O agronegócio se adequou à Lei Geral de Proteção de Dados (LGPD)? É bom o setor ficar atento porque a partir de 1º de agosto a Autoridade Nacional de Proteção de Dados (ANPD) estará autorizada a fiscalizar e lavrar autos de infração, impondo multas se houver desrespeito à lei. “A LGPD foi publicada em 2018, mas ainda há muitas empresas que nunca ouviram falar sobre ela. O primeiro passo para se proteger é conhecer a legislação”, diz o advogado Luiz Felipe Calábria Lopes, do escritório Lima Netto Carvalho Abreu Mayrink.

Ele explica que não há regras específicas para o agronegócio, mas que a Autoridade Nacional de Proteção de Dados poderá regulamentar pontos da lei de forma especial para setores da economia. A ANPD divulgou, em sua agenda regulatória para o biênio 2021-2022, que vai publicar normas para startups, pequenas e média empresas e empresários pessoas físicas. “Essas regras devem simplificar determinadas obrigações, beneficiando, no setor do agronegócio, as AgTechs e os pequenos produtores rurais”.

Como a LGPD não se aplica a dados de pessoas jurídicas (apenas físicas), o advogado afirma que o agronegócio deve ter redobrada atenção para a proteção de dados de colaboradores e produtores rurais pessoas físicas. “Isso é uma particularidade do setor em comparação, por exemplo, com o de varejo (que trabalha com um alto volume de dados de consumidores), de saúde (que lida com dados, muitas vezes sensíveis, de pacientes) ou da educação (de crianças e adolescentes)”, diz. De acordo com ele, além de se inteirar da lei, o agronegócio tem que fazer o levantamento do fluxo de dados pessoais com os quais trabalha.

Saber quais informações são coletadas, como isso ocorre, como são armazenadas, para qual finalidade, com quem são compartilhadas, quando e como são eliminadas. Luiz Felipe Calábria esclarece que, com estes questionamentos, dá para entender melhor o processo de tratamento de dados pessoais daquela empresa. “Somente com esse levantamento é possível identificar pontos de risco, como a coleta indevida (ou excessiva) de dados, falhas na segurança da informação ou tratamentos que não estão autorizados na lei”, afirma.

O advogado orienta que é necessário ter um profissional encarregado da proteção de dados, que será o ponto de contato entre o público externo (clientes, prestadores de serviço, órgãos governamentais) e a empresa. Também será o responsável pela orientação aos outros colaboradores sobre os procedimentos internos de proteção de dados. Mais isto é apenas, segundo Luiz Felipe Calábria, um pequeno passo.

“A adequação da empresa à lei envolve um trabalho complexo que vai desde a mudança cultural do ambiente de trabalho (para que os colaboradores aprendam a importância da proteção de dados pessoais de terceiros), passando pelo mapeamento do fluxo de informações tratadas pela empresa e das ferramentas de segurança de dados por ela utilizadas, e a execução de um plano de ação, contemplando medidas de mitigação de riscos, políticas de tratamento de dados, aditivos contratuais com fornecedores”, acrescenta o advogado. Ele diz que é preciso ainda a criação de procedimentos para atender às solicitações da ANPD ou de titulares de dados e a reagir a incidentes de segurança, como no caso de vazamento de dados.

O que fazer se isto ocorrer? Luiz Felipe Calábria responde que a empresa deve agir rápido para reverter o caso de compartilhamento indevido de dados, se possível, ou atenuar suas consequências. “Se o incidente puder gerar riscos ou danos relevantes ao titular dos dados vazados, a empresa é obrigada a comunicar o fato ao titular e à ANPD”, diz. Além disso, segundo ele, é importante aprender com o erro para que o incidente não volte a acontecer. “É recomendável que a empresa investigue as causas do incidente e reveja suas regras e processos internos.”

Segundo o advogado, existem várias medidas que as empresas devem tomar para a prevenção. Algumas delas são jurídicas, como rever contratos com fornecedores e interromper tratamentos que não sejam permitidos pela LGPD. Outras são técnicas, como, por exemplo, a instalação de antivírus, firewalls, a manutenção de registro eletrônico das operações realizadas, backups, criptografia.