Na esteira dos problemas do COVID, como a conformidade com o GDPR, caíram na cintura. Embora não seja um tópico tão popular - ainda é importante que todos os hoteleiros entendam os conceitos básicos em torno da Lei de Privacidade da UE.
O seu hotel está em conformidade com o Regulamento Geral de Proteção de Dados, mais conhecido como GDPR? Talvez você tenha passado por uma grande implementação para deixar seu hotel em conformidade. Ou talvez você tenha recusado o custo de tal projeto e adotado a abordagem “dedos cruzados” de que sua marca menor não será alvo de auditorias de conformidade.
Onde quer que você chegue nesse espectro, o risco de não conformidade com o GDPR para o seu hotel é relativamente alto. Houve 281.000 casos apresentados aos reguladores no primeiro ano do GDPR, com as empresas arriscando uma multa máxima de 20 milhões de euros ou 4% da receita anual, o que for maior. E em julho de 2019, os riscos de não conformidade para os hotéis foram ressaltados por uma multa recorde de US$ 125 milhõescobrado da Marriott por uma grande violação de dados de acordo com o regulamento. O dano PR sozinho é provavelmente mais caro do que a multa!
Para um setor que agrupa e compartilha dados entre sites, gerenciadores de canais e mecanismos de reservas de terceiros, o GDPR tem sido uma dor enorme. Também tem sido incrivelmente caro, com a Forbes estimando o custo global de conformidade em mais de 9 bilhões de dólares. E isso é apenas para as maiores empresas! As pequenas e médias empresas estão investindo uma enorme quantidade de tempo e dinheiro em conformidade.
Apesar desse investimento, o regulamento simplesmente não funcionou como planejado. É uma iniciativa bem-intencionada que foi executada horrivelmente. Nesta rápida cartilha “GDPR para leigos”, vamos explorar como começou forte e onde deu errado, e fornecer uma lista de verificação completa do GDPR para hotéis para que você possa cumprir sem gastar muito.
O que é a Lei de Proteção de Dados (GDPR)?
GDPR, que significa o Regulamento Geral de Proteção de Dados , entrou em vigor na UE em 25 de maio de 2018. A aprovação da lei foi marcada por um forte conflito, entre aqueles que acreditam no papel do governo na proteção da privacidade dos consumidores por meio da regulamentação e aqueles que acreditam que um livre mercado deve prevalecer.
O GDPR fornece “a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação de tais dados”. Como uma grande reformulação de como as empresas devem processar, manipular e armazenar dados, o GDPR também deu aos indivíduos um controle mais granular sobre seus dados.
De acordo com o GDPR, dados referem-se a dados pessoais, como nomes, endereços IP ou qualquer coisa que possa ser usada para identificar uma pessoa, e dados pessoais confidenciais, como material genético, opiniões políticas, orientação sexual e afins.
Qualquer organização que atue como controladora ou processadora de dados pessoais é coberta pelo GDPR. Um controlador de dados é a entidade que determina como os dados são usados para que o processo ocorra, enquanto o processador de dados é qualquer entidade que não seja um funcionário do controlador de dados que processe dados em nome do controlador.
Para os hotéis, essa distinção é importante, pois eles podem atuar como “controladores” dos dados (ou seja, reservas diretas), enquanto seus fornecedores são vistos como “processadores” dos dados (ou seja, reservas feitas em plataformas de terceiros). A menos que seja regido de outra forma por um contrato, o Controlador de Dados é responsável por qualquer conformidade com o GDPR.
Enfrentando uma multa potencial de até 25 milhões de euros ou 4% da receita, os hotéis devem colocar o hóspede no centro de todas as estratégias de proteção de dados. Abordaremos isso mais tarde em nossa lista de verificação do GDPR do hotel.
Lista de verificação do GDPR do hotel
Para colocar seu hotel em conformidade, bem como manter essa conformidade ao longo do tempo, é necessária uma abordagem cuidadosa e holística. Você precisará pensar cuidadosamente em como os dados são compartilhados entre sistemas internos, bem como como esses dados fluem de sistemas de terceiros que não estão diretamente sob seu controle.
Como o GDPR coloca a responsabilidade no seu hotel como controlador de dados, é fundamental que você entenda como os dados fluem em cada momento. Aqui está uma lista de verificação da RDA para hotéis:
Auditoria. Faça uma análise para revisar processos internos, contratos com fornecedores, bancos de dados existentes e como os dados fluem entre os sistemas. Você precisa entender quais informações você possui e quem tem acesso a elas. Essa clareza deve informar tudo o que você fizer deste ponto em diante.
Comunicar. Peça aos fornecedores existentes suas políticas de conformidade de dados. Devemos ter uma visão clara de como os dados do seu hotel interagem com seus sistemas e identificar quaisquer vulnerabilidades ou fornecedores mal informados. Depois de falar com seus fornecedores existentes, talvez seja hora de avaliar outras opções. Ao trabalhar com um fornecedor compatível com GDPR, comoCom o GMS (CRM) da TravelClick, o iHotelier Booking Engine ou um construtor de sites de hotéis , você elimina o estresse de conformidade sem levantar um dedo. A conformidade é incorporada ao produto para que você tenha mais tranquilidade.
Plano. Depois de ter sua auditoria e pilha de tecnologia atualizada, a próxima etapa é criar um plano de governança. Você deseja uma estrutura para gerenciar dados, incluindo políticas e processos para eliminar possíveis lacunas na forma como seu hotel lida com os dados dos hóspedes. Você precisará de funções e responsabilidades claramente definidas para a equipe, como atribuir responsabilidade para lidar com solicitações de dados de entrada de consumidores. Você também desejará criar um plano de ação de violação de dados passo a passo para ser implementado no caso de um incidente, hack ou violação relacionados a dados.
Executar. Agora é hora de trabalhar o plano! Coisas que você quer ter certeza de incluir:
Consentimento explícito: peça aos visitantes do seu site que aceitem cookies, em vez de instalar cookies automaticamente e desativá-los. Você também precisará rastrear quando e onde cada pessoa consentiu (ou revogou esse consentimento).
Política de privacidade: atualize sua política de privacidade para incluir informações relevantes de conformidade com o GDPR, como como você usa dados e como os usuários podem optar por não participar.
Recepção: certifique-se de que suas políticas de coleta de dados na recepção estejam em conformidade, pois tudo o que você coleta offline também deve estar em conformidade com o GDPR.
Dados existentes. O GDPR se aplica a todos os dados pessoais, independentemente de quando foram capturados. Como os dados também estão sujeitos a novas regras e regulamentações, você também quer ter certeza de que estão em conformidade!
Trem. A conformidade é tão boa quanto o seu elo mais fraco. Ao treinar a equipe para aderir a essas políticas, você ficará menos vulnerável a problemas relacionados ao GDPR. Eduque sua equipe sobre o que pode levar a uma violação de dados e como eles podem ajudar a evitá-la, incluindo o monitoramento de sinais de alerta. executar um processo claro para a equipe relatar quaisquer erros ou outros problemas relacionados a reclamações à gerência. Deve haver um ambiente sem medo que priorize a transparência sobre a punição.
Manter. A manutenção é muito menos onerosa do que a conformidade. Reveja cada aspecto do seu programa de proteção de dados regularmente para verificar quaisquer alterações inesperadas ou novos problemas de conformidade.
A Lei de Proteção de Dados é uma iniciativa bem intencionada...
As intenções por trás da Lei de Proteção de Dados eram boas: tratava-se de criar mais controles para os consumidores na atual era digital orientada por dados. Na maioria dos países e regiões, as leis de privacidade existentes foram promulgadas antes que a internet assumisse o controle. O regulamento destinava-se a pegar os regulamentos até o comércio.
Para atingir esse objetivo de maior controle na era digital atual, o regulamento consagrou sete direitos individuais com base nos princípios fundamentais de proteção de dados:
O direito de ser informado. As empresas devem especificar quais dados estão sendo coletados, por que foram coletados, para que serão usados e por quanto tempo serão armazenados. As empresas também devem ter motivos claros para armazenar dados por esse período de tempo.
O direito de acesso. Os particulares podem aceder aos dados pessoais mediante pedido, num formato de fácil leitura.
O direito à retificação. Os indivíduos podem revisar, modificar e corrigir os dados que as empresas têm sobre eles.
O direito de ser esquecido. Os indivíduos podem solicitar a exclusão de informações sobre eles e as empresas devem equilibrar o interesse individual com o bem público ao conceder os pedidos de exclusão.
O direito de restringir o processamento. Os indivíduos têm o direito de restringir o processamento de seus dados pessoais quando tiverem um motivo específico para desejar a restrição.
O direito à portabilidade de dados. Os indivíduos têm o direito de transferir seus dados pessoais mediante solicitação.
O direito de oposição. As empresas devem obter o consentimento dos indivíduos explicitamente e oferecer a opção de retirar esse consentimento, enquanto rastreiam esse consentimento em um local centralizado. Os indivíduos também têm o direito de protestar contra decisões tomadas por algoritmos automatizados.
Mesmo com benefícios tão fortes para o controle individual sobre seus dados e como são usados, a iniciativa também teve algumas consequências não intencionais.
...Com muitas consequências não intencionais
Houve algumas consequências não intencionais significativas da RDA; ou seja, como as realidades do compliance se infiltraram na economia de fazer negócios na Europa e fortaleceram ainda mais o poder da Big Tech:
A Big Tech é a maior beneficiária.
As marcas com os rastreadores de dados mais utilizados ganharam participação de mercado devido ao GDPR. À medida que as empresas menores se adaptavam à nova lei, elas perdiam para aquelas com mais recursos. Um estudo da Ghostery mostrou uma queda de 20% no alcance do site para os 50 principais fornecedores de tecnologia de anúncios, não o Google ou o Facebook. O GDPR parece ter colocado mais poder nas mãos dos já dominantes.
A complexidade gera confusão - e um ganho inesperado para os advogados.
A própria lei é muito complicada para indivíduos e empresas. Com muitas empresas gastando pelo menos 40% de seus orçamentos de compliance em consultoria jurídica, os advogados são realmente os únicos com uma vitória geral.
Redução da competitividade europeia – e menos empregos.
A lei da complexidade teve um tremendo impacto nas startups da região, com um estudo descobrindo “uma redução de US$ 3,38 milhões nos dólares agregados arrecadados por empreendimentos da UE por estado por categoria da indústria de petróleo por semana, uma redução de 17,6% no número de negócios semanais de empreendimentos , e uma redução de 39,6% no valor arrecadado em um negócio médio após o lançamento do GDPR.” A perda desse investimento resultou em algo entre 3.604 e 29.819 empregos na Europa.
Novos riscos de fusão.
Conforme evidenciado pela multa recorde da Marriott relacionada às práticas da Starwood, os hotéis que adquirem outros hotéis assumem quaisquer riscos relacionados à RDA. Como tal, os negócios estão desmoronando, com 55% de uma pesquisa da Merrill Corpdizendo que trabalharam em acordos que desmoronaram devido a preocupações sobre as políticas de proteção de dados de uma empresa-alvo e a conformidade com o GDPR.
Custo de conformidade para hotéis.
O setor de hospitalidade é especialmente afetado pelo GDPR, pois os hotéis nos locais mais distantes devem considerar a conformidade. O custo de manter aconselhamento e implementar sistemas é alto. A conformidade com o GDPR requer colaboração entre fornecedores e funcionários em TI, segurança cibernética, análise forense digital e design de sistemas. Com tanto a ser feito, as maiores marcas têm uma grande vantagem, pois podem usar suas economias de escala para reduzir o custo geral de implementação.
Apesar dessas consequências não intencionais, o GDPR ainda é um grande problema para os hotéis. Ao equilibrar os requisitos de conformidade com uma abordagem estratégica, hotéis de todos os tamanhos podem criar uma estrutura acessível e eficaz.
Ao analisar o GDPR, lembre-se de que os hotéis são responsáveis por como os fornecedores coletam e interagem com os dados. Cada ponto de contato deve estar em conformidade ou você corre o risco de ser multado. Portanto, você deve verificar se seus fornecedores estão informados e proativos sobre o GDPR para hotéis. Caso contrário, não importa quanta preparação você faça, você deixará seu hotel aberto a vulnerabilidades - e as consequências financeiras e de relações públicas de estar fora de conformidade e ocorrer algo como uma violação de dados.
O que é a Lei de Proteção de Dados (GDPR)?
GDPR, que significa Regulamento Geral de Proteção de Dados , entrou em vigor na UE em 25 de maio de 2018. A aprovação da lei foi marcada por um grande conflito entre aqueles que acreditam no papel do governo na proteção da privacidade dos consumidores por meio da regulamentação e aqueles que acreditam que o livre mercado deve prevalecer.
O GDPR fornece ?a proteção de pessoas físicas no que diz respeito ao processamento de dados pessoais e à livre circulação de tais dados?. Como uma grande revisão de como se espera que as empresas processem, manipulem e armazenem dados, o GDPR também deu aos indivíduos um controle mais granular sobre seus dados.
De acordo com o GDPR, dados referem-se a dados pessoais, como nomes, endereços IP ou qualquer coisa que possa ser usada para identificar uma pessoa, e dados pessoais confidenciais, como material genético, opiniões políticas, orientação sexual e afins.
Qualquer organização que atue como controladora ou processadora de dados pessoais é coberta pelo GDPR. Um controlador de dados é a entidade que determina como os dados são usados para o processo, enquanto o processador de dados é qualquer entidade que não seja um funcionário do controlador de dados que processa dados em nome do controlador.
Para os hotéis, esta distinção é importante, pois eles podem atuar como o ?controlador? dos dados (ou seja, reservas diretas), enquanto seus fornecedores são vistos como ?processadores? dos dados (ou seja, reservas feitas em plataformas de terceiros). A menos que regido de outra forma por um contrato, o Controlador de Dados é responsável por qualquer conformidade com o GDPR.
Enfrentando uma multa potencial de até 25 milhões de euros ou 4% da receita, os hotéis devem colocar o hóspede no centro de todas as estratégias de proteção de dados. Abordaremos isso mais tarde em nossa lista de verificação GDPR do hotel.
Lista de verificação do RGPD para hotéis
Para colocar seu hotel em conformidade, bem como manter essa conformidade ao longo do tempo, é necessária uma abordagem cuidadosa e holística. Você precisará pensar cuidadosamente em como os dados são compartilhados nos sistemas internos, bem como em como esses dados fluem de sistemas de terceiros que não estão diretamente sob seu controle.
Como o GDPR coloca a responsabilidade em seu hotel como controlador de dados, é fundamental que você entenda como os dados fluem em cada momento. Aqui está uma lista de verificação da RDA para hotéis:
Auditoria. Realize uma análise para revisar processos internos, contratos com fornecedores, bancos de dados existentes e como os dados fluem entre os sistemas. Você precisa entender quais informações você possui e quem tem acesso a elas. Essa clareza deve informar tudo o que você fizer a partir deste ponto.
Comunicar. Pergunte aos fornecedores existentes quais são suas políticas de conformidade de dados. Devemos ter uma visão clara de como os dados do seu hotel interagem com seus sistemas e identificar quaisquer vulnerabilidades ou fornecedores mal informados. Depois de falar com seus fornecedores existentes, pode ser hora de avaliar outras opções. Ao trabalhar com um fornecedor compatível com GDPR, como o GMS (CRM) da TravelClick , o iHotelier Booking Engine ou um criador de sites de hotel , você elimina o estresse de conformidade sem levantar um dedo. A conformidade é incorporada ao produto para que você tenha mais tranquilidade.
Plano. Depois de ter sua pilha de tecnologia atualizada e de auditoria, a próxima etapa é criar um plano de governança. Você deseja uma estrutura para gerenciar dados, incluindo políticas e processos para eliminar possíveis lacunas na forma como seu hotel lida com os dados dos hóspedes. Você precisará de funções e responsabilidades claramente definidas para a equipe, como atribuir a responsabilidade de lidar com as solicitações de entrada de dados dos consumidores. Você também deseja criar um plano de ação de violação de dados passo a passo para executar no caso de um incidente, hack ou violação de dados relacionados.
Executar. Agora é hora de trabalhar o plano! Coisas que você quer ter certeza de incluir:
Consentimento explícito: peça aos visitantes do seu site que aceitem os cookies, em vez de instalar automaticamente os cookies e desligá-los. Você também precisará rastrear quando e onde cada pessoa consentiu (ou revogou esse consentimento).
Política de privacidade: atualize sua política de privacidade para incluir informações relevantes de conformidade com o GDPR, como como você usa os dados e como os usuários podem optar por não participar.
Recepção: certifique-se de que suas políticas de coleta de dados na recepção estejam em conformidade, porque tudo o que você coleta offline também deve estar em conformidade com o GDPR.
Dados existentes. O GDPR se aplica a todos os dados pessoais, independentemente de quando foram capturados. Como os dados também estão sujeitos a novas regras e regulamentos, você também quer ter certeza de que eles estão em conformidade!
Trem. A conformidade é tão boa quanto o seu elo mais fraco. Ao treinar a equipe para aderir a essas políticas, você ficará menos vulnerável a problemas relacionados ao GDPR. Eduque sua equipe sobre o que pode levar a uma violação de dados e como eles podem ajudar a evitá-la, incluindo o monitoramento de sinais de alerta. execute um processo claro para a equipe relatar quaisquer erros ou outras questões relacionadas a reclamações à gerência. Deve haver um ambiente sem medo que priorize a transparência sobre a punição.
Manter. A manutenção é muito menos onerosa do que a conformidade. Revisite cada aspecto do seu programa de proteção de dados regularmente para revisar quaisquer alterações inesperadas ou novos problemas de conformidade.
Junte-se a mais de 100 mil executivos das principais marcas de hotéis do mundo e receba os insights mais recentes em sua caixa de entrada uma vez por semana
A Lei de Proteção de Dados é uma iniciativa bem-intencionada...
As intenções por trás da Lei de Proteção de Dados eram boas: tratava-se de criar mais controles para os consumidores na atual era digital baseada em dados. Na maioria dos países e regiões, as leis de privacidade existentes foram promulgadas antes que a Internet assumisse o controle. O regulamento destinava-se a pegar os regulamentos até o comércio.
Para atingir esse objetivo de maior controle na era digital de hoje, o regulamento consagrou sete direitos individuais com base nos princípios básicos de proteção de dados:
O direito de ser informado. As empresas devem especificar quais dados estão sendo coletados, por que foram coletados, para que serão usados e por quanto tempo serão armazenados. As empresas também devem ter motivos claros para armazenar dados por esse período de tempo.
O direito de acesso. Os indivíduos podem acessar os dados pessoais mediante solicitação, em um formato de fácil leitura.
O direito à retificação. Os indivíduos podem revisar, modificar e corrigir os dados que as empresas possuem sobre eles.
O direito de ser esquecido. Os indivíduos podem solicitar a exclusão de informações sobre eles e as empresas devem equilibrar o interesse individual com o bem público ao conceder solicitações de exclusão.
O direito de restringir o processamento. Os indivíduos têm o direito de restringir o processamento de seus dados pessoais quando tiverem um motivo específico para desejar a restrição.
O direito à portabilidade de dados. Os indivíduos têm o direito de transferir seus dados pessoais mediante solicitação.
O direito de objeção. As empresas devem obter o consentimento dos indivíduos explicitamente e oferecer a opção de retirar esse consentimento, enquanto rastreiam esse consentimento em um local centralizado. Os indivíduos também têm o direito de protestar contra decisões tomadas por algoritmos automatizados.
Mesmo com benefícios tão fortes para o controle individual sobre seus dados e como são usados, a iniciativa também teve algumas consequências não intencionais.
...Com Muitas Consequências Indesejadas
Houve algumas consequências não intencionais significativas da RDA; ou seja, como as realidades da conformidade se infiltraram na economia de fazer negócios na Europa e consolidaram ainda mais o poder da Big Tech:
A Big Tech é a maior beneficiária.
As marcas com rastreadores de dados mais usados ganharam participação de mercado devido ao GDPR. À medida que as empresas menores se adaptavam à nova lei, elas perdiam para aquelas com mais recursos. Um estudo da Ghostery mostrou uma queda de 20% no alcance do site para os 50 principais fornecedores de tecnologia de anúncios, exceto Google ou Facebook. O GDPR parece ter colocado mais poder nas mãos dos já dominantes.
A complexidade gera confusão - e uma sorte inesperada para os advogados.
A lei em si é muito complicada para indivíduos e empresas. Com muitas empresas gastando pelo menos 40% de seus orçamentos de conformidade em consultoria jurídica, os advogados são realmente os únicos com uma vitória geral.
Competitividade europeia reduzida - e menos empregos.
A lei da complexidade teve um tremendo impacto nas startups da região, com um estudo constatando ?uma redução de US$ 3,38 milhões nos dólares agregados arrecadados por empreendimentos da UE por estado, por categoria da indústria de petróleo bruto por semana, uma redução de 17,6% no número de negócios semanais de empreendimentos , e uma redução de 39,6% no valor arrecadado em um acordo médio após o lançamento do GDPR.? A perda desse investimento resultou em algo entre 3.604 a 29.819 empregos na Europa.
Novos riscos de fusão.
Conforme evidenciado pela multa recorde da Marriott relacionada às práticas da Starwood, os hotéis que adquirem outros hotéis assumem quaisquer riscos relacionados à GDR. Como tal, os negócios estão desmoronando, com 55% de uma pesquisa da Merrill Corp dizendo que trabalharam em negócios que fracassaram devido a preocupações com as políticas de proteção de dados de uma empresa-alvo e conformidade com o GDPR.
Custo de conformidade para hotéis.
A indústria da hospitalidade é especialmente afetada pelo GDPR, pois os hotéis, mesmo nos locais mais distantes, devem considerar a conformidade. O custo de retenção de conselhos e implementação de sistemas é alto. A conformidade com o GDPR requer colaboração entre fornecedores e funcionários em TI, segurança cibernética, análise forense digital e design de sistemas. Com tanto a ser feito, as maiores marcas têm uma grande vantagem, pois podem usar suas economias de escala para reduzir o custo geral de implementação.
Apesar dessas consequências não intencionais, o GDPR ainda é um grande problema para os hotéis. Ao equilibrar os requisitos de conformidade com uma abordagem estratégica, hotéis de todos os tamanhos podem criar uma estrutura acessível e eficaz.
Ao olhar para o GDPR, lembre-se de que os hotéis são responsáveis por como os fornecedores coletam e interagem com os dados. Cada ponto de contato deve estar em conformidade ou você corre o risco de multas. Portanto, você deve verificar se seus fornecedores estão informados e são proativos sobre o GDPR para hotéis. Caso contrário, não importa quanta preparação você faça, você deixará seu hotel aberto a vulnerabilidades - e as consequências financeiras e de relações públicas de não estar em conformidade e ocorrer algo como uma violação de dados.
