LGPD: O impacto no setor do turismo

Por Antonio Araujo Junior – DPO e especialista em direto digital da GAP Advocacia

Como a Lei de Proteção de Dados Pessoais afetará o mercado de turismoEm agosto passado – mais especificamente no dia 14 – foi publicada a Lei nº 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que criou regras para operações de tratamento de dados pessoais, por pessoas naturais ou jurídicas, de direito privado ou público (conforme disposto em seu art. 3º).

Importante ressaltar que o aludido artigo 3º fixa que tal Lei “aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”, desde que: I – a operação de tratamento seja realizada no território nacional; II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.

Mas no que isso interessa ao mercado de turismo?

Em face da publicação da Lei Geral de Proteção de Dados Pessoais, é de suma importância que as empresas do meio turístico passem a cuidar da observância da regulamentação trazida pela mesma, especialmente em face das penalidades que podem sofrer pela sua não observância.

Neste passo, é importante trazermos em cena alguns conceitos fixados pela LGPD. Em primeiro lugar, seu art. 5º, inciso I, fixa que dado pessoal é toda “informação relacionada a pessoa natural identificada ou identificável”.

Em seguida, em seu inciso X, conceitua tratamento da informação como: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

Aqui reside um dos pontos mais importantes. Como vemos do inciso X acima transcrito, para ser considerado tratamento de informação, basta que a mesma seja, de alguma forma, coletada, utilizada, armazenada, transmitida ou transferida.

Assim, os atos de transferência da informação pessoal dos hóspedes entre OTA e serviço de hotelaria ou turístico, o armazenamento das Ficha Nacional de Registro de Hóspedes – FNRH (em meio físico ou digital), o abastecimento de informações em sistemas de reserva, o abastecimento de dados em sistemas de CRM, a criação de listas de e-mail para marketing digital e, por fim, o fornecimento das informações a MTur constantes da obrigação prevista no art. 26 da Lei Geral do Turismo, são tratamento de informações pessoais, obrigando as empresas de turismo a obedecer os termos fixados pela LGPD.

O primeiro preceito a ser observado, neste interim, é o consentimento exigido pelo art. 7º da LGPD, que segundo seu art. 5º, XII, é a “manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada”. Tal consentimento, por força do art. 8º da LGPD, deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular e não poderá ser genérico (art. 8º, § 4º), bem como poderá ser revogado pelo consumidor a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado. E é claro que todos aqueles consentimentos feitos pelos hospedes no momento do check-in ou via website estará revogado por esta fora deste padrão legal. Ou seja, deve o prestador de serviços prover seus consumidores de um procedimento de revogação de consentimento que cumpra com tais exigências.

Por outro lado, o art. 37 da Lei determina que a empresa que trata os dados deve manter registro das operações de tratamento que realizar, e que tais informações devem ser acessíveis ao titular dos dados.

Como podemos ver, a LGPD exige mais do que a simples redação de bons Termos de Uso e Políticas de Privacidade pelas empresas de turismo. Ela exige a criação de uma arquitetura de tratamento de informação, que deve ser criada a partir da realidade das operações necessárias e desejadas pela empresa, garantindo a segurança da informação e o cumprimento da LGPD a cada passo do tratamento e armazenamento da informação – o que pode gerar, inclusive, alterações físicas em websites, bancos de dados e sistemas de arquivamento das aludidas empresas.

O cuidado na criação desta arquitetura de compliance, cyber segurança e jurídica é importante, uma vez que o art. 52 da LGPD fixa sanções administrativas aos agentes de tratamento de dados que infringirem tais regras, que vão desde uma simples advertência (inciso I) a multas de até 2% do faturamento da empresa ou grupo empresarial.

Após o mapeamento do fluxo de dados, o estabelecimento deverá escolher, para cada modalidade de tratamento de dados, qual é a base legal (o dispositivo da lei que prevê o tratamento de dados) aplicável ao caso. Seja o consentimento, o cumprimento de obrigação legal (no caso da Ficha Nacional de Registro de Hóspedes) ou até mesmo para atender um interesse legítimo do próprio estabelecimento hoteleiro. Outro ponto importante é conscientização de todos os envolvidos. Não basta ter um sistema adequado de tratamento de dados pessoais, se as pessoas que estiverem tratando esses dados não entenderem os princípios básicos da LGPD. Se pudéssemos concentrar tais princípios em duas palavras, seriam estas: transparência e a finalidade legítima. Os titulares de dados pessoais, em resumo, devem saber quais os dados que estão sendo tratados pelo estabelecimento e para que serão utilizados.

Assim, se faz necessário que as empresas atuantes na área do turismo busquem, o quanto antes, a assessoria de um advogado especializado para a análise e criação de sua arquitetura de tratamento de informação, evitando penalidades futuras.

Por Antonio Araujo Junior – DPO na GAP Advocacia e especialista em direito Digtal

Deixe um comentário

Faça o login usando um destes métodos para comentar:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s