Hotéis e alojamento local (AL) tratam dados de hóspedes num contexto muito específico: têm uma obrigação legal de comunicar hóspedes estrangeiros às autoridades (boletins de alojamento), operam videovigilância em áreas comuns, gerem programas de fidelização e recebem a maioria das reservas através de plataformas como a Booking ou a Expedia. Cada um destes tratamentos tem uma base de licitude e um enquadramento próprios no RGPD e na Lei n.º 58/2019. Este guia mostra como um estabelecimento turístico português cumpre o RGPD, tratamento a tratamento — um tema relevante num setor central da economia nacional.
Pontos-chave
- A comunicação de hóspedes estrangeiros (boletins de alojamento à AIMA/SEF) é uma obrigação legal (art. 6.º, al. c).
- A videovigilância em áreas comuns segue o artigo 19.º da Lei 58/2019 (sinalização, 30 dias).
- Os programas de fidelização e o marketing exigem consentimento.
- Nas reservas via OTA, o hotel e a plataforma têm papéis distintos de responsável/subcontratante.
Boletins de alojamento: uma obrigação legal
Todo o estabelecimento de alojamento em Portugal — hotel, hostel ou AL — está obrigado a comunicar os hóspedes de nacionalidade estrangeira às autoridades competentes, através dos boletins de alojamento (Sistema de Informação de Boletins de Alojamento). A base de licitude é a obrigação legal (art. 6.º, n.º 1, al. c, do RGPD). Isto significa que:
- O hóspede não pode recusar esta recolha nem pedir o apagamento durante o prazo legal.
- Os dados recolhidos para este fim só podem ser usados para este fim — não para marketing.
- A informação ao hóspede (art. 13.º) deve mencionar esta finalidade e o seu fundamento legal.
Esta separação de finalidades é essencial: os dados de identificação recolhidos por obrigação legal não migram automaticamente para a base de contactos comerciais. Isso exigiria uma base própria e o consentimento do hóspede.
Videovigilância em áreas comuns
Hotéis e alojamentos operam câmaras em receções, corredores e áreas comuns. A videovigilância rege-se pelo artigo 19.º da Lei n.º 58/2019 e pelo RGPD:
- Base: interesse legítimo na segurança de pessoas e bens, com teste de ponderação documentado.
- Sinalização obrigatória informando da existência de câmaras.
- Minimização: câmaras apenas onde necessário; nunca em quartos, casas de banho ou vestiários.
- Conservação: regra geral, até 30 dias, salvo se as imagens forem prova de infração.
Instalar câmaras em espaços de intimidade, ou conservar imagens indefinidamente, é ilícito. O enquadramento sancionatório está no guia de coimas RGPD da CNPD.
Programas de fidelização e marketing
Os programas de fidelização e o envio de ofertas por email são tratamentos de marketing que exigem, em regra, consentimento prévio, com um mecanismo de cancelamento fácil em cada comunicação. A adesão ao programa de fidelização deve ser voluntária e informada, com finalidades específicas — pontos, ofertas personalizadas, análise de preferências. A personalização de ofertas com base no histórico de estadias deve ser transparente. A validade destes consentimentos segue as regras gerais do consentimento RGPD com exemplos.
Reservas via OTAs: responsável ou subcontratante
A maioria das reservas chega através de agências de viagens online (OTAs) — Booking, Expedia, Airbnb. A relação de proteção de dados entre o hotel e a plataforma é frequentemente mal compreendida. Em traços gerais:
| Situação | Papel |
|---|---|
| A OTA recolhe a reserva e transmite os dados ao hotel | Cada um é responsável pelos seus tratamentos |
| O hotel usa o channel manager da OTA para gerir reservas | A ferramenta pode ser subcontratante |
| O hotel usa software de gestão hoteleira (PMS) | O fornecedor do PMS é subcontratante |
O ponto prático: sempre que um fornecedor trata dados de hóspedes por conta do hotel — o PMS, o software de faturação, a plataforma de email — é subcontratante e exige um contrato do artigo 28.º. E como muitas destas plataformas alojam dados fora da UE, é preciso acautelar as transferências internacionais com cláusulas contratuais-tipo ou decisão de adequação.
Mapear tudo no registo
Todos estes tratamentos — boletins de alojamento, reservas, faturação, videovigilância, fidelização, marketing — devem constar do registo de atividades de tratamento, cada um com a sua base, prazo e subcontratantes. Em grupos hoteleiros maiores, o volume e a diversidade de tratamentos justificam a designação de um encarregado de proteção de dados. Manter este registo atualizado, com os contratos e o mapa de transferências das OTAs, é um trabalho contínuo que plataformas como a Legiscope automatizam, ligando cada tratamento à sua base legal e a cada fornecedor.
Informação ao hóspede e direitos
O hóspede tem direito a ser informado sobre o tratamento dos seus dados (arts. 13.º-14.º): as finalidades — reserva, boletim de alojamento, faturação, segurança, marketing — a base de cada uma, os destinatários e os prazos, incluindo o direito de queixa à CNPD. A informação é normalmente prestada no momento da reserva e no check-in, e deve distinguir com clareza o que é recolhido por obrigação legal do que depende do consentimento.
Um estabelecimento tem também de conseguir satisfazer os direitos do hóspede no prazo de um mês: acesso aos dados, retificação, oposição ao marketing e apagamento — respeitando os prazos de conservação que prevalecem, como o dos boletins de alojamento e o fiscal. Na prática, o hóspede que pede para deixar de receber comunicações deve ser retirado das listas de imediato, e um pedido de acesso deve poder ser respondido reunindo os dados espalhados pelo PMS, pela faturação e pelo sistema de fidelização. Uma cadeia hoteleira que trata milhares de hóspedes por ano precisa de processos claros para não falhar estes prazos — e o incumprimento reiterado é uma das fontes de queixa mais comuns num setor de grande rotação de clientes.
Perguntas frequentes
Posso usar os dados dos boletins de alojamento para enviar ofertas?
Não. Os dados recolhidos para a comunicação obrigatória de hóspedes estrangeiros só podem ser usados para essa finalidade legal. Para marketing, é preciso uma base própria — normalmente o consentimento do hóspede, recolhido separadamente.
Quanto tempo posso conservar as imagens de videovigilância?
Como regra geral, até 30 dias (art. 19.º da Lei n.º 58/2019), salvo se as imagens constituírem prova de uma infração, caso em que podem ser conservadas o tempo necessário ao processo. Findo o prazo, devem ser eliminadas.
A Booking é responsável ou subcontratante dos dados dos meus hóspedes?
Depende do fluxo concreto. Muitas vezes cada parte é responsável pelos seus próprios tratamentos; noutros casos, ferramentas da plataforma tratam dados por conta do hotel e são subcontratantes. Verifique o que os termos de proteção de dados da plataforma estabelecem.
O software de gestão hoteleira precisa de contrato de subcontratação?
Sim. O PMS trata dados de hóspedes por conta do hotel e é subcontratante, exigindo contrato do artigo 28.º. Verifique também onde aloja os dados, para acautelar eventuais transferências internacionais.
Conclusão
O RGPD na hotelaria organiza-se em torno de quatro tratamentos com regimes distintos: a comunicação obrigatória de hóspedes estrangeiros (obrigação legal, finalidade fechada), a videovigilância (art. 19.º da Lei n.º 58/2019), a fidelização e o marketing (consentimento) e as reservas via OTAs (papéis a clarificar). A regra que evita a maioria dos problemas é não misturar finalidades: os dados recolhidos por obrigação legal não alimentam o marketing. Um estabelecimento que mapeia estes tratamentos no registo, com bases e prazos corretos, cumpre a lei num setor onde o volume de hóspedes torna qualquer falha rapidamente visível.
Outros guias setoriais de RGPD: RGPD para advogados, RGPD para e-commerce e RGPD na saúde.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial