O novo Regulamento Geral da Proteção de Dados (RGPD) passa a ser de aplicação obrigatória a partir do dia 25 de maio e abrange todas as empresas e entidades que lidem com dados pessoais, nomeadamente a hotelaria.
Como parte de uma legislação europeia, o novo regulamento aprovado no Parlamento Europeu em abril de 2016, visa regular a proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação dos mesmos.
A menos de três meses de passar à obrigatoriedade, são muitas as questões que pairam no ar em relação ao regulamento que irá alterar as regras, em especial no que concerne ao armazenamento e portabilidade de dados pessoais. A pensar nisso, decorreu esta terça-feira, dia 6, no Valverde Hotel, em Lisboa, uma ação de esclarecimento para o setor da hotelaria sobre o novo RGPD, que contou com a presença de David Cardoso, advogado da Legalwest.
“Esta indústria [da hotelaria] é particularmente visada com esta regulação”
Para as empresas que não cumpram a nova legislação, existem dois níveis de sanções: coimas até 10 milhões de euros ou 2% da faturação global da empresa e, a mais grave, até 20 milhões de euros ou 4% do volume de negócios global. De acordo com David Cardoso, em Portugal a nova legislação irá, em teoria, transformar a atual Comissão Nacional de Proteção de Dados, numa “ASAE dos dados”, isto é, num organismo fiscalizador. Devido à falta de recursos humanos disponíveis, o advogado considera, no entanto, que no contexto nacional, a aplicação do RGPD será implementada “pelo exemplo e pelo susto”, uma vez que a comissão não dispõe dos meios necessários.
Em relação ao novo regulamento, David Cardoso realça que deixa de haver a chamada heterorregulação para passar a existir uma auto-regulação. Assim sendo, passa a ser obrigatório a cada organismo cumprir e poder comprovar a sua utilização do RGPD à entidade que fiscaliza.
Relativamente às novas regras e em concordância com o setor da hotelaria, o advogado destaca a necessidade dos hotéis registarem os dados pessoais dos hóspedes num formato estruturado e de leitura automática. Além disso, passa a ser obrigatório a obtenção do consentimento dos hóspedes no uso dos dados; reduzir ao mínimo os dados dos utilizadores e pelo menor tempo possível; e, dar acesso total, à retificação, ao esquecimento e à portabilidade dos mesmos. Com o novo regulamento, o utilizador pode também limitar ou até mesmo opor-se ao tratamento dos dados, apresentar reclamação e/ou recorrer a uma ação judicial.
“A verdade é que existem todos os dias milhares de pessoas que fornecem informações pessoais nos hotéis, por isso esta indústria é particularmente visada por este problema”, sublinha David Cardoso.
O novo regulamento introduz ainda a figura do Encarregado de Proteção de Dados (DPO). Neste sentido, algumas organizações serão obrigadas a nomear um DPO que deverá ter como função principal zelar pelo cumprimento da nova legislação.
Por outro lado, o regulamento fala também sobre a DPIA (Data Privacy Impact Assessment – Avaliação de Impacto da Privacidade de Dados) – processo destinado a descrever o processamento de dados privados, avaliar a necessidade e a proporcionalidade de um processamento dos dados e ajudar a gerir os riscos aos direitos e liberdades das pessoas resultantes do processamento de dados pessoais.
Tal como as boas práticas ambientais, que tanto têm pautado o setor empresarial nos últimos anos, David Cardoso acredita que “no futuro, a proteção dos dados por parte das empresas, será também uma bandeira comercial, como tem sido a ecologia até agora”.
“Os dados são o novo petróleo e isto acontece porque este regulamento interessa do ponto de vista do negócio”, acrescenta o responsável.