Tendo em consideração que a hotelaria procede, por força de Lei, à recolha, tratamento, retenção e transmissão de dados pessoais, importa atender à forma, legalidade e procedimentos relativos a este processo. Num dos meus primeiros artigos alertei para a proximidade da entrada em vigor do Regulamento (EU) relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados. No entanto, existe alguma confusão relativa às obrigações e limitações impostas, não só pelo regulamento europeu que aí vem, mas sobretudo porque existe legislação nacional que está em vigor. Considerando ainda os casos de reprodução do Cartão do Cidadão, decidi dar o meu contributo para ajudar a melhor compreender o que está realmente em causa.

RECOLHA, RETENÇÃO, TRATAMENTO E TRANSMISSÃO DE DADOS PESSOAIS

Na legislação nacional, as atividades de recolha, retenção, tratamento e livre circulação de dados pessoais são enquadradas pela Lei n.º 67/98, de 26 de Outubro. Esta Lei transpõe a Diretiva n.º 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro de 1995, que por sua vez deu lugar ao já referido Regulamento (EU) 2016/679 e que será aplicável somente a partir de 25 de Maio de 2018. Por outro lado, importa saber que a Lei n.º 67/98 já cumpre muitos dos requisitos do Regulamento Europeu. No entanto, existem ainda algumas lacunas importantes que vai ser necessário preencher até Maio de 2018.

A HOTELARIA E OS DADOS PESSOAIS

É importante enquadrar - independentemente da forma - porque é que a Hotelaria procede à recolha de dados pessoais. Pode acontecer por diversas razões, a saber:

• Cumprimento do Decreto-lei n.º 256/86, de 27 de agosto – Livro de hóspedes (Artigo 22.º), dispensado no caso da utilização de meios informáticos para o respetivo registo;
• Cumprimento da Lei n.º 23/2007, de 4 de fevereiro – Comunicação do alojamento (Artigo 16.º);
• Cumprimento do Aviso n.º 10263/2015, de 8 de setembro – Taxa Municipal Turística (artigos 68.º e 70.º) e respetivas normas de execução.

De referir que estas são algumas das razões mais habituais, podendo existir outras, para a possível recolha de dados pessoais de forma obrigatória, existindo ainda a possibilidade de o realizar por razões comerciais ou de marketing, não diretamente enquadradas pela legislação. No entanto, quando se trata de um cartão de cidadão, acresce a necessidade de cumprir a Lei n.º 7/2007, de 5 de fevereiro, nomeadamente o seu artigo 5.º, alínea 2, que estipula que é interdita a reprodução deste documento em fotocópia ou qualquer outro meio sem consentimento do titular, salvo nos casos expressamente previstos na lei ou mediante decisão de autoridade judiciária.

Pergunta: se a legislação obriga, então porquê tanta confusão?

Mantendo o foco na legislação em vigor, esta estabelece que os dados pessoais devem ser:

• Recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essas finalidades;
• Tratados de forma lícita e com respeito pelo princípio da boa fé;
• Adequados, pertinentes e não excessivos relativamente às finalidades para que são recolhidos e posteriormente tratados.

Estabelece ainda que o tratamento de dados pessoais só pode ser efetuado se o seu titular tiver dado de forma inequívoca o seu consentimento ou se o tratamento for necessário para, entre outros, o cumprimento de obrigação legal a que o responsável pelo tratamento esteja sujeito. Relembro que a mesma legislação estabelece ainda que o titular dos dados tem direitos, nomeadamente à informação da finalidade do tratamento entre muitas outras.

Resposta: porque o titular dos dados tem de ser informado acerca dos objetivos da recolha antes de dar o seu consentimento para a recolha e tratamento de dados pessoais, e ainda porque se é para cumprir a lei, os dados pessoais recolhidos não podem ser utilizados para mais nada.

POR ONDE COMEÇAR?

Assim, excluída que está a forma da recolha – seja por formulário em papel, reconhecimento digital, formulário web ou qualquer outra – a pergunta típica relativamente à utilização de digitalizadores na receção deixa de fazer sentido, pois o importante é se informaram e obtiveram ou não consentimento do titular dos dados. Podemos facilmente concluir que esta é uma situação que se relaciona com o procedimento utilizado e não com o equipamento. Neste caso em particular, posso apenas recomendar a análise e afinação dos eventuais procedimentos de recolha de dados, de forma a:

• Claramente informar o titular dos dados da obrigação legal (com referências às respetivas normas legais) antes da recolha;
• Informar sobre os objetivos da recolha e tratamento, caso estejam a recolher dados para além das situações previstas por Lei;
• Não recolher dados para além dos necessários aos objetivos estabelecidos;
• Se possível, implementar processos de pré check-in, deixando que seja o hóspede a preencher os dados num formulário on-line (não se esqueça de que deve encriptar a transmissão destes dados), assim na receção só será necessário confirmar se está tudo bem;
• Na receção, posicionar os digitalizadores à vista dos titulares dos dados, assumindo uma postura transparente perante a sua utilização, evitando que sejam confundidos com fotocopiadoras;
• Indicar claramente que os documentos não estão a ser copiados ou digitalizados, mas sim a fazer o reconhecimento automatizado dos dados necessários à recolha;
• Alternativamente, disponibilizar um formulário em papel para preenchimento pelo hóspede caso este manifeste desconforto relativamente aos digitalizadores.

Em função do regulamento europeu acima referido e das alterações previstas pelo SIMPLEX, nomeadamente no que concerne à reprodução do Cartão do Cidadão, este assunto está na ordem do dia, sendo de esperar uma cada vez maior atenção dos titulares dos dados. A implementação de procedimentos adequados, reduzirá certamente situações potencialmente desconfortáveis e ao mesmo tempo transmite uma imagem de profissionalismo acrescido e de segurança ao seu hóspede.

O presente artigo apenas possui carácter informativo, não se tratando de um parecer jurídico, não vinculando o seu autor perante a informação prestada e, portanto, não dispensando uma avaliação pelos departamentos de conformidade ou jurídico das unidades hoteleiras – mas pelo menos ficam aqui as pistas necessárias para que na sua unidade hoteleira possa rapidamente ultrapassar este desafio.

‍