Grandes redes já devem ter processos definidos para a LGPD, mas e as menores?

O Facebook pagará uma multa de US$ 5 bilhões para encerrar a investigação sobre suas práticas de privacidade de dados. Veiculado hoje (24) na imprensa internacional, a notícia sobre o acordo com o governo americano deve servir de alerta para toda hotelaria. Isso porque, a partir de agosto de 2020, entra em vigor a LGPD (Lei Geral de Proteção de Dados). A nova norma demanda uma revisão completa sobre coleta, processamento, gestão e armazenamento de informações pessoais de clientes. Mais ainda, prevê penalidades pesadas para as organizações que a violarem.

Ainda assim, mais do que multas milionárias, casos como o do Facebook trazem outros prejuízos intangíveis. E, para especialistas, é aí que mora o perigo. “A multa reflete o que as organizações não fizeram para cumprir o que determina a lei. Agora, a penalidade financeira é muito menor do que o estrago à reputação da marca”, afirma Josmar Giovannini, especialista na área de proteção de dados e privacidade e CEO da Conformidados. “Por isso, a maneira como a empresa trata esses episódios, como gere essa crise, é fundamental para recuperar a imagem”, acrescenta.

Vale destacar que o turismo viveu recentemente, e inclui-se aí a hotelaria, casos de vazamento graves, também com multas elevadas. Marriott International e British Airways, assim como Amadeus, estão no rol de empresas que sofreram ataques cibernéticos recentes. Ainda assim, é importante deixar claro que as organizações também estão sujeitas a penalidades pelo mau uso das informações. A ocorrência envolvendo o Facebook é exemplar: a rede social fundada por Mark Zuckenberg é acusada (e aparentemente assumiu a culpa) de indevidamente compartilhar dados de usuários com a consultoria Cambridge Analytica.

Caso Facebook é exemplar: ocorrências não são apenas em ciberataques

Por isso, para evitar problemas, Giovannini alerta que investimentos em cibersegurança são essenciais, mas não são tudo. “É preciso rever políticas internas de proteção de dados e capacitar a equipe a partir do que determina a lei. Treinamentos regulares são essenciais”, afirma o especialista. “O mesmo vale para quando os casos ocorrerem. Estar preparado, com processos bem definidos, é fundamental para lidar com a crise", completa. No final da reportagem, veja boas práticas para adotar recomendadas por Giovannini. 

LGPD e a visão da hotelaria

Orlando de Souza, presidente executivo do FOHB (Fórum de Operadores Hoteleiros do Brasil), conta que a entidade está atenta à nova lei. Segundo ele, até em função de regras de compliance, muitas das grandes redes (principalmente internacionais) já têm processos em andamento e definidos para adaptação à legislação. “No entanto, as redes menores talvez não estejam tão sensibilizadas sobre a importância do assunto, que demanda investimentos também”, reconhece. Vale destacar que, e aqui vai uma opinião do jornalista, é bem provável que boa parte da hotelaria independente também não esteja preparada.

O diretor do FOHB revela que, há 15 dias, a entidade promoveu um evento para executivos de redes associadas em São Paulo. Realizado em parceria com a Acrefi (Associação Nacional das Instituições de Crédito, Financiamento e Investimento), o encontro reuniu cerca de 50 profissionais de hotelaria. “Enquanto associação, nosso papel é levantar a bola para o tema, que é efetivamente muito importante e bastante sensível para a hotelaria. Depois, cada rede parte para o seu trabalho interno”, diz Souza. 

“Reunimos executivos das áreas de Controladoria, Jurídica, TI e de Marketing, além de profissionais dos programas de fidelização. Há todo um processo para encarar e se adaptar à nova lei e é muito provável que as redes precisem contratar consultorias para se adequar a toda norma”, finaliza.

5 boas práticas para estar em conformidade com a LGPD 

(1) Não negar que todas as empresas estão expostas a episódios de violação de dados. Os casos podem ser originados tanto por ciberataques, quanto por vazamentos provocados pela imperícia da equipe.

(2) Fazer o gerenciamento em todas as fases do ciclo de vida dos dados. Esse processo começa na coleta, passa pelo processamento, transferência e armazenamento, bem como pela garantia do término do armazenamento (que não pode ser eterno) e pelo descarte certificado desses dados.

(3) É necessário limitar o acesso aos dados apenas aos atores necessários para a gestão deles nas empresas. Mais ainda, esse grupo limitado deve ser permanentemente treinado para estar ciente das responsabilidades e eventuais sanções. Uma boa dica é fazer contratos de confidencialidade para esses profissionais.

(4) Revisão e adequação de todos os contratos firmados com empresas terceiras com os quais são compartilhados dados pessoais. Se a parceria não cumprir as regras, sua organização também está em risco.

(5) Monitoramento constante dos dados e do seu ciclo de vida.

(*) Crédito da capa: Markus Spiske/Unsplash

(**) Crédito da foto: Con Karampelas/Unsplash