Opinião | A Nova Legislação de Proteção de Dados

Daqui a menos de 3 meses (25 de maio de 2018) ex aequo em todos os países da União Europeia, em todas as entidades públicas e privadas, incluindo entidades subcontratadas, será aplicado o novo Regulamento de Proteção de Dados (RGPD). Em todas as entidades?! Sim, em todas as que procedam ao tratamento de dados pessoais de cidadãos europeus, independentemente da sua localização. Ou seja, basicamente quaisquer entidades que procedam à venda de produtos e à prestação de serviços (ainda que de forma gratuita) ou efetuem profiling, na UE, estão sujeitas ao novo Regulamento.

O que muda, portanto, é para todos.

Os hotéis são apenas uma “pequena” fatia das empresas que vão ter de se adaptar.

Uma “pequena/grande” fatia! Todos os hotéis processam e armazenam informação pessoal e financeira, necessária à prestação do serviço, mas também informação para personalizar a experiência do Cliente, criar programas de fidelização e ofertas dirigidas, a que se associa a diversidade de acessos para reservas via internet e online, transferência de dados para entidades terceiras e, ainda, a informação dos colaboradores internos.

Ora, vários estudos publicados recentemente identificam o setor como um dos mais vulneráveis a incidentes de segurança e tentativas de roubo de dados dos Clientes por hackers.

É, por isso, ainda mais oportuno revisitar a necessidade de as empresas hoteleiras assegurarem a conformidade com o novo Regulamento.

O Regulamento

Em traços muito gerais, este regulamento vem substituir a Lei de Proteção de Dados (LPD) em vigor desde 1998 e que teve como principais linhas orientadoras harmonizar a legislação de Proteção de Dados na União Europeia, tornar o regime jurídico mais claro para as organizações e para os titulares dos dados e adaptar as regras de privacidade à nova era digital.

Grande parte das novas obrigações não são tão novas assim, visto que já estavam contempladas na atual LPD, mas há alterações significativas, das quais apenas enunciamos abaixo algumas, e que devem merecer especial atenção dos nossos Associados.

Uma delas: a maioria das atividades dos hotéis obriga ao consentimento do titular dos dados. O consentimento deve ser expresso de forma livre, apresentado numa linguagem clara e simples e identificar o propósito do tratamento, isto significa que o consentimento tem de ser dado de forma positiva e para cada finalidade de tratamento. Note-se que o titular pode, a qualquer momento, retirar o consentimento.

E os direitos dos titulares dos dados são reforçados, concretamente, aceder aos seus dados pessoais, solicitar retificação, eliminação e/ou transferência dos dados para outras empresas (portabilidade, etc.).

Vários outros princípios têm impacto direto nas organizações: A proteção dos dados desde a concepção e por defeito obriga as organizações a aplicar as medidas técnicas e organizativas adequadas, garantindo que os dados são tratados para cada fim específico e que são recolhidos apenas os dados necessários ao tratamento.

No caso de violação de dados pessoais, é obrigatório ter processos implementados que permitam informar a autoridade de controlo num prazo de 72 horas, bem como no caso de elevado risco para o titular, comunicar-lhe essa violação sem demora.

Sempre que a especificidade do tratamento implicar um elevado risco (e, por exemplo, uma nova aplicação ou website ou tratamentos massivos é de elevado risco) as organizações devem proceder, antes de iniciar o tratamento, a uma avaliação do impacto sobre proteção de dados (PIA).

De destacar ainda a função de Encarregado de Proteção de Dados, que, quando obrigatória ou recomendada, pode ser exercida por um recurso interno ou em regime de outsourcing, cujas funções e responsabilidades são vastas e muito exigentes.

Finalmente o conceito de responsabilidade (accountability) implica que a organização comprove que são cumpridos todos os princípios relativos ao tratamento de dados pessoais.

Impacto na Hotelaria

Para estarem preparadas para a entrada em vigor do regulamento, todas as empresas devem desenvolver, ou melhor, já deviam ter encetado, auditorias às políticas, processos, sistemas e aplicações informáticas no sentido de, no mais curto prazo, atingirem a conformidade com o regulamento e, assim, evitarem a aplicação de coimas e riscos reputacionais.

A proteção de dados tem de ser claramente assumida pelo setor.

A AHP tem vindo a enfatizar todo o esforço de recursos humanos e financeiros para desenvolver o trabalho de adoção do RGPD junto dos hotéis.

Todavia, importa referir que, sendo esta uma necessidade, tem também aspetos positivos quando implementado, de que destacamos: o aumento da confiança dos Clientes e a sensibilização dos colaboradores, especialmente de frontoffice, que poderá evitar a ocorrência de situações desagradáveis e reclamações.  Para apoiar os seus Associados, a AHP, em parceria com a PKF e a ProtectData, especialistas em proteção de dados, criou um gabinete específico que poderá ser utilizado pelos hotéis associados que pretendam apoio externo para o diagnóstico da situação atual e implementação das medidas necessárias à obtenção da referida conformidade.

Uma mensagem final: na matéria somos todos interessados, quer enquanto titulares de dados, quer enquanto responsáveis em empresas ou entidades obrigadas ao cumprimento do regulamento.

*Opinião de Cristina Siza Vieira, presidente executiva da Associação da Hotelaria de Portugal.

in Publituris