório Natal & Manssur Advogados, que atua nas áreas de Propriedade Intelectual e Proteção de Dados e vem auxiliando diversas empresas na orientação e adequação à lei. O palestrante foi o advogado George Leandro Luna Bonfim, coordenador das áreas de Direito Societário, Fusões e Aquisições, Propriedade Intelectual e Proteção de Dados do escritório, com mediação do advogado tributarista do HotéisRio, Eduardo Gazale Féo.

Dentre as hipóteses para o manuseio dos dados, que a LGPD qualifica como “tratamento”, constam uma série de requisitos que devem ser observados pelos responsáveis por tais medidas, sendo a principal delas o consentimento dos dados do titular. Nesse sentido, cabe aos hotéis buscarem o consentimento dos usuários para utilizarem os seus dados, ou observarem outras hipóteses previstas pela lei, como o legítimo interesse. Aqui, segundo George, os hotéis poderiam, em um primeiro momento, fundamentar o uso dos dados dos titulares com base no legítimo interesse, sobretudo com base na legislação europeia (GDPR) que serviu de inspiração à LGPD. “Na lei europeia, que inspirou a brasileira, uma empresa pode comprovar o legítimo interesse para fazer propaganda por e-mail marketing, por exemplo”. O legítimo interesse poderia fundamentar outras disposições e medidas que os hotéis poderiam ter, como a obtenção e dados de cartão de crédito para a reserva e quitação de despesas da hospedagem, ou ainda as informações cadastrais exigidas por outras normas. “Cumprir a LGPD não significa descumprir outras normas, como aquela que dispõe sobre a obrigatoriedade de preenchimento da Ficha Nacional de Registro de Hóspedes, prevista pela Lei nº 11.771/2008 e regulamentada pelo Decreto nº 7.381/2010. As normas devem funcionar em um regime de harmonia”, explica Bonfim.

O advogado citou o emblemático caso da rede de hotéis Marriott, que teve uma violação enorme de dados do seu sistema de reservas Starwood, com o vazamento de dados de aproximadamente 500 milhões de hóspedes, e foi multada pela autoridade de proteção de dados do Reino Unido, denominado Gabinete do Comissário de Informações (ICO, em inglês) em cerca de 100 milhões de libras (aproximadamente 123 milhões de dólares), decorrentes de um ataque de hackers que não foi comunicado de forma tempestiva à autoridade.

Uma das primeiras recomendações para se adaptar à LGPD brasileira, recomenda George, é recomeçar o trabalho de solicitação de autorização da base de dados. Além disso, sempre comunicar claramente quais serão as informações coletadas e qual a finalidade. Criar a figura do Data Protection Officer (DPO) também é importante, figura que atuará no relacionamento que será criado entre a autoridade nacional – Agência Nacional de Proteção de Dados – , os titulares dos dados pessoais e a própria empresa. Armazenar os mailings de forma segura, criar uma política clara de proteção de dados e oferecer treinamento ostensivo às equipes envolvidas com essas informações também são ações que podem fazer toda a diferença.

O passo anterior a qualquer tomada de decisão, que pode ajudar as empresas a entenderem a sua realidade, é buscar realizar um mapeamento do fluxo de dados na organização. “Entender como funciona o fluxo de dados na sua empresa, quais são os pontos fracos a serem aprimorados, é essencial. A partir daí, criar medidas saneadoras e promover treinamentos”, explica George Bonfim. “Trata-se de um trabalho que deve ser customizado e específico para cada empresa, já que alternativas de prateleira dificilmente trarão resultados satisfatórios. Escritórios de advocacia com expertise em proteção de dados podem avaliar com minúcia e cautela a realidade de cada empresa, propondo melhorias e recomendações. Ao mesmo tempo, empresas de TI estão criando sistemas de proteção, o que pode ser interessante”, salienta.

Outra questão de grande relevância está nas adequações que são necessárias quando das atualizações dos contratos com fornecedores, prestadores de serviço e parceiros que envolvam o tratamento de dados, especialmente em decorrência da responsabilidade solidária que a lei traz para os agentes de tratamento de dados (controlador e operador). “O que a empresa parceria faz repercute no hotel, de forma a mitigar e adequar a responsabilidade de cada ente envolvido com o tratamento, em razão de sua solidariedade. Por isso, é preciso esclarecer todas as responsabilidades e políticas, contratualmente definidas”, avisa.

Cabe informar que em 26 de agosto a MP nº 959/2020, que inicialmente havia previsto a prorrogação da LGPD para maio de 2021, e que teve uma aprovação de mudança de seu artigo 4º realizada pela Câmara dos Deputados, para que sua entrada em vigor fosse adiada para 31/12/2020, sofreu uma reviravolta no Senado, que ao analisar a matéria tratada no então Substitutivo PLV 34/20 (Projeto de Lei de Conversão), considerou a matéria preclusa por já ter sido avaliada anteriormente pela referida casa legislativa. Assim, fica confirmada a entrada em vigor da LGPD já para o mês de setembro de 2020. Vale destacar que as suas sanções administrativas específicas somente entrarão em vigor em 01/08/2021, por força da Lei nº 14.010/2020.

Sem demora, o Poder Executivo editou, no último dia 27 de agosto, o Decreto nº 10.474/2020, que organiza a estrutura regimental da Autoridade Nacional de Proteção de Dados (ANPD), vinculada à Casa Civil da Presidência da República. É imprescindível que as empresas sujeitas à referida legislação, sobretudo os hotéis e outros estabelecimentos ligados ao turismo, busquem adequarem-se da melhor forma possível.

Outras Publicações