Vive-se momento de intensa informação e transformação. Nunca houve tanta troca ágil de dados – em certos aspectos obrigatórios por lei e desejados por questões de saúde-, mas com potencial de serem em determinados aspectos disruptivos e invasivos. É o momento de especial atenção a dados que venham a ser indevidamente divulgados.

Em meio a cancelamento de contratos de transporte interestaduais e internacionais e a consequente redução de viagens e hospedagens, seja por imposições estatais ou pelo reconhecido direito consumerista em meio à pandemia relacionada ao Corona vírus, o setor de turismo – que tem enorme regulação em termos de informações mandatoriamente divulgadas aos governos e internacionalmente – exige uma especial atenção.

Em 3 de maio de 2021, passa a viger toda a Lei Geral de Proteção de Dados no 13.709/2018 (“LGPD”)(1). A LGPD se aplica ao “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado” compreendendo dados colhidos no Brasil, os com vistas a oferecer bens e serviços brasileiros, os processados no território nacional ou que se refiram a pessoas físicas localizadas no Brasil. 

Visando evitar processamento e utilização indevidos de dados individuais, a LGPD estabelece uma série de requerimentos a serem observados, cujo descumprimento pode gerar multas de até dois por cento da receita fiscal anual do grupo econômico com limite de R$ 50 milhões.  

Tais medidas incluem uma fase de apuração dos dados existentes e sua utilização, a avaliação dos riscos envolvidos e elaboração de um plano de proteção de dados. Em um segundo momento, é exigida a implementação de proteção tecnológica e de privacidade (incluindo criptografia, anonimização, aplicativos personalizados e sistemas de proteções compatíveis), definição de responsabilidades, treinamentos de pessoal e planos de emergência para os casos de vazamento e exposição indevida de informações.

Em regra, o tratamento de dados(2) exige expressa autorização do titular devendo ser obtido consentimento formal e por escrito para fins específicos. Não obstante, há determinadas exceções legais em que se permite o tratamento/divulgação mesmo sem expressa previa anuência estabelecidas no Art. 7º da LGPD, dentre as quais chamamos a atenção para:

1. o cumprimento de obrigação legal ou regulatória;
2. o tratamento e uso compartilhado, pela administração pública, de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres; 
3. quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular dos dados, a pedido deste; e
4. quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular.

No setor de turismo, há determinadas obrigatoriedades de divulgação de dados, que estariam inseridas na exceção listada no item 1, acima. Por exemplo, a necessidade de prestação de informações ao CADASTUR pelo Sistema Nacional de Registro de Hóspedes e à ANAC no tocante ao embarque de passageiros.

Ocorre que o turismo também exige a troca de informações entre diversos players privados, como agências de turismo, hotéis e pousadas, agências de locação de automóveis e transportadoras de passageiros, sendo recomendável a assinatura de termos de confidencialidade dentre os mecanismos de proteção e uma análise das regulações internacionais que possam ser aplicáveis.

Notem que a LGPD vem a estabelecer proteções adicionais às já existentes, como Resolução 458 de 2017 – que regulamenta o uso e registro de guarda e informações por regulados da Agência Nacional de Aviação Civil – devendo ser feita uma análise específica caso a caso para estabelecimento de manuais e políticas de proteção de dados. 

Por fim, devemos observar que a prorrogação dos prazos foi interessante tendo em vista que a ANPD (Autoridade Nacional de Proteção de Dados), nova agência reguladora da LGPD, ainda está sendo formalmente instituída.  Assim, a interpretação da lei e fiscalização do setor ainda está por vir. 

Portanto, recomenda-se a adoção de postura mais conservadora, incluindo uma análise jurídica multinacional e revisão de casos internacionais, de forma a verificar parâmetros a serem adotados no Brasil, obtendo-se o consentimento prévio e por escrito do titular para o tratamento de dados, sempre que possível. 

1 A Medida Provisória nº 959 de 29/04/2020  prorrogou vacatio legis da LGPD de agosto de 2020 para maio de 2021 em vistas da pandemia relacionada ao Corona vírus. Tal prorrogação era antecipada considerando que até o momento não houve o efetivo estabelecimento da ANPD (Autoridade Nacional de Proteção de Dados), bem como que a pandemia veio a atrasar a implementação das adaptações relacionadas requeridas às pessoas jurídicas para o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.  

2 Definido pela LGPD como “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.

3 Recomenda-se também, que qualquer divulgação seja precedida de um termo de confidencialidade, firmado pelo recipiente dos dados, de forma a garantir a confidencialidade exigida por lei.

—-

Ana Beatriz Barbosa Ponte é sócia do Perez & Barros, Masters of Laws pela New York University, Membro da Comissão de Hotelaria e Multipropriedade do IBRADIM e da Comissão de Direito Urbanístico e Imobiliário da OAB/RJ.

(*) Crédito da foto: divulgação/Ana Beatriz Barbosa