COMO O PASSPORTSCAN PODE AJUDÁ-LO EM 5 PASSOS
O GDPR devolve o poder aos consumidores, obrigando as empresas a serem transparentes sobre como estão coletando, armazenando e compartilhando as informações pessoais de seus clientes. Embora o GDPR se aplique a qualquer organização ou empresa que colete dados de cidadãos da UE, a natureza dos hotéis e as várias fontes de dados, como reservas OTA (Online Travel Agency) e sistemas de gestão de propriedades (PMS), aumentam a regulamentação para as indústrias de viagens e hospitalidade.
O PassportScan está em conformidade com o GDPR para garantir as configurações de privacidade, adequadamente integradas, permitindo que nossos clientes/parceiros se adaptem em cada etapa do ciclo de vida dos dados pessoais do cliente.
Todas as regras que os hotéis devem seguir também se aplicam ao software que eles utilizam. Se um hotel utiliza um produto para processar seus dados, esse produto deve aderir a todas as mesmas obrigações que o hoteleiro tem. Todo fornecedor que recebe dados pessoais de um hotel deve compartilhar um Acordo de Processamento de Dados (DPA, na sigla em inglês) com o hoteleiro para confirmar que o fornecedor está em conformidade com as regras do GDPR. O DPA deve ditar os propósitos para os quais o processador está processando os dados.
COMO O PASSPORTSCAN PODE AJUDAR?
1. Exclusão de Dados Periódicos: Para garantir que os dados pessoais não sejam mantidos por mais tempo do que o necessário, limites de tempo devem ser estabelecidos pelo controlador para exclusão ou para uma revisão periódica.
O PassportScan pode ser facilmente configurado pelo controlador/processador para excluir automaticamente os dados capturados em um determinado intervalo de tempo. Para garantir que os dados pessoais não sejam mantidos por mais tempo do que o necessário, limites de tempo devem ser estabelecidos pelo controlador para exclusão ou para uma revisão periódica.
Após 24 horas, a imagem do documento de identidade e outros dados sensíveis podem ser escurecidos no PassportScan. Qualquer solicitação explícita para apagar completamente os dados do hóspede resultará na exclusão total dos dados/imagens do cliente no PassportScan.
2. Consentimentos: O controlador, logado como ADMIN no PassportScan, pode adicionar qualquer tipo de texto que o hóspede possa aceitar/recusar, marcando uma caixa na tablet e assinando. Normalmente, um texto é obrigatório (exigido pela legislação/instituições locais), os demais podem incluir qualquer tipo de política não especificamente relacionada à privacidade (ex.: indenização para pagamento com cartão de crédito, aluguel de bicicletas, proibição de fumar, etc.).
Todos os textos podem ser totalmente personalizados de acordo com os requisitos específicos do hotel sobre privacidade. Os textos podem ser carregados em dois idiomas (normalmente o idioma do país como idioma principal e inglês como segundo idioma).
O consentimento deve ser dado por meio de um ato afirmativo claro, estabelecendo uma indicação livre, específica, informada e inequívoca do acordo do titular dos dados para o processamento de dados pessoais relacionados a ele ou ela, tal como por uma declaração por escrito, inclusive por meios eletrônicos ou uma declaração oral.
Isso poderia incluir marcar uma caixa ao visitar um site na internet, escolher configurações técnicas para serviços da sociedade da informação ou outra declaração ou conduta que claramente indique, neste contexto, a aceitação pelo titular dos dados do processamento proposto de seus dados pessoais. O silêncio, caixas pré-marcadas ou inatividade não devem, portanto, constituir consentimento. O consentimento deve abranger todas as atividades de processamento realizadas para o mesmo propósito ou propósitos. Quando o processamento tem múltiplos propósitos, o consentimento deve ser dado para todos eles. Se o consentimento do titular dos dados for dado após uma solicitação por meios eletrônicos, a solicitação deve ser clara, concisa e não desnecessariamente disruptiva para o uso do serviço para o qual é fornecida.
3. Proteção de Dados Pessoais Sensíveis: Para manter a segurança e prevenir o processamento em violação deste Regulamento, o controlador ou processador deve avaliar os riscos inerentes ao processamento e implementar medidas para mitigar esses riscos, como a criptografia. Essas medidas devem garantir um nível adequado de segurança, incluindo confidencialidade, levando em consideração o estado da arte e os custos de implementação em relação aos riscos e à natureza dos dados pessoais a serem protegidos. Na avaliação do risco de segurança dos dados, deve-se considerar os riscos apresentados pelo processamento de dados pessoais, como destruição, perda, alteração ou divulgação não autorizada de dados pessoais transmitidos, armazenados ou processados de outra forma, o que pode levar especialmente a danos físicos, materiais ou não materiais.
O PassportScan garante um alto nível de segurança, protegendo todos os dados capturados por meio de criptografia avançada (Blowfish+).
4. Direito ao Esquecimento: Deve-se fornecer modalidades para facilitar o exercício dos direitos do titular dos dados nos termos deste Regulamento, incluindo mecanismos para solicitar e, se aplicável, obter, gratuitamente, em particular, acesso e retificação ou exclusão de dados pessoais e o exercício do direito de oposição. O controlador também deve fornecer meios para que as solicitações sejam feitas eletronicamente, especialmente quando os dados pessoais são processados por meios eletrônicos. O controlador deve ser obrigado a responder às solicitações do titular dos dados sem demora indevida e, o mais tardar, dentro de um mês, e fornecer razões quando o controlador não pretende cumprir tais solicitações.
Usando o PassportScan, ao assinar no tablet, o hóspede pode optar por negar/não assinar a política que solicita o processamento/manutenção de seus dados pessoais. Uma recusa dessa política resultará na exclusão total de seus dados.
Em relação à política “direito ao esquecimento”, esta será mostrada em primeiro lugar, conforme o GDPR, para a aprovação/recusa do hóspede.
5. Alocação das Responsabilidades: A proteção dos direitos e liberdades dos titulares dos dados, bem como a responsabilidade e a responsabilidade dos controladores e processadores, também em relação ao monitoramento e medidas das autoridades de supervisão, requer uma clara alocação das responsabilidades nos termos deste Regulamento, incluindo quando um controlador determina os propósitos e meios do processamento em conjunto com outros controladores ou quando uma operação de processamento é realizada em nome de um controlador.
O PassportScan oferece diferentes níveis de acesso com base nas responsabilidades em determinado estabelecimento/organização. Os acessos utilizados são como usuário, superusuário e administrador (estes poderiam ser, em um hotel, respectivamente para um recepcionista, um gerente de turno e um gerente geral/gerente de TI).
Essa operação restringe, dessa forma, o acesso a dados sensíveis para usuários normais e evita uma ameaça de segurança que muitas vezes é negligenciada.
Além disso, todas as senhas usadas pelos diferentes usuários, de acordo com o GDPR, foram reforçadas no PassportScan (agora é obrigatório criar uma senha usando letras minúsculas e maiúsculas, números e caracteres especiais).
Uma ação, modificação ou processo específico, feito por um determinado usuário, pode ser facilmente rastreado com o registro de histórico de auditoria, outro serviço que o PassportScan implementou para estar em conformidade com o GDPR.
