A Lei Geral de Proteção de Dados (LGPD) trouxe às empresas a necessidade de adaptações e da realização de diversas mudanças em suas rotinas diárias. Porém, apesar da LGPD já ter entrado em vigor há mais de um ano, o número de empresas que se adequaram à lei está aquém do esperado. Em relação ao setor de agronegócio, um dos mais importantes para o país, esse número é ainda mais reduzido.
Um levantamento da Associação Brasileira das Empresas de Software (ABES), em conjunto com a Ernest Young (EY), apontou que apenas 31,13% das empresas do agronegócio haviam se adequado à LGPD até agosto de 2021. Isso mostra que é preciso haver uma mudança de cultura no segmento, pois muitas empresas do setor ainda tratam dados sem os devidos cuidados necessários.
Todas as informações relacionadas a uma pessoa natural, desde um simples nome em um pedaço de papel, até uma foto ou um endereço de IP, estão sujeitas à proteção da LGPD. Dados de produtores rurais, empregados, clientes e fornecedores (em relação a esses dois últimos, se forem pessoas físicas) ou seus representantes, constantes de planilhas, sistemas, contratos agrários ou de qualquer outra documentação são protegidos pela legislação, independentemente do meio onde estejam armazenados.
Importante ressaltar que a definição de "tratamento" prevista em lei é bastante ampla, e envolve tanto a coleta de dados pessoais quanto o armazenamento, uso, compartilhamento, transferência e descarte. Ou seja, mesmo que o dado esteja simplesmente armazenado em um sistema, mas não seja utilizado pela empresa, ele está sendo tratado e isso deve ser feito de acordo com a legislação aplicável. Assim, é importante que todas as empresas se adequem à LGPD com a implementação de um programa de privacidade adequado.
O primeiro passo é nivelar o conhecimento de todos os colaboradores sobre questões relacionadas à proteção de dados com treinamentos, workshops ou eventos similares sobre a importância e os conceitos básicos da LGPD. Assim, estarão aptos a participarem da segunda fase, o mapeamento.
Nessa fase, devem ser feitas entrevistas com os colaboradores para que seja entendido qual o fluxo de tratamento de dados pessoais em cada setor da empresa. O resultado dessas entrevistas será uma planilha descrevendo o processo que gerou o tratamento dos dados pessoais, a finalidade do tratamento, a base legal adequada, onde e por quanto tempo os dados pessoais serão registrados, se são dados sensíveis ou não, se são compartilhados com terceiros ou transferidos para outros países, além das medidas de segurança para proteção.
Posteriormente, é elaborado um relatório de riscos e um plano de ação com todas as medidas a serem implementadas. Elas incluem a elaboração de cláusulas contratuais, aditivos a contratos, políticas (de privacidade de site ou de colaboradores, por exemplo), diretrizes de resposta a titulares e avaliação de fornecedores, planos de resposta a incidentes e outros. A utilização de sistemas que possam fazer correções e apagar dados pessoais e a contratação de uma equipe capacitada e preparada para lidar com os dados também são etapas importantes.
A empresa também deve estar atenta à LGPD em relação aos seus fornecedores, uma vez que um incidente com eles pode afetar dados pessoais "controlados" pela empresa de agro. Por exemplo, a empresa de agro pode ter problemas com seus empregados e com as autoridades se uma empresa terceirizada é contratada e trata os dados de maneira inadequada. É importante que as empresas avaliem a maturidade dos seus fornecedores em relação à lei, mediante o envio de questionários de privacidade e análise das políticas. Importante também celebrar acordos relacionados ao tratamento de dados pessoais com esses fornecedores (DPAs) descrevendo as responsabilidades, obrigações e direitos das partes.
O não cumprimento da legislação aplicável à proteção de dados pessoais pode implicar na aplicação de diversas sanções pela Agência Nacional de Proteção de Dados (ANPD), como multas, que podem chegar a até 2% do faturamento da empresa e a suspensão de atividades relacionadas ao tratamento de dados pessoais. Além disso, já temos visto diversos pedidos de indenizações, tanto pelos titulares de dados quanto por autoridades governamentais, nas áreas civil e trabalhista, em decorrência de tratamentos de dados inadequados.
Mas a questão mais delicada ainda é a reputação de uma empresa. Seguros, bons advogados e uma situação financeira sólida podem ajudar uma empresa a pagar ou se defender das ações, mas um problema reputacional pode levar qualquer empresa à falência. Desta forma, é essencial que a liderança dê a devida importância para questões envolvendo dados pessoais e estimule a cultura da privacidade dentro da empresa. Sabemos que todos estão sujeitos a incidentes, por maior que seja a proteção, mas problemas que ocorrem de forma repetitiva ou que são resolvidos de forma insatisfatória acendem uma luz vermelha. Dados pessoais são valiosos e um vazamento de informações de uma empresa pode ser catastrófico. Como nenhum empresário quer isso, é hora de se adaptar e investir no cuidado com a LGPD.