A LGPD e o setor de hotelaria e hospitalidade
11 de março de 2021A LGPD (Lei Geral de Proteção de Dados Pessoais) entrou em vigor em setembro de 2020 e as penalidades administrativas passam a vigorar a partir de agosto de 2021. O termo “Geral” se opõe à setorial, ou seja, é uma Lei que atinge todos os segmentos de mercado, sejam startups, indústrias, comércios, prestadores de serviços etc.
O setor de hotelaria e hospitalidade, bem como todo o ecossistema existente neste mercado, certamente precisará ficar atento às exigências da LGPD. A legislação também traz alguns conceitos e definições, tais como: controlador e
operador (agentes de tratamento), titular de dados, encarregado pelo tratamento de dados pessoais (também conhecido como DPO – Data Protection Officer), o conceito de dados pessoais, o que são tratamentos de dados pessoais e exige das empresas basicamente o seguinte:
- Avaliar (no sentido de assessment, auditoria) as questões de privacidade e proteção de dados pessoais (P&PD).
- Identificar, mapear e manter os registros das operações de tratamento.
- Avaliar e eliminar os riscos envolvendo dados pessoais.
- Proteger os dados pessoais.
- Conhecer e gerenciar o compartilhamento de dados pessoais.
- Responder às requisições dos titulares de dados.
- Responder e notificar eventuais incidentes ou violações de segurança.
Provavelmente a conformidade com a lei de proteção de dados será um dos desafios do seu negócio a partir de 2021. A nova legislação engloba questões jurídicas, tecnológicas e de segurança da informação bem como de avaliação de riscos, projetos e processos. A sua organização precisará buscar a adequação às exigências legais e manter um programa de governança de dados porque esse trabalho de conformidade com a LGPD é contínuo e permanente. Medidas que antes eram consideradas boas práticas, agora passam a ser consideradas obrigação legal.
O órgão responsável pela fiscalização e aplicação da lei no Brasil será a ANPD (Autoridade Nacional de Proteção de Dados) e será também o órgão responsável pela aplicação das penalidades administrativas da Lei. A boa notícia é que a ANPD vem se posicionando de forma bastante coerente com a realidade brasileira e a fiscalização terá um caráter menos punitivo e mais educativo neste momento.
Além disso, a própria LGPD permite que o setor de hotelaria e hospitalidade, por exemplo, una-se por meio de entidades representativas e crie sua autorregulação para a busca da conformidade com a LGPD, bem como formule regras de boas práticas de governança para o setor e submetam à Autoridade para aprovação e ciência.
Em breve também teremos uma regulamentação específica da ANPD para definir procedimentos simplificados e diferenciados para micro e pequenas empresas, startups e empresas de inovação para que esses negócios possam se adequar à Lei e certamente essa regulamentação beneficiará diversas empresas do ecossistema de hospitalidade.
Por fim, vale lembrar que no setor hoteleiro tivemos dois casos emblemáticos de incidentes e violações de segurança da rede Marriott. O primeiro, em 2018, em que dados pessoais de mais de 500 milhões de hóspedes foram furtados por hackers e o segundo, em 2020, em que dados pessoais de hóspedes foram indevidamente acessados em sistemas internos com as credenciais de login de dois funcionários.
Na Europa, o setor de hospitalidade já registra 15 violações ao GDPR que geraram multas aplicadas pelas Autoridades Supervisoras, totalizando quase € 21 milhões em penalidades pecuniárias.
* Jonathan Y. Ando Nelson é advogado, pós graduado pela PUC/SP e atua em projetos de tecnologia e inovação desde 2005. Participa do ecossistema de inovação da área jurídica, é mentor na Ace Startups e consultor de Privacidade e Proteção de Dados Pessoais. Possui diversos cursos, treinamentos e certificações ligados ao tema e também é parceiro brasileiro do ECOMPLY.io, software alemão de gestão de proteção de dados pessoais.
