Opinião: RGPD – Regulamento Geral da Protecção de Dados, para que te quero? Parte I: Obrigações Legais, por João Pronto*

Neste artigo, João Pronto aborda o novo Regulamento da Protecção de Dados, que vai entrar em vigor em todos os países da União Europeia, já no próximo dia 25 de Maio.

Em 25 de Maio próximo, entrará em vigor este regulamento, em toda a União Europeia, em que Portugal estará obviamente incluído.

Este regulamento, para além de impor pesadíssimas coimas (20 milhões de euros ou 4% do volume de negócios) aos prevaricadores, tem como principal intuito proteger os sensíveis dados pessoais dos cidadãos europeus, neste nosso incontornável quotidiano, fortemente alicerçado pelas tecnologias de informação e comunicação.

Desde a mais tradicional Agência de Viagens, ao Turismo de Espaço Rural, Hotéis, passando pelos Restaurantes, Bares, Empresas de Animação e Eventos, Companhias de Transporte Terrestre, Marítimo ou Aéreo, todos terão que fundamentadamente, demonstrar à Comissão Nacional de Proteção de Dados (CNPD) que estão a cumprir esta lei da União Europeia, se, e quando forem investigados pelos fiscais da CNPD, ou sempre que os clientes (viajantes) o solicitem…

Esta lei tem o intuito de tentar fornecer aos cidadãos europeus a faculdade de poderem decidir se os seus dados pessoais podem ou não ser utilizados, e em que condições, pelos prestadores de serviços da União Europeia. Desta forma, alegadamente, a Comissão Europeia considera que os cidadãos europeus (nós), obterão mais e melhor confiança na utilização dos seus dados pessoais, aquando da aquisição de produtos e serviços, tanto em transações tradicionais (offline) como em transações no mundo online, ou ainda em transações mistas, como por exemplo quando num Hotel, se paga antecipadamente uma parte do valor total, através de um portal de pagamento online, independentemente do setor de prestação de produtos e serviços, desde que se armazenem e transacionem dados pessoais.

Continuando a recorrer ao adverbio de modo alegadamente, o setor turístico é claramente um setor que tem, ano após ano, de forma consecutiva e consolidada, aumentando não só o número de transações, mas também a margem de lucro das suas empresas. Todos os indicadores macro indiciam que o setor turístico continuará a crescer duas casas decimais, ano após ano, nas próximas décadas…

Neste nosso Portugal, como sabemos, estas premissas nem sempre foram/são sinónimo de gestão saudável nas empresas e instituições nacionais do nosso Trade

Mas não nos dispersemos… voltemos ao tema do artigo: RGPD…

Sendo uma obrigação imposta por uma lei europeia, as nossas empresas e instituições turísticas nacionais, bem como as empresas e instituições internacionais que operam em Portugal, têm obrigatoriamente que garantir que estão preocupadas e conscientemente a tratar com o devido rigor, dos agora sensíveis dados pessoais dos turistas nacionais e internacionais que recorrem aos produtos e serviços turísticos prestados e/ou transacionados em/para Portugal.

A partir de 25 de Maio, os clientes/turistas/viajantes das empresas/instituições turísticas terão o direito de exigir:

  1. A) Direito ao esquecimento – Ficar “esquecidos” nas diferentes bases de dados que suportam os distintos sistemas informáticos da empresa/instituição em questão. Obviamente que todos os dados legalmente obrigatórios terão que permanecer identificáveis, nos prazos legais, pelas autoridades, mas, numa próxima “visita” do cliente que solicitou previamente o “anonimato”, os sistemas informáticos do prestador de serviço “não o podem identificar”, caso contrário, o cliente poderá apresentar reclamação que será posteriormente validada (ou não) pela CNPD, com as devidas consequências…

 

  1. B) Ser informados acerca dos sistemas informáticos em que estão armazenados e são processados os seus sensíveis dados pessoais, pelo que os termos e condições vão ter que ser mais claros e precisos que nunca… nos websites, em locais visíveis nas empresas e instituições turísticas, nas receções dos Hotéis, nos balcões das Agências de Viagens,…

 

  1. C) Receber uma cópia dos seus sensíveis dados pessoais, por forma a que consiga fornecer os dados recebidos, a outra entidade que lhe prestará serviços semelhantes. A exportação dos dados inseridos no profile (ou cardex) do cliente terá que ser um requisito de todos os sistemas informáticos que permitem a introdução de dados de clientes.

No seguimento da massificação da linguagem XML (eXtensible Markup Language) no desenvolvimento de webservices para a Autoridade Tributária, Serviços de Estrangeiros e Fronteiras, ou, entre aplicações informáticas suportadas pelas tecnologias da Internet, como o caso dos Channel Manager e as diferentes OTA (Online Travel Agency) e os PMS (Property Management Systems) dos Hotéis, são exemplo, esta nova funcionalidade será mais uma interface de exportação de dados, neste caso para um dispositivo ou email do Cliente, que exportará os dados requisitados para as entidades que assim o entender.

Importa notar a outra face da moeda, i.e., o cliente vai poder entregar ao prestador de serviços, uma pen ou enviar por email, os seus sensíveis dados que pretende que sejam processados informaticamente, pelo novo prestador de serviço, assim sendo, o sistema informático do prestador de serviços deverá ser capaz de importar os dados do cliente, não só através das formas tradicionais, exemplo: teclado ou digitalizador de cartões de identificação pessoal, mas também a partir de um novo ficheiro de dados que irá ser importado pela aplicação informática do prestador de serviços.

  1. D) O direito de ter conhecimento (em 72 horas) que a entidade turística que lhe prestou serviços turísticos, foi atacada por um ou mais criminosos informáticos e que os seus sensíveis dados foram roubados para destino incerto; por forma a que o cliente possa tomar as devidas providencias… 72h em tempo informático deve corresponder a uns 72 dias do nosso quotidiano… mas enfim…

 

  1. E) Conhecimento do contacto do responsável pelos seus sensíveis dados pessoais, na empresa prestadora de serviço, estou a referir-me ao agora famoso DPO ou Data Protection Officer, por forma a que o cliente lhe possa endereçar as dúvidas e/ou solicitações que assim entender… todas as entidades prestadoras de serviços a clientes, terão que passar a ter este DPO a ser contactado por email tipo dpo@prestadorturistico.pt e/ou através de um ddi de um telefone 243000000 exclusivo para o efeito…

Em paralelo, as entidades turísticas nacionais terão que ter em conta o conceito de “protection by design”, i.e., sempre que decidirem informatizar uma nova área de negócio que necessite de ser “alimentada” pelos agora sensíveis dados pessoais dos clientes, terão que solicitar o consentimento dos mesmos, ou então anonimização/encriptação dos mesmos… um pesadelo para a operação e para os departamentos de marketing/comercial e sistemas de informação…

No próximo artigo irei abordar a “oportunidade única” que o RGPD veio proporcionar às instituições turísticas nacionais: o fim do famosíssimo “nacional porreirismo” ou escrito de outra forma: uma excelente oportunidade para que, de uma vez por todas, se atribua a devida importância à introdução/gestão de dados nos diferentes sistemas informáticos, e já agora, também nos sistemas tradicionais suportados pelo papel… promovendo-se ativamente uma política de reengenharia de processos de negócio, otimizando-se os processos na operação e na gestão diária das organizações turísticas. Era uma vez um (enorme) amontoado de papeis com fotocópias de … passaportes e cartões de crédito.

 

* João Pronto

Professor Adjunto da Escola Superior de Hotelaria e Turismo do Estoril