GDPR: a hotelaria está preparada?

Maio de 2018 está a poucos meses de distância. Data em que a forma de fazer negócio, na Europa, vai mudar. Porque é nessa data que o novo Regulamento Europeu de Protecção de Dados Pessoais entra em vigor. A questão é se as empresas estão preparadas para isso. Principalmente o sector da hotelaria que, segundo dados do Relatório Data Breach Investigations 2016 da Verizon, o sector está no topo das indústrias em termos de vulnerabilidade e o que regista o maior número de cartões perdidos após um incidente. Não é por acaso que os dados recolhidos pela hotelaria são “ouro” para os criminosos. Uma ficha de cliente não só armazena dados financeiros, mas também de identificação e inclusive informações pessoais.

Segundo o estudo, a causa da vulnerabilidade da industria prende-se com os processos, nomeadamente o armazenamento a longo prazo dos dados pessoais dos clientes. A acrescentar outras fontes de informação, como sistemas de reservas de terceiros, sistemas de pontos de venda, concessões, o próprio site, e-mails, faxes, telefones…. Há ainda o problema adicional de, normalmente, os hotéis armazenarem os dados referentes ao pagamento em vários locais. O que aumenta, e muito, o risco.

Basta pensarmos um pouco no processo habitual dos hotéis. Uma análise breve permite perceber que esta é, provavelmente, a indústria que recolhe mais dados pessoais dos seis clientes. E, por isso mesmo, a mais vulnerável. não só a quebras de segurança, mas também a possíveis penalizações pelo não cumprimento do GDPR. A pensar nesta situação a AHP – Associação da Hotelaria de Portugal – realizou recentemente um debate com o intuito de alertar para esta situação e esclarecer dúvidas. O que se percebeu é que 1) o processo em Portugal está atrasado e 2) há ainda grande confusão/desconhecimento por parte dos trabalhadores do sector.

A hotelaria tem de perceber que tudo vai mudar. E que passa a ter total responsabilidade pelos dados pessoais dos clientes e trabalhadores com os quais lida. Seja o hotel a fonte original dos mesmos ou não. Porque essa é uma das novidades do novo Regulamento. Agora todas as entidades são responsáveis.

A partir de Maio os hotéis terão de definir e explicar que tipo de dados requerem aos seus clientes e para que serão usados. E apenas para esse fim. Já não será possível algo tão usual nos dias de hoje como o departamento de marketing usar as bases de dados do departamento comercial com o intuito de lançar campanhas de promoção e divulgação, por exemplo. E isso tanto se aplica aos dados recolhidos digitalmente como no formato papel.

Imagine algo aparentemente tão simples como o pedido do pequeno almoço no quarto. Antes era possível armazenar as preferências do cliente para tentar prestar um melhor serviço numa estadia a posteriori. Agora já não. A não ser que no formulário esteja colocada essa possibilidade e que cliente autorize. Basicamente os hotéis terão de pensar em todas as interacções possíveis e imaginárias e estar preparados para 1) obter autorização de recolha e tratamento dos dados e 2) disponibilizar informação a explicar isso mesmo.

No caso específico da hotelaria o GDPR obriga a que:

  • A unidade tenha um procedimento interno. O hotel deve fornecer informações detalhadas sobre porque precisa de processar os dados pessoais (e quais) e por quanto tempo. Este procedimento envolve políticas de retenção organizadas, que permitem que o hotel esteja sempre a par do estado dessa mesma informação.
  • O hotel tem de manter os seus registos técnicos e organizacionais para provar que cumpre o GDPR e, com isso, protege os dados. Também tem de mostrar ao regulador (ou autoridade de supervisão) que tem os mecanismos necessários ao cumprimento do Regulamento.
  • Os hotéis têm de adicionar uma opção ao website que permita armazenar dados PII. Mais do que isso. Têm de explicar o processo, permitindo que os hospedes/clientes acedam, modifiquem e eliminem dados pessoais.

Quando se pensa no cumprimento do GDPR há-que ter em conta 3 ideias fundamentais:

 

1 – O controlo dos dados passa os cidadãos (clientes e trabalhadores)

2 – Aumento do conceito de dados pessoais (tudo o que seja passível de identificar um indivíduo)

3 – Importância das redes sociais
No caso concreto da indústria hoteleira, sempre que o hotel lançar um produto/serviço/campanha terá de fazer uma avaliação do risco e solicitar uma nova autorização de utilização de dados pessoais. A única alternativa será a de, aquando da primeira autorização, pedir especificamente autorização de utilização em futuros anúncios. O que só funcionará se a unidade tiver uma cultura de privacidade muito bem implementada.

E convém não esquecer outras “novidades”. O direito ao esquecimento, por exemplo. Se um cliente pede para ser esquecido o hotel terá obrigatoriamente de apagar os seus dados pessoais, independentemente do formato. Com excepção dos dados referentes a obrigações legais, por exemplo a partilha de dados com o Serviço de Estrangeiros e Fronteiras (SEF).

E depois há a portabilidade dos dados. Os hotéis têm de estar preparados para fornecer uma cópia dos dados pessoais, em formato editável, caso um cliente assim o solicite. Ou a permitir a portabilidade dos mesmos para outras plataformas.

Falta um ano para o GDPR entrar em vigor. No entanto ainda há muitas dúvidas, nomeadamente entre o sector da hotelaria. O que é algo preocupante, tendo em conta a quantidade de dados pessoais que o sector processa. Será que 12 meses serão suficientes para mudar processos operacionais e culturas organizacionais?

**Para saber mais sobre as implicações do GDPR, pode consultar gratuitamente este documento. ou visitar este hub onde pode encontrar muita documentação sobre o Novo Regulamento para a Protecção de Dados.

Deixar uma resposta