LGPD-hotel-site

A rede hoteleira está preparada para a LGPD?*

Iniciado o último trimestre de 2020, a sociedade se prepara para a retomada das suas atividades em meio à maior crise sanitária que se tem notícia.

Diante de tantas incertezas, o setor hoteleiro terá de superar, além dos desafios decorrentes do novo coronavírus, a adequação à Lei Geral de Proteção de Dados (LGPD).

Antes mesmo do advento da pandemia, havia uma tendência do setor hoteleiro no sentido de modernizar os seus processos, através da automação de suas operações com o emprego de assistentes virtuais, da utilização usual das redes sociais com chats de atendimento automatizados de 24 horas e, até mesmo, da adoção de inteligência artificial, a fim de produzir perfis psicométricos e de explorar potenciais comportamentos dos hóspedes, possibilitando se sobressair à concorrência, além de atender às expectativas dos seus clientes.

Desse modo, o movimento do setor hoteleiro em personalizar cada vez mais o atendimento aos hóspedes, aliado às obrigações legais, como, por exemplo, a Lei do Turismo que prevê a necessidade dos hotéis em compartilhar periodicamente dados pessoais dos seus clientes através da Ficha Nacional de Registro de Hóspedes (FNRH)[1], eleva os desafios enfrentados pelo setor na ocasião de atender à LGPD.

A LGPD disciplina no art. 5º[2] que qualquer informação que identifique ou torne identificável uma pessoa natural é caracterizada como dado pessoal. Ou seja, a mera interação entre o titular dos dados pessoais e o hotel via chat de atendimento automático possibilita a aplicação da LGPD, ante a identificação do hóspede.

Com efeito, importante pontuar que a operação do setor hoteleiro é baseada no tratamento de dados pessoais dos seus clientes, o que evidencia a necessidade de os hotéis identificarem a finalidade pela qual realiza a coleta de dados pessoais dos seus hóspedes, a fim de alcançar a conformidade das exigências decorrentes da LGPD.

É primordial que os hotéis revisem a sua atuação e os seus procedimentos, com o objetivo de avaliar e de identificar a razão pela qual os dados pessoais dos hóspedes são solicitados, além de oportunizar a classificação de eventuais dados sensíveis[3] e de crianças e adolescentes, possibilitando que o hotel higienize o seu banco de dados e adeque futuras coletas, vinculando as informações pessoais recepcionadas à finalidade da operação do hotel e à hipótese legal apropriada, harmonizando o tratamento de dados com a sua política de privacidade e termos de uso.

A técnica de mapeamento de dados apresenta-se como excelente forma de o hotel constatar se o tratamento de dados realizado enquadra-se em uma das 10 bases legais dispostas no art. 7[4], ou então do art. 11[5] e art. 14[6], além de possibilitar a identificação de potenciais compartilhamentos dos dados pessoais dos hóspedes com parceiros comerciais, bem como seu devido enquadramento à LGPD.

Uma situação que ilustra facilmente como a LGPD irá interferir na rotina dos hotéis é o do check-in, isso porque é dever do hotel solicitar somente os dados pessoais que sejam de suma importância para atendimento de eventual obrigação legal (ex. Ficha Nacional de Registro de Hóspedes), ou, então, que tenham vinculação direta ao serviço do hotel, desde que atendida às diretrizes da LGPD. No caso de necessidade de compartilhamento de dados com terceiros (ex. agência de viagens), é imprescindível a autorização prévia do titular das informações, sob pena de risco de quebra da finalidade do tratamento de dados.

A par disso, importante mencionar o posicionamento do Superior Tribunal de Justiça ao analisar o REsp 1.758.799/MG[7], no sentido de que o compartilhamento indevido pode ensejar danos morais in re ipsa, ou seja, independente de prova do dano suportado pelo titular/hóspede.

Mais um exemplo de prática que deve ser revista por alguns hotéis é a utilização do Wifi-tracking, que nada mais é que o hotel se valer do serviço de wi-fi gratuito ofertado aos hóspedes para não só coletar dados pessoais, mas explorar e rastrear o acesso dos clientes à internet, arquivar dados sobre geolocalização, entre outras situações potencialmente lesivas, sem que seja esclarecido ao titular de dados, de forma satisfatória, o modo que o tratamento seria realizado.

Outros fins comerciais que merecem atenção do setor hoteleiro são divulgações dirigidas de ofertas e serviços através do envio de informações contidas nos seus bancos de dados, exploração de cookies nos websites sem a devida comunicação ao titular, utilização de informações de sistemas (CRM, fichas de cadastro, reserva e cotação, fechaduras eletrônicas, marketplaces, FNRH, OTAs, etc.).

Oportuno ressaltar que a responsabilização dos hotéis se estende aos seus funcionários e fornecedores, razão pela qual é essencial que seja disseminada uma cultura de privacidade e proteção de dados, sendo indicado que os hotéis realizem treinamentos periódicos no sentido de estimular o debate sobre as medidas de segurança adotadas, com o objetivo de conscientizar os envolvidos e de mitigar os riscos, além de vislumbrar a redução de ocorrências de vazamentos e acessos não autorizados à base de banco de dados pessoais dos seus hóspedes.

Ainda que o órgão responsável (Autoridade Nacional de Proteção de Dados – ANPD)[8] por zelar pelo cumprimento da LGPD não tenha sido instituído e as sanções administrativas[9] tenham início de vigência tão somente em 1° de agosto de 2021, uma gestão efetiva dos dados pessoais dos hóspedes apresenta, além de um diferencial de mercado para o hotel, uma segurança frente aos demais órgãos e judiciário, tendo em vista que a inobservância da LGPD pode ensejar a responsabilização civil e administrativa, acarretando indenizações pecuniárias ante a legislação vigente (Constituição Federal, Código de Defesa do Consumidor, Lei do Cadastro Positivo, Marco Civil da Internet, entre outros).

Portanto, é evidente que os hotéis que não adequarem o tratamento de dados pessoais estarão sujeitos a um risco descomunal, tendo em vista que os principais fiscais do cumprimento da LGPD serão os próprios titulares e, sem sombra de dúvidas, os concorrentes.

*Dr. Saymon Leão – OAB/RS 99.623

Integrante da Comissão Especial em Seguro e Previdência Complementar da OAB/RS e integrante do Grupo Nacional de Trabalho Novas Tecnologias da AIDA BRASIL (Associação Internacional do Direito do Seguro)

[1] Art. 26.  Os meios de hospedagem deverão fornecer ao Ministério do Turismo, em periodicidade por ele determinada, as seguintes informações:
I - perfil dos hóspedes recebidos, distinguindo-os por nacionalidade; e
II - registro quantitativo de hóspedes, taxas de ocupação, permanência média e número de hóspedes por unidade habitacional.
Parágrafo único.  Para os fins deste artigo, os meios de hospedagem utilizarão as informações previstas nos impressos Ficha Nacional de Registro de Hóspedes - FNRH e Boletim de Ocupação Hoteleira - BOH, na forma em que dispuser o regulamento. (http://www.planalto.gov.br/ccivil_03/_ato2007-2010/2008/lei/l11771.htm)
[2] Art. 5º Para os fins desta Lei, considera-se:
I - dado pessoal: informação relacionada a pessoa natural identificada ou identificável; (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm)
[3] Art. 5º Para os fins desta Lei, considera-se:
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm)
[4] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm)
[5] Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses: (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm)
[6] Art. 14. O tratamento de dados pessoais de crianças e de adolescentes deverá ser realizado em seu melhor interesse, nos termos deste artigo e da legislação pertinente. (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm)
[7] REsp 1758799/MG, Rel. Ministra NANCY ANDRIGHI, TERCEIRA TURMA, julgado em 12/11/2019 (https://processo.stj.jus.br/processo/revista/documento/mediado/?componente=ITA&sequencial=1888267&num_registro=201700065219&data=20191119&formato=PDF)
[8] Art. 5º Para os fins desta Lei, considera-se:
XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional. (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm)
[9] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:    (Vigência)
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração; (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm)




Quem Somos

Image

Formada por uma equipe de advogados com alto nível de especialização e vasta experiência jurídica, é uma empresa sólida que prima pela competência, pela ética e pelo comprometimento com parcerias consolidadas. Valores estes que se traduzem na excelência da prestação de serviços e da defesa dos interesses de seus clientes.

Facebook

Últimos Posts