Já há algum tempo se discute a responsabilidade das empresas na proteção dos dados de seus clientes a ponto desse conteúdo constituir-se de informações relevantes no mercado de consumo.
Inicialmente os dados pessoais tinham como única finalidade identificar o individuo como pessoa e não como consumidor. Com o passar do tempo verificou-se a necessidade de criar sistemas capazes de catalogar os dados obtidos de forma a extrair informações relevantes capazes de orientar os empresários na tomada de decisões, os dados pessoais passaram então a ter valor significativo e de grande importância no meio empresarial.
Foram criados mecanismos de troca na internet com o objetivo de obter dados pessoais do público alvo, capturando e-mails em troca de conteúdo relevante.
Com a proliferação indiscriminada dessas informações, passando inclusive a ter valor econômico, comercializado na internet de acordo com o perfil dos consumidores, tais como: perfil de consumo, faixa etária, sexo, profissão, preferências de hospedagens, etc.
Sem uma legislação específica de proteção desses dados, os operadores do direito buscavam regulamentação na legislação civil, código de defesa do consumidor e até no código penal. A Europa saiu na frente e recentemente criou sua lei de proteção de dados pessoais denominada, Regulamentação Geral de Proteção aos Dados (GDPR).
O Brasil já vinha discutindo esse tema há muito tempo com a comunidade acadêmica, bem como todo o mercado envolvido com a captação e tratamento de dados.
Diante da necessidade eminente de regulamentar o setor, no dia 14 de agosto de 2018 foi publicada a Lei 13.079/2018, intitulada Lei Geral de Proteção de Dados Pessoais, trazendo regras para operações de tratamento de dados pessoais, tanto naturais quanto jurídicas, seja de direito privado ou público (art. 3º), vejamos:
“Aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados”, desde que: I – a operação de tratamento seja realizada no território nacional; II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional.
A lei vai exigir que todas as empresas que utilizam dados dos consumidores adotem novos meios de privacidade online. A partir de 2020, quem não tiver se adequado às medidas de segurança digital poderá ser multado em até 2% de sua receita.
Sendo assim, vamos analisar os impactos no mercado de turismo.
Dada a evolução tecnológica, atualmente quase que a totalidade das reservas de hospedagens e serviços correlatos são feitas através dos meios digitais, sendo por meio de sites e aplicativos dos hotéis ou das agências de viagens online.
Esse processo de mudança de mentalidade e adequação exigirá que sejam refeitos todos os contratos com os parceiros comerciais. Esse procedimento torna-se competitivo a medida que empresas deixarem para se adequar quando estiverem próximo a data limite, deixando os que se anteciparam em grande vantagem. Os que não se adequarem perderão em oportunidades e negócios bem como terão sua reputação abalada, comprometendo completamente todo o investimento em marketing.
Uma das principais vantagens para os que se anteciparem as novas regras é o alinhamento ao contexto global, estando de acordo com as regras existentes em outros mercados.
Com a nova lei, uma empresa não poderá coletar dados e usá-los indiscriminadamente, devendo agora informar sua finalidade. Um site que solicite dados de idade em um cadastro sem que isso tenha a ver com o serviço prestado pode ser questionado. Qualquer coleta só poderá ocorrer em situações específicas, sendo a principal delas mediante a obtenção de autorização do titular. Agora os usuários deverão ser perguntados se autorizam o tratamento dos dados pelo fornecedor do serviço ou produto. Será importante ler o motivo da coleta para identificar se os dados solicitados têm relação com a finalidade da atividade.
Assim, as empresas de passeios turísticos sejam elas embarcações ou vans, ou qualquer outro meio de transporte não importando seu porte, mesmo que micro empresa, ou até mesmo prestador de serviço que atue como pessoa física, ao coletar informações de seus passageiros, deverá ter comprovada capacidade de proteção desse conteúdo que passa a ter caráter sigiloso.
As empresas organizadoras de festas que vendem seus ingressos de forma online, deverão restringir os dados solicitados de forma a garantir a segurança do mesmo, o site deverá trazer em campo próprio dispositivo para o consumidor assinalar concordando com a coleta e tratamento desses dados.
Caso o serviço prestado seja feito de modo presencial sem a utilização de dispositivos eletrônicos, o prestador do serviço deverá apresentar ao consumidor contrato físico contendo as regras de utilização do serviço bem como declarar ter condições de dar a devida proteção aos dados coletados, não podendo divulgá-los sem previa autorização, sob pena de ser responsabilizado na forma da lei. (art. 8º, §4º)
A lei disciplina como tratamento toda operação realizada com dados pessoais, como as que se referem a “coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
A simples coleta do nome e número de telefone pode ser considerado como tratamento de dados.
Os atos de transferência da informação pessoal dos hóspedes entre OTA e serviços de hotelaria ou turístico, o armazenamento da ficha Nacional de Registro de Hospedes – FNRH (físico ou digital), o abastecimento de informações em sistemas de reservas, o abastecimento de dados em sistema de CRM, a criação de listas de e-mails para marketing digital e por fim, o fornecimento das informações a MTur constantes da obrigação prevista no art. 26 da Lei, são tratamento de informações pessoais, obrigando as empresas de turismo a obedecer os termos fixados pela LGPD.
A LGPD exige mais do que simples redação de bons termos de Uso e Política de Privacidade pelas empresas de turismos. Ela exige a criação de uma arquitetura de criação de informação, que deve ser criada a partir da realidade das operações necessárias e desejadas pela empresa, garantindo a segurança da informação e o cumprimento da LGPD a cada passo do tratamento e armazenamento da informação – o que pode gerar, inclusive, alterações físicas em websites, bancos de dados e sistemas de arquivamento das respectivas empresas.