A Lei Geral de Proteção de Dados e os impactos nas companhias aéreas

Luiza Sato e Mateus Bacchini*

01 de março de 2019 | 04h00

O volume de dados pessoais tratados pelas companhias aéreas é extraordinário – o que é justificado, considerando a amplitude de suas atividades. Pela via aérea, são transportados 35% do comércio mundial em valor e são feitos mais de 120 mil voos, transportando 12 milhões de passageiros diariamente em todo o mundo, de acordo com relatório publicado pela Air Transport Action Group (ATAG) em outubro de 2018.

A proteção de dados pessoais não é uma preocupação exatamente nova para o setor. Em 25 de maio de 2018, entrou em vigor na União Europeia a General Data Protection Regulation (GDPR), que levou muitas companhias aéreas brasileiras a adequarem seus procedimentos para o tratamento de dados pessoais, mesmo aquelas que não possuíam sede no conglomerado econômico europeu.

No Brasil, em agosto de 2018, foi sancionada a Lei Geral de Proteção de Dados (LGPD), à qual as empresas precisarão se adequar até a entrada em vigor, em agosto de 2020, conforme a Medida Provisória nº 869 de 2018, que criou a Autoridade Nacional de Proteção de Dados (ANPD). E a LGPD definitivamente impactará os negócios das companhias aéreas.

Mesmo companhias aéreas que não tenham subsidiária no Brasil, mas que ofertem serviços a indivíduos localizados em território nacional, estão sujeitas às normas da LGPD. A lei aplica-se a quem: realizar qualquer operação de tratamento de dados no Brasil; tratar dados pessoais com a finalidade de oferecer bens e serviços a pessoas localizadas em território nacional; ou tratar dados pessoais pertencentes a indivíduos localizados no Brasil, independentemente da nacionalidade.

As companhias deverão cumprir um conjunto abrangente de obrigações envolvendo limitações na natureza, no volume e no período de retenção dos dados pessoais tratados; estrutura técnica para segurança da informação; ações a serem tomadas no caso de incidentes envolvendo segurança da informação, etc. As aéreas deverão também conseguir atender prontamente aos direitos dos titulares de dados pessoais, como por exemplo acesso, portabilidade, eliminação e informação sobre o compartilhamento de seus dados.

Considerando a prestação de serviços de natureza global das companhias aéreas, será necessária uma atenção muito grande com relação às novas regras de transferência internacional de dados pessoais, como quando, por exemplo, são transmitidos dados coletados no Brasil ao aeroporto de destino em outro país.

Além disso, companhias aéreas tratam muitos dados pessoais sensíveis, tais como verificação de identidade por biometria; dados de saúde do passageiro que demanda uma assistência específica durante o voo; e dados a respeito de preferências alimentares que possam indicar convicção religiosa (como a alimentação kosher). Um maior cuidado com o tratamento de tais dados será necessário.

Ademais, passa a ser obrigatória a nomeação de encarregado pelo tratamento de dados pessoais, que terá as funções de atender pedidos dos titulares de dados pessoais, atuar perante a ANPD e estabelecer as diretrizes dentro da empresa para garantir a devida proteção de dados pessoais

Ainda, as companhias aéreas deverão conseguir conciliar as novas regras trazidas pela LGPD com outras normas setoriais envolvendo o compartilhamento de dados pessoais. Dentre elas, está a Resolução nº 255/2012 da Agência Nacional de Aviação Civil (Anac), que dispõe sobre a obrigação das aéreas disponibilizarem Informações Antecipadas sobre Passageiros (API) e Registro de Identificação de Passageiros (PNR), para o uso dos órgãos e entidades públicos competentes. Normas dessa natureza são adotadas ao redor do mundo com o objetivo de prevenir e reprimir atos ilícitos e facilitar a solução de problemas pelos serviços de controle migratório.

Penalidades

A LGPD prevê severas penalidades em caso de infrações, como a eliminação e bloqueio de dados pessoais e a multa de até 2% do faturamento líquido do último exercício da pessoa jurídica infratora, grupo ou conglomerado no Brasil, limitada a R$ 50 milhões por infração.

De qualquer forma, as empresas devem focar os trabalhos de adequação à LGPD não apenas com a finalidade de evitar as graves sanções, mas também para agregar valor aos seus serviços, já que a proteção de dados poderá entrar no rol de diferenciações que fazem com que um consumidor prefira determinada empresa em detrimento de outra.

Além disso, a adequação vai evitar os potenciais imensos danos à reputação causados pelo uso indevido de dados pessoais. Exemplos não faltam de companhias aéreas que sofreram gravíssimos danos reputacionais e perda de valor de mercado por conta de vazamentos de dados.

O volume e o valor dos dados pessoais tratados por companhias aéreas exigem que elas dediquem altíssimos esforços para a completa adequação à lei até sua entrada em vigor. Todo o trabalho servirá não somente para evitar as duras penalidades, mas, muito mais, para agregar valor aos negócios do setor, além do efeito viral que virá a ser observado: o de pessoas físicas e jurídicas apenas optarem por concluir negócios com empresas que estejam em conformidade com a legislação.

*Luiza Sato é sócia-conselheira e Mateus Bacchini é advogado da área de Proteção de Dados, Direito Digital e Propriedade Intelectual do ASBZ Advogados