Yukê Comunicação
24 de set de 2020
A Lei Geral de Proteção de Dados Pessoais (LGPD) é realidade no Brasil, já está valendo e traz diversas normas relacionadas aos dados de pessoas, incluindo a captação, uso e armazenamento, o que pode alterar a rotina em hotéis, bares, restaurantes e demais empresas.
Para as pessoas, a Lei trará segurança sobre as suas informações. Para os empresários ainda há dúvidas sobre como captar, informar e proteger dados pessoais e, pensando nisso, convidamos a advogada do Sindicato Empresarial de Hotelaria e Gastronomia dos Campos Gerais, Stella Malucelli, para falar sobre a LGPD e como se adaptar a ela.
Doutora Stella, toda empresa está submetida à LGPD?
Sim. A LGPD se aplica a pessoas físicas e jurídicas que realizem qualquer tipo de tratamento de dados (toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração).
A lei regulamenta o tratamento de todo tipo de dados. Você pode nos explicar como ficam as pesquisas de satisfação, check-in manual de hóspedes, atas de reuniões entre outros com essa lei?
Para se adaptar à legislação, as empresas deverão criar e seguir normas internas, adotar medidas preventivas e planos de contingência, a fim de que eventuais incidentes possam ser resolvidos rapidamente.
E para aquela empresa que trabalha com parceiros, como o Booking usado por muito hotéis associados ao Sindicato, de quem será a responsabilidade pelo tratamento de dados?
A responsabilidade é de todos. Isso porque todos os agentes de tratamento estão sujeitos à LGPD e responderão em conjunto por eventuais danos causados.
Se uma empresa possuir um mailing de clientes anteriores à lei, o que acontece com essas informações armazenada? É necessário que a empresa peça o consentimento dos clientes?
A empresa deverá avaliar a necessidade de manutenção ou não do mailing. Caso entenda necessário mantê-lo, para continuar a fazer uso do mailing, deverá obter o consentimento do cliente, não sem antes informa-lo acerca da finalidade e necessidade do tratamento de dados. Caso entenda pelo descarte (eliminação dos dados) deverá, da mesma forma, informar os clientes acerca do procedimento adotado, dando a máxima transparência às suas ações.
Como posso exibir ao meu cliente a minha política de privacidade e tratamento de dados?
Uma boa forma de exibir a sua política de privacidade e tratamento de dados é através de certificações existentes no mercado.
A LGPD poderá prejudicar a hotelaria e gastronomia? Por quê?
Não. Inspirada no modelo europeu (General Data Protection Regulation - GDPR), a LGPD visa proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Serei obrigado a ter um profissional (DPO) para o tratamento de dados?
Sim. Será necessário contar com a figura do Encarregado pelo Tratamento de Dados Pessoais (também chamado de DPO – Data Protection Officer) que nada mais é que uma pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD)
Os colaboradores precisarão saber o que é a Lei e como respeitá-la?
Sim. Os colaboradores precisarão conhecer os conceitos básicos da LGPD, a finalidade, a necessidade do tratamento dos dados e, especialmente, a responsabilidade de cada um no tratamento desses dados, já que falhas de segurança poderão gerar multas altíssimas (de até 2% do faturamento anual da organização no Brasil, limitado a R$ 50 milhões por infração).
Devo apagar os dados de um contato sempre que for solicitado? Como funciona o processo?
Em regra geral, sim. Sem consentimento, os dados não podem ser tratados, exceto se indispensável para o cumprimento de uma obrigação legal, por exemplo. Vale frisar que as atividades de tratamento de dados pessoais deverão observar a boa-fé e os princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, não discriminação e responsabilização e prestação de contas.
Mediante requerimento expresso, o titular poderá solicitar ao agente de tratamento a eliminação dos dados pessoais.
Em caso de impossibilidade de eliminação imediata, o controlador deverá:
comunicar que não é agente de tratamento dos dados e indicar, sempre que possível, o agente ou indicar as razões de fato ou de direito que impedem a adoção imediata da providência.
O responsável deverá informar, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados a correção, a eliminação, a anonimização ou o bloqueio dos dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional.
Se eu tiver meu sistema invadido e os dados vazarem, devo avisar alguma agência reguladora e meus clientes?
Sim. A ANDP – Autoridade Nacional de Proteção de Dados Pessoais - e todas as pessoas afetadas deverão ser avisadas.
De compras online às redes sociais, de negócios ao terceiro setor, tudo vai estar submetido à LGPD e não importa se a sede da empresa está em território nacional ou outro país, se há processamento de informações de brasileiros ou estrangeiros residentes ou de passagem pelo Brasil, a lei deve ser cumprida.
O Confederação Nacional do Comércio de Bens, Serviços e Turismo lançou uma cartilha com instruções para a adaptação à Lei Geral de Proteção de Dados Pessoais e você pode baixar clicando aqui.