Um dos consensos dos negócios até agora em torno da Lei Geral de Proteção de Dados (LGPD), em vigor desde o último agosto, é que ela foi disruptiva. Não apenas por toda a discussão que pautou o texto – e seus seguidos atrasos – de 2019 em diante, mas principalmente por se tratar de uma legislação inovadora.  

Na verdade, ao estipular um conjunto de regras sobre como as empresas devem utilizar os dados de seus clientes, colaboradores, stakeholders, parceiros e demais terceiros com quem se relacionam, a legislação teve, naturalmente, uma resistência. 

Mas não é só isso: para além da expectativa da chegada da LGPD – que foi inspirada em uma lei robusta de proteção a dados feita pela União Europeia –, o fato dela ter sido debatida pelo país já em meio à crise da covid-19 também “atrasou” sua implementação no ambiente de negócios. Isso quer dizer que, passados alguns anos do debate, muitas empresas ainda não estão totalmente adequadas e acostumadas às mudanças. Na verdade, uma pesquisa feita em março do primeiro semestre do ano passado, antes da lei entrar em vigor, mostrava que sete em cada dez negócios não estavam prontos para a nova norma. 

Setores mais específicos, como o de saúde e o mercado financeiro, que tratam de dados sensíveis (ver art. 5º, inc. II da lei) estão na dianteira desse processo: dado o impacto judicial, fiscalizatório e contratual, foram os primeiros a se adequarem às regras e, hoje, despontam como os únicos que têm a LGDP quase totalmente funcionando. 

Contudo, esta “bolha” tende a estourar neste ano – e por dois motivos. O primeiro é que a preocupação com o compliance fará com que mais empresas se adequem à nova lei. Isso aumentará o lastro da LGDP pelo ambiente de negócios, atingindo segmentos mais comuns. O segundo é que a fase de crise está mais distante e, com a retomada econômica ganhando força, naturalmente a lei de proteção a dados se tornará um fator de concorrência. E é aí que entra a importância do agronegócio. 

Como a LGPD vai impactar no agro? 

No auge da chamada agricultura de precisão, o agronegócio brasileiro será fortemente impactado pelas transformações da LGPD neste ano. De acordo com a Confederação da Agricultura e Pecuária do Brasil (CNA), esse tipo de agricultura nasceu com o objetivo justamente de analisar dados para que condições ideais de cultivo sejam geradas pelos produtores. Esse processo não acontece sem envolver, da mesma forma, pessoas. 

Assim, a busca crescente dos produtores por soluções efetivas dentro de seus escopos de precisão muitas vezes passa pelo acesso a informações sigilosas de fornecedores, colaboradores e clientes. 

O problema é que muitas dessas informações não estão arquivadas de maneira correta. Mais do que isso, nem sempre foram coletadas com o aval dos seus proprietários. Deixando de seguir o cumprimento legal elementar da LGPD, o resultado é, além da falta de compliance – que é um problema legal e de mercado ao mesmo tempo, os produtores se tornam alvos de sanções e penalizações que têm sido cada vez mais duras. 

E qual é a solução? Para nós, essa resposta passa por planejamento. 

Planejando a LGDP na produção agrícola 

O ponto crucial para os produtores do agro – pequenos, médios e grandes – é que esforços pontuais de áreas da empresa ou em alguns processos não significam uma adequação satisfatória e juridicamente protegida à LGPD. 

Estar em compliance com a nova lei é, na verdade, uma responsabilidade multidisciplinar, porque abrange tudo: marketing, recursos humanos (RH), financeiro, administrativo, e principalmente o núcleo jurídico e o TI (Tecnologia da Informação) – que deve garantir a clareza no trâmite dos processos e a utilização dos recursos e trabalhar para evitar o inadequado tratamento de dados pessoais e um possível vazamento de informações. 

O que é se adequar corretamente à LGPD? É monitorar, de forma sistemática, todos os riscos que existem no uso e trato de dados pessoais de clientes, parceiros, colaboradores e terceiros envolvidos com os processos produtivos ou com o mercado da empresa – e não só de invasões de desconhecidos (hackers, principalmente). 

O que é se adequar corretamente à LGPD? É monitorar, de forma sistemática, todos os riscos que existem no uso e trato de dados pessoais de clientes, parceiros, colaboradores e terceiros envolvidos com os processos produtivos ou com o mercado da empresa – e não só de invasões de desconhecidos (hackers, principalmente). 

Esse gerenciamento de riscos (risk assessment), um dos pilares mais importantes de compliance, é justamente o que está no planejamento de uma empresa. Ele significa organizar, dirigir e controlar as ameaças existentes em uma organização, departamento, operação ou atividade específica, de forma a evitar que invasões, vazamentos ou manejos incorretos das informações aconteçam. É um meio de minimizar ou eliminar a possibilidade de impactos negativos sobre os resultados esperados em caso de algum dos riscos verificados se materializem. 

Como implementar a LGPD? 

O mercado, capitaneado pelas boas práticas principalmente internacionais, delineou um caminho a ser seguido para que as empresas se adéquem à LGPD e às normas de privacidade como um todo. 

Muito embora não haja uma receita pronta, já há um mapa sobre como efetivar essa adequação – salientando sempre que os casos devem ser analisados dentro de suas particularidades. A própria LGDP incluiu em seu escopo um meio de construir caminhos coletivos para essa implementação. Um exemplo disso é a Autoridade Nacional de Proteção de Dados (ANPD), criada dentro da lei justamente para direcionar conceitos e atender necessidades dos negócios durante esse período de inicial, de mudança de paradigma.  

Recentemente, a ANPD fez jus a esse papel e publicou um guia de implementação da LGPD para empresas PMEs. Antes, a agência tinha disponibilizado um checklist que serve como base para adequação das empresas em geral. A expectativa do mercado é que, em 2022, a ANPD tenha uma atuação mais firme sobre o compliance da lei – compreendendo que essa mudança de paradigma já completou seu ciclo. 

Como a justiça tem olhado para a LGPD 

No âmbito judicial, as decisões sobre processos da LGPD já começaram a surgir –  inclusive em segundo grau de jurisdição. Ainda que precoce e longe de uma jurisprudência, alguns pontos dessas ações merecem atenção, principalmente para o agronegócio.  

Um deles é que dano moral não tem sido uma questão automática. Ou seja, além da existência de vazamentos de dados, é necessário que a pessoa prejudicada demonstre minimamente como essa ocorrência lhe causou algum impacto psicológico. 

Além disso, a responsabilidade da empresa é mais que objetiva: há uma exigência de proatividade, conforme se vê especificamente em uma decisão recente da Câmara de Direito Privado do Tribunal de Justiça de São Paulo. Diz um trecho desse julgamento que: 

 “A nova lei, porém, introduz, secundando o regulamento europeu, uma mudança profunda em termos de responsabilização. Trata-se da sua união ao conceito de “prestação de contas”. Esse novo sistema de responsabilidade, que vem sendo chamado de “responsabilidade ativa” ou “responsabilidade proativa” encontra-se indicada no inciso X do art. 6º, que determina às empresas que não é suficiente cumprir os artigos da lei; será necessário também “demonstrar a adoção de medidas” 

Um terceiro aspecto que chama atenção nas recentes decisões judiciais sobre LGPD é que, para os juízes, a origem dos dados é fundamental – sendo sensíveis ou não.  Ou seja, as empresas estão sendo instadas a explicar como, onde e por que coletaram as informações que possuem, antes mesmo dos seus casos serem analisados. 

Um quarto aspecto que desponta é a prestação de contas como dever objetivo das empresas que tratam dados pessoais. Nesta mesma decisão de São Paulo, muito embora não se tenha reconhecido a existência de um dano moral, se entendeu a obrigação em prestar contas à ANPD no sentido de quais são as práticas que o negócio possui para garantir o respeito à LGPD e aos dados de seus clientes. 

Por fim, e para além da questão legal, a LGDP também já produz impactos sobre a concorrência de mercado. Há uma tendência em 2022 de que contratos se padronizem no sentido de que o fornecedor ou cliente exijam, a partir do momento que estiverem adequados, que também seus parceiros comerciais esteja em compliance om a LGPD. Essa, aliás, é mais uma das práticas da Europa que estão sendo replicadas no Brasil. 

Muitas empresas têm inclusive assinado cláusulas e disposições nas quais se comprometem com as questões da nova lei. A preocupação passa por todos os fatores mencionados neste texto: compliance, mercado, melhorias de processos e segurança da informação. É um fato que o cenário fiscalizatório deve ser o grande foco de 2022, por ser o período de fortalecimento da própria ANPD. É tempo de estar cada vez mais pronto para esse novo padrão dos negócios. 

Para entrar em contato agora com o Supervisor de Contas da Funcional e saber como podemos te auxiliar na implantação da LGPD, clique aqui.

Escrito por Felipe Rangel (OAB/PR Nº 65.292), especialista em LGPD, advogado do escritório Sobocinski Advogados.