Resumo das Queixas

編號: 0124/2014/IP

標題: Exigência de apresentação de fotocópia do BIR na reserva de quarto de hotel

立案原因: Participação

個案簡介:

    Quando o participante X reservou um quarto do hotel B subsidiário da empresa A, um funcionário do hotel B exigiu ao titular do cartão de crédito, X que apresentasse fotocópia do cartão e documento comprovativo de identidade ou fotocópia do passaporte, além de preencher um formulário (letter of authorisation). X suspeitou que a exigência de apresentação de fotocópia do documento comprovativo de identidade violasse as disposições da Lei da Protecção de Dados Pessoais (LPDP) e pediu ao GPDP que acompanhasse o caso.

分析:

    Sendo titular da licença do hotel B, a empresa A tem poder de decisão sobre as actividades do hotel B (incluindo o tratamento de dados pessoais dos clientes do hotel), pelo que A é o responsável pelo tratamento.
  Os cidadãos fornecem dados pessoais à empresa A para reservar quartos (incluindo o preenchimento da letter of authorisation, apresentação da fotocópia do cartão de crédito, BIR ou cópia do passaporte). Assim, a empresa A trata dados pessoais com o consentimento inequívoco dos titulares dos dados, correspondendo às condições de legitimidade definidas no artigo 6.o da LPDP. Em simultâneo, a empresa A trata dados pessoais para executar o contrato de hospedagem celebrado com os clientes, correspondendo também à condição de legitimidade do n.º 1 do artigo 6.º da mesma Lei.
  Segundo dados apresentados pela empresa A, caso o titular do cartão de crédito se comprometa, por intermédio de terceira pessoa (ou seja, o cliente), o pagamento ou garantia do custo através do cartão de crédito, tem que preencher a letter of authorisation e apresentar cópia do cartão e do BIR ou passaporte, sendo que a exigência de apresentação da letter of authorisation serve para garantir o pagamento pelo titular do cartão da despesa do terceiro e autorizar o hotel a deduzir o custo no cartão.
  O Gabinete admite que o hotel não consiga exigir que o titular apresente pessoalmente o seu BIR na reserva do quarto do hotel, quando o titular não é o cliente. Visto que tal envolveu a prova de cumprimento do contrato, p. ex. identificar o beneficiário, identificar o indivíduo que reservou o quarto do hotel (outorgante), o hotel A exigiu que apresentasse a letter of authrisation junto com a fotocópia do BIR do outorgante. Possívelmente, esta exigência será algo excessiva, já que, p. ex. no tratamento da reserva na internet, somente se consegue exigir que o cliente comprove a reserva para si próprio. Pelo exposto, esta medida tem margem para revisão.
  Quanto à exigência de apresentação da cópia do cartão de crédito, a empresa A disse que, precisava de conferir a assinatura da letter of authorisation através da cópia do cartão. Por outro lado, segundo o Payment Card Industry Data Security Standard definido pelo Payment Card Industry Security Standards Council, depois de autorizada pelo titular do cartão, a empresa pode conservar, de forma encriptada, dados pessoais da frente do cartão, tais como: nome do titular, número da conta, prazo de validade etc., já que o tratamento do código de verificação do cartão é destinado principalmente às “card-not-present transactions” (por exemplo: transacções via internet, email ou telefone), com vista a garantir que o utilizador e o titular é a mesma pessoa. Além disso, a empresa A referiu que o hotel B tinha observado orientações de operação estabelecidas pelo Payment Card Industry Security Standards Council para proteger dados do cartão, incluindo das cópias do cartão após a confirmação da reserva do quarto pelos serviços de contabilidade. Assim, não se acha inconveniente na exigência pela empresa A de apresentação da cópia do cartão para assegurar a segurança da transacção.
  Em suma, a finalidade da exigência de apresentação de fotocópias de cartão e BIR ao titular do cartão de crédito pela empresa A é legal, determinada, explícita e legítima e o tratamento de dados pessoais também não excede o âmbito da sua finalidade.  Assim, não se encontrou nenhuma violação das disposições das alíneas 2) e 3) do n.º 1 do artigo 5.o da LPDP.

處理結果:

  O GPDP já notificou o resultado a X. O caso foi arquivado.

註:
Consulte a “Lei da Protecção de Dados Pessoais”, artigos 5.º e 6.º.