A LGPD, sigla da Lei Geral de Proteção de Dados Pessoais, sob o n.º 13.709/2018, entrou em vigor em 21 de setembro de 2020, exigindo adequação do mercado.

A LGPD tem por objeto a proteção à utilização de dados de pessoas física e criou regras sobre processos físicos ou digitais de coleta, uso, tratamento armazenamento e compartilhamento de dados pessoais por pessoas físicas e jurídicas de direito privado ou público.

A Lei se aplica às relações trabalhistas, comerciais, consumeristas, nacionais ou internacionais, dentre outras, e afetará o turismo e hotelaria por regular dados colhidos no Brasil, aqueles com vistas a oferecer bens e serviços brasileiros, os processados no território nacional ou, ainda, os que se refiram a pessoas físicas localizadas no Brasil.

A regra geral é que se obtenha a expressa e prévia concordância do titular de dados para o tratamento para um fim específico. Há que se cuidar para que a troca de informações entre diversos players como agências, hotéis e pousadas, locadoras de automóveis e transportadoras de passageiros sejam protegidas juridicamente (com cláusulas de confidencialidade, por exemplo) e tecnologicamente (com utilização de tecnologia, criptografia, etc). O tratamento de dados sensíveis, considerados os relacionados à saúde, raça, interesse políticos, dentre outros, são ainda mais restritos.

Os titulares de dados terão direitos de acesso, correção e exclusão de seus dados, portabilidade, confirmação da existência de tratamento, anonimização, informação sobre compartilhamento dos seus dados, possibilidade de não fornecer consentimento pra uso, consequências da negativa e revogação da autorização de tratamento. Diante disso, há que se criar canais de comunicação para garantir os direitos aos hóspedes, empregados e outros titulares de dados.

Notem, contudo, que nem tudo está proibido. A lei tem exceções, permitindo o tratamento de dados em alguns casos ou excluindo de sua regência.

Por exemplo, caso não exista consentimento para tratamento pelo titular, a lei prevê algumas justificativa para o tratamento de dados, tais como para execução de contratos, proteção de saúde ou créditos, pesquisa, obrigações legais, administrativas, judiciais ou arbitrais, dentre outras.

Por outro lado, a lei não será aplicável quando o tratamento de dados for feito por pessoas físicas para fins particulares e não econômicos, jornalísticos, artísticos ou acadêmicos, para segurança pública de estado ou defesa ou para dados de fora do Brasil que não sejam comunicados ou compartilhados com agentes nacionais.

O processo de adaptação requer análise de cada negócio e empreendimento, considerando as políticas e regras aplicáveis (por exemplo, em caso de bandeiras internacionais ou políticas internas), as exceções legais (como as obrigações de divulgação ao Cadastur ou ANAC) e o nível de sensibilidade dos dados tratados, dentre outros, e deverá ser implementado em fases.

Primeiro, há que ser feita apuração dos dados existentes e sua utilização, a avaliação dos riscos envolvidos e elaboração de um plano de proteção de dados. Em um segundo momento, é exigida a implementação de proteção tecnológica e de privacidade (incluindo criptografia, anonimização, aplicativos personalizados e sistemas de proteções compatíveis), definição de responsabilidades, treinamentos de pessoal e planos de emergência para os casos de vazamento e exposição indevida de informações. Posteriormente, há que se manter monitoramento contínuo.

A falta de adequação poderá gerar sanções. A ANPD (Autoridade Nacional de Proteção de Dados), nova agência reguladora da LGPD instituída em 26 de agosto de 2020, é responsável, conjuntamente com o judiciário, pela interpretação da lei e fiscalização do setor, observando que as penalidades podem incluir advertências, multas de até 2% da receita fiscal anual do grupo econômico com limite de cinquenta milhões de reais por infração e/ou multa diária, bloqueio de dados e a obrigação de reparar o dano causado. As sanções administrativas passarão a ser aplicáveis em agosto de 2021, mas a responsabilidade por danos já existe e chegará em breve como room service.

Com a entrada em vigor da lei, a recomendação é de obtenção de autorizações escritas e de assinatura de termos de confidencialidade e aditivos contratuais para considerar as regras específicas, como a Resolução nº 458 de 2017 da Agência Nacional de Aviação Civil.

Ainda, será importante a revisão de critérios de segurança da informação, contratos em geral, políticas internas e externas, criação de mecanismos de controle e canais de informação específicos, gestão de riscos, dentre outros. Exemplificadamente, serão necessárias medidas como:

i. fazer um levantamento de todos os dados pessoais atualmente detidos, políticas existentes, verificar quem tem acesso aos dados e as formas de utilização dos mesmos, com reuniões com as principais equipes (RH, TI, dentre outros);

ii. apurar o tratamento de dados por terceiros e verificar se houve adequação à LGPD por estes;
estabelecer um responsável pela proteção de dados pessoais – que supervisionará a implementação da política de privacidade e adequação à LGPD – e pelo relacionamento com a ANPD;

iv. elaborar relatórios de riscos preliminares e impactos à proteção de dados pessoais;

v. apurar quais os dados sensíveis detidos e verificar sua utilização;

vi. revisar contratos existentes com terceiros, políticas e termos de uso do site;

vii. atualizar tecnologias utilizadas a fim de melhor proteger os dados de titulares de direitos detidos pela empresa;

viii. treinar a equipe para que possam cumprir o disposto na LGPD;

ix. implementar plano de programa de privacidade de dados, com adoção de políticas a serem aderidas pelos funcionários, colaboradores, fornecedores, prestadores de serviços, subcontratados, etc;

x. estabelecer um canal de comunicação para atender a pleitos, requerimentos e demais atendimentos sobre LGPD, criando modelos de fluxos de informações junto a clientes e titulares de dados;

xi. supervisionar a comunicação com entes públicos e terceiros no tocante a dados mandatórios e outros que possam se transferidos em decorrência da prestação de serviços hoteleiros e turísticos;

xii. criar um plano de emergência para casos de vazamento de dados; e

xiii. estabelecer plano de e implementar monitoramento contínuo dos dados tratados.

Como a lei é multidisciplinar e o processo exige o envolvimento de setores como TI, RH e outros, não sendo de implementação imediata, o segredo é o early check-in. O mercado tem que se adaptar.

—-

Ana Beatriz Barbosa Ponte é sócia do Perez & Barros, Masters of Laws pela New York University, Coordenadora da Comissão de Hotelaria e Multipropriedade do IBRADIM e Membro da Comissão de Direito Urbanístico e Imobiliário da OAB/RJ.

(*) Crédito da foto: divulgação/arquivo pessoal