A publicação da Lei n. 13.709/2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – trouxe inúmeras dúvidas em relação as regras para operações de tratamento de dados pessoais, realizados por pessoas naturais ou jurídicas, de direito privado ou público.
O art. 3º da LGPD dispõe que:
Art. 3º: Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por “pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”, desde que:
I - a operação de tratamento seja realizada no território nacional;
II - a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.
Ou seja, mesmo que a empresa não tenha filial aqui no Brasil, todo o trânsito de dados de usuários realizados em território nacional, deverão ser tratados em estrita observância a LGPD.
E o que isso interessa ao setor de turismo?
Atualmente é comum a comercialização de hospedagem, agendamento, compra de passeios, e semelhantes, por meio das OTA´s – Online Travel Agencies (ex.: Booking.com, expedia, entre outros), sendo que cada vez mais este tipo de serviço se propaga entre os seus usuários.
Assim, uma vez adquirido este tipo de serviço por meio de um contrato digital, o usuário (hóspede) transmite seus dados pessoais ao servidor da OTA, e deste para um prestador de serviços finais, geralmente dados de pagamento por meio de cartão de crédito.
O Decreto n. 7.381/10 que trata da Lei Geral do Turismo, dispõe em seu art. 26 que “podem servir como documentos comprobatórios da relação comercial entre meio de hospedagem e hóspede, as reservas efetuadas mediante troca de correspondências, meio eletrônico ou fac-simile, realizados diretamente pelo meio de hospedagem ou dos prepostos e o hóspede ou da agencia de turismo que o represente.”
Referido artigo trata ainda em seu paragrafo primeiro da “Ficha Nacional de Registro de Hóspede – FNRH”, que nada mais é que um contrato de hospedagem preenchido pelo hóspede quando de seu ingresso no meio de hospedagem, este que de forma periódica é requisitado pelo Ministério do Turismo com o intuito de colher informações sobre o perfil dos hóspedes recebidos, distinguindo-os por nacionalidade, e ainda para coleta de dados do meio de hospedagem quanto ao registro quantitativo de hóspedes, permanência média e número de hóspedes por unidade habitacional.
Diante deste cenário, em face da aplicação da LGPD, será necessário que as empresas nacionais e estrangeiras que prestam serviços de hotelaria e turismo, saibam da necessidade da guarda e do tratamento das informações pessoais de seus consumidores, especialmente em face das penalidades que podem sofrer pela sua não observância.
Mas, quais dados devem ser tratados e de que forma isso pode ser implementado?
Os conceitos de dado pessoal estão previstos no art. 5º da LGPD e pode ser resumidamente definido como toda informação relacionada a pessoa natural identificada ou identificável.
Já o tratamento da informação está disposto no inciso X do referido artigo e pode ser definido como toda operação realizada com dados pessoais, sendo que a parte principal está na forma de coleta, no armazenamento, na transferência e na eliminação destes dados.
Assim, a transferência das informações pessoais dos hóspedes entre as OTA´s e o serviço de hotelaria ou de serviço turístico, o armazenamento na FNRH, o abastecimento das informações no sistema de reserva, a criação de e-mail marketing, o serviço de pós vendas, e o fornecimento das informações ao Ministério do Turismo, necessariamente precisarão ser tratadas nos termos fixados na LGPD. Estes dados devem ser tratados levando em conta:
(i) O consentimento do titular (hóspede) no tratamento de seus dados para uma finalidade determinada;
(ii) O consentimento deve ser por escrito ou por outro meio que demonstre a manifestação, não podendo neste caso ser de forma genérica;
(iii) A possibilidade de revogação a qualquer momento pelo consumidor;
(iv) O acesso aos dados solicitados pelo consumidor a qualquer momento de forma gratuita.
Percebemos com isso que a aplicabilidade da LGPD vai muito além de um simples e bom Termo de Uso e Políticas de Privacidade pelas empresas de turismo. Será necessária toda uma arquitetura de tratamento de informações e deve ser criada a partir da realidade das operações da empresa, garantindo a segurança da informação e o cumprimento da LGPD.
Sugerimos neste caso, que aludidas empresas tenham uma estrutura de compliance digital a fim de adequar websites, blogs, perfis em redes sociais, banco de dados e sistemas de arquivamento uma vez que a multa pelo descumprimento a LGPD pode chegar a 2% do faturamento da empresa ou do grupo empresarial.
Comments