LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS PERGUNTAS E RESPOSTAS SOBRE OS IMPACTOS DA NOVA REGULAMENTAÇÃO NO SETOR DO AGRONEGÓCIO NOVEMBRO DE 2018 4
Na primeira edição de nosso especial de perguntas e respostas sobre a Lei Geral de Proteção de Dados Pessoais (LGPD), circulada em agosto, buscamos esclarecer dúvidas do setor privado brasileiro com relação à nova regulamentação instituída pela Lei nº 13.709, de 14 de agosto de 2018. Na sequência, passamos a trazer questões setoriais específicas atinentes à lei. Já foram debatidos pontos relativos aos setores financeiro e de saúde. Nesta edição, a terceira da série de reflexões setoriais, tratamos do setor do agronegócio. A ideia central é abordar algumas consequências peculiares da nova regulação para os agentes desse setor, especialmente em um momento em que a internet of things (IoT), ou internet das coisas, passa a ter papel decisivo nos processos produtivos e de gestão dessa indústria. 1 Quais tipos de dados são produzidos no setor rural? Com relação à coleta e ao tratamento de dados, a grande novidade no agronegócio pode ser explicada a partir do conceito de big farm data. A busca por eficiência na produção colocou a inovação tecnológica em primeiro plano no setor rural, dando origem à chamada agropecuária de precisão, um sistema de gerenciamento agrícola baseado no controle tecnológico das variáveis de espaço e tempo no âmbito da unidade produtiva. Por meio do sistema de posicionamento global e de sensores instalados nas máquinas utilizadas na lavoura, por exemplo, são extraídos dados sobre a qualidade do solo e da colheita, a partir dos quais são feitos mapas de produtividade que guiarão as decisões estratégicas do empresário rural. Atualmente, a capacidade de potencializar a atividade agrícola com base em um grande volume de dados obtidos e compartilhados em tempo real a respeito da produção é fundamental na dinâmica do setor. 2 Quais dados utilizados no agronegócio podem ser considerados dados pessoais? A nova lei define dados pessoais como informações relacionadas à pessoa natural identificada ou identificável. Uma vez que big farm data envolve dados sobre a atividade econômica por exemplo, quantidade exata de defensivos agrícolas aplicada em cada parte do terreno plantado, costuma-se afirmar que os dados rurais não são pessoais. No entanto, deve-se ter em mente que o ordenamento jurídico brasileiro não exige registro na Junta Comercial daqueles que exercem atividade rural, e por isso parte relevante dos produtores rurais no Brasil desenvolve seus negócios como pessoa física e não jurídica. A amplitude da definição da LGPD dá margem para que qualquer dado relacionado a uma pessoa natural possa ser considerado dado pessoal. Basta que, a partir do dado, a pessoa física seja identificável. Nesse sentido, dados específicos da atividade produtiva, quando associados, por exemplo, às coordenadas da propriedade rural registrada em VMCA LGPD PERGUNTAS E RESPOSTAS 4 SETOR DO AGRONEGÓCIO NOV/2018 1
nome da pessoa física do agricultor, podem ser caracterizados como dados pessoais, uma vez que relacionados a pessoa física identificável. Essa possibilidade de aplicação da LGPD é especialmente relevante para empresas de tecnologia agropecuária que, de alguma forma, têm acesso ou armazenam dados sobre a atividade produtiva de agricultores. Também é pertinente às empresas que trabalham com credit scoring, na avaliação de risco relacionado à concessão de crédito rural: o acesso e tratamento de informações como dados de produtividade georreferenciados podem estar sujeitos às regras de proteção de dados pessoais, lembrando que muitas vezes tanto a propriedade da terra quanto o crédito fornecido estão em nome da pessoa física do produtor rural. Além desse possível caso de aplicação da LGPD, o setor também deve se atentar a hipóteses mais comuns de incidência da lei. Por exemplo, notas fiscais referentes a vendas para pessoas físicas nas quais conste o número de CPF do consumidor adquirente qualificam-se como dados pessoais e requerem a aplicação das novas regras de proteção. Ainda que as empresas do agronegócio realizem menos transações diretas com consumidores finais do que, por exemplo, as do varejo, o acesso a dados de pessoas físicas pode vir pelos próprios agropecuaristas, que desenvolvem sua atividade em nome próprio e não utilizam CNPJ. Dessa forma, empresas que vendem equipamentos e insumos ao produtor Dados específicos da atividade produtiva, quando associados, por exemplo, às coordenadas da propriedade rural rural, mesmo sem atuarem no elo registrada em nome da pessoa física do agricultor, podem final da cadeia produtiva, podem vir a ser caracterizados como dados pessoais e, portanto, ter acesso a dados como nome, estarão sujeitos à LGPD. endereço e CPF do agricultor, que serão informações protegidas pela nova lei. Por fim, o conceito de dado pessoal previsto na lei permite concluir que dados de atividade empresarial que apenas identificam pessoas jurídicas não se submetem à nova proteção estabelecida. A lista de empresas distribuidoras de uma firma fornecedora, por exemplo, por não envolver pessoas físicas, não constituiria dado pessoal, embora possa ser informação comercial e concorrencialmente sensível e, por isso, motivar a incidência de outras legislações, como a Lei de Defesa da Concorrência ou as normas sobre concorrência desleal. 3 Quais as consequências da incidência da LGPD para aqueles que trabalham no agronegócio? Segundo a nova lei, o tratamento de dados pessoais somente poderá ser realizado mediante consentimento expresso do titular, exceto quando necessário para que o controlador dos dados cumpra obrigação de natureza legal ou regulatória. VMCA LGPD PERGUNTAS E RESPOSTAS 4 SETOR DO AGRONEGÓCIO NOV/2018 2
No caso dos chamados dados pessoais sensíveis origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, vida sexual, condição de saúde, informação genética ou dados biométricos, a lei exige que a pessoa física titular forneça autorização específica. Órgãos de pesquisa poderão utilizar os dados sem necessidade de consentimento para realização de estudos, desde que garantam o anonimato das informações, impedindo a identificação do titular dos dados. O consentimento também é dispensado no caso de tutela da saúde realizada por entidades sanitárias, ou quando o uso das informações for necessário para que as empresas cumpram as obrigações de natureza regulatória, inclusive no que diz respeito às normas de saúde pública. Tais exceções são especialmente relevantes para os agentes que atuam com defensivos agrícolas, melhoramento genético de sementes e pesquisas com biotecnologia, uma vez que tais mercados se submetem a diversas regulações de natureza ambiental e sanitária que podem exigir uso de dados pessoais sensíveis. Quanto às empresas de credit scoring interessadas em utilizar dados rurais qualificáveis como dados pessoais para mensuração do risco de concessão de crédito a agricultores, é importante mencionar que o PLP 441/17, que tramita no Congresso Nacional e altera a Lei do Cadastro Positivo, visa instituir o chamado sistema de opt-out, para possibilitar a utilização de dados pessoais sem o consentimento expresso e prévio do titular que, no entanto, pode solicitar a exclusão de seus dados caso assim desejar. Como a alteração legal ainda não foi aprovada, o uso desses dados continua dependente de autorização do titular. A lei também dispensa o consentimento quando o tratamento é feito pela administração pública para execução de políticas públicas, ou por órgãos de pesquisa para realização de estudos. Trata-se de exceção importante quando se trata de big farm data, uma vez que a coleta e tratamento de informações a respeito da atividade rural são essenciais para controle ambiental e promoção da eficiência produtiva no campo a partir da elaboração, por órgãos públicos, de mapas de produtividade do território brasileiro, por exemplo. 4 Empresas estrangeiras se submetem à nova lei? A LGPD se aplica a qualquer operação de tratamento de dados pessoais realizada no Brasil ou referente a dados coletados em território nacional, ou ainda nos casos em que o tratamento tenha sido realizado para subsidiar oferta ou fornecimento de A LGPD se aplica a operação de tratamento de dados pessoais realizada no Brasil ou referente a dados coletados bens ou serviços no Brasil. Sendo em território nacional, ou quando o tratamento é realizado assim, toda empresa, nacional ou para subsidiar oferta ou fornecimento de bens ou serviços estrangeira, que ofereça serviços no Brasil. ao mercado nacional estará sujeita à nova lei. VMCA LGPD PERGUNTAS E RESPOSTAS 4 SETOR DO AGRONEGÓCIO NOV/2018 3
5 É possível transferir os dados coletados no Brasil para outro país? A transferência internacional de dados só é permitida para países que proporcionem grau de proteção de dados pessoais equiparável à legislação brasileira, ou quando a instituição receptora dos dados assegurar o cumprimento dos princípios e garantias previstos no regime brasileiro de proteção de dados. A definição exata do que será considerado grau de proteção equiparável deverá ser feita no futuro pelas autoridades que aplicarão a LGPD, portanto esse é um tema que merece especial cautela. 6 Quais as consequências pelo descumprimento da LGPD? Uma série de sanções administrativas, aplicáveis pela Autoridade Nacional de Proteção de Dados (que possivelmente será criada para fiscalizar o cumprimento da LGPD), podem ser determinadas em caso de violações às novas normas. As penalidades vão desde advertências até a eliminação dos dados pessoais a que se refere a infração, além de multas de até 2% do faturamento do grupo econômico no Brasil, As penalidades em caso de violação às regras da LGPD vão podendo chegar a R$ 50 milhões. de advertência à eliminação dos dados a que se refere a infração, além de multas de até 2% do faturamento do grupo A lei também prevê a possibilidade de que, uma vez confirmada econômico no Brasil, podendo chegar a R$ 50 milhões. a sua ocorrência, a infração seja divulgada ao público. Dentre os diversos fatores que, segundo a lei, deverão ser levados em conta na escolha das sanções a serem aplicadas no caso concreto, destacamos a existência de boas práticas e mecanismos internos sólidos de governança na empresa que assegurem o tratamento seguro e adequado dos dados. Assim, a lei busca incentivar a adoção de medidas preventivas de compliance empresarial de forma a evitar a ocorrência de infrações. 7 Como organizar uma entidade para evitar ao máximo infrações à LGPD? Para empresas que tenham contato frequente com dados pessoais como pode vir a ser o caso de empresas de tecnologia agrária que tenham acesso ou armazenem dados da atividade rural diretamente relacionados à pessoa física do agricultor recomenda-se a estruturação de um sistema interno que dê conta de atender às novas demandas da LGPD, como a necessidade de consentimento, o cuidado com a transferência internacional de dados etc. Um dos passos para estruturação de sistema desse tipo é a indicação de um encarregado, também chamado de data protection officer. Trata-se de profissional responsável pela comunicação entre o controlador, os titulares dos dados pessoais e a autoridade responsável, cuja missão é a de supervisão do cumprimento das regras da LGPD e a orientação da equipe da empresa acerca da proteção a dados pessoais. VMCA LGPD PERGUNTAS E RESPOSTAS 4 SETOR DO AGRONEGÓCIO NOV/2018 4
Quando a LGPD entrar em vigor, será possível obter mais informações a respeito da obrigatoriedade de nomeação de um encarregado, considerando que a lei delega às autoridades a responsabilidade por emitir normas a respeito, tendo em vista o porte das empresas e o tipo e volume do tratamento de dados por elas desenvolvido. 8 Há alguma proteção jurídica específica para big farm data? O conjunto de informações economicamente estratégicas para o agronegócio, colhidas, por exemplo, a partir de sensores que monitoram a plantação em tempo real, tem sido protegido ao redor do mundo pela via autorregulatória, em razão da possibilidade de influência que possuem na estabilidade do mercado de commodities. Nos EUA, há o Privacy and Security Principles for Farm Data, elaborado pela American Farm Bureau Federation, organização privada que representa o setor. A norma estabelece a proteção dos dados rurais com disposições semelhantes ao regime protetivo dos dados pessoais, com destaque para a exigência de notificação e consentimento do agricultor, titular dos dados, para que as informações colhidas sejam utilizadas pelos provedores de tecnologia rural. Na União Europeia, há o European Union Code of Conduct on Agricultural Data Sharing by Contractual Agreement, assinado por associações de classe do setor, que garante ao titular dos dados o direito de controle do uso. No Brasil, como visto neste artigo, os dados rurais podem, em situações específicas, ensejar a aplicação de regulações já existentes como as normas de defesa da concorrência, ou mesmo da LGPD, nos casos de dados rurais associados a uma pessoa natural identificável. Apesar disso, o país ainda carece de regulação específica sobre o tema. VMCA LGPD PERGUNTAS E RESPOSTAS 4 SETOR DO AGRONEGÓCIO NOV/2018 5
Vinicius Marques de Carvalho Advogados Rua Doutor Rafael de Barros, 210 9º andar Paraíso 04003 041 São Paulo SP Brasil +55 11 3939 0708 contato@vmca.adv.br www.vmca.adv.br