Como a LGPD afeta as usinas sucroenergéticas?

A partir de agora as usinas e demais empresas sucroenergéticas precisam redobrar seus cuidados com a proteção de seus dados e de dados pessoais de terceiros. Isto porque a LGPD (Lei Geral de Proteção de Dados) – que passou a vigorar em setembro/2020 – poderá ensejar, por meio da ANPD (Autoridade Nacional de Proteção de Dados) e outros órgãos como Procon, ANEEL e até mesmo o Ministério Público, a aplicação de multas ou penalidades às empresas em caso de violação da lei. E aí? Sua usina está preparada?

Proteção de dados é um dos assuntos mais relevantes da atualidade e a LGPD foi promulgada justamente para regulamentar e criar diretrizes para o tratamento de dados nas empresas.

Segundo Sandro Calixto, advogado e especialista em Proteção de Dados e Direito Digital da Data Prevention, empresa especializada em Cibersegurança Corporativa, a LGPD, instituída pela Lei nº 13.709/2018, dispõe sobre o tratamento de dados pessoais e sensíveis, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade.

O principal objetivo da LGPD é respeitar os direitos fundamentais das pessoas, protegendo a privacidade, intimidade e liberdade de expressão em todas as etapas do tratamento de dados pessoais (coleta, uso, armazenamento, compartilhamento e exclusão), mas além disso, promover o desenvolvimento econômico e tecnológico no Brasil.

A Lei Geral de Proteção de Dados aplica-se de forma direta ou indireta a todas as pessoas físicas ou jurídicas, de direito público ou privado, que realizam alguma das etapas de tratamento de dados pessoais no território nacional.

Estar adequado à lei, de acordo com o especialista, não se resume à questão de estar imune a incidentes de privacidade ou não, mas sim, em agir em conformidade com a lei, adotando políticas de boas práticas e governança, além de conferir segurança cibernética ao sigilo dos dados.

As usinas sucroenergéticas, muito além da necessidade de proteção dos dados pessoais de terceiros, precisam se atentar para a proteção dos seus próprios dados (segredo comercial, industrial, fiscal, bancário, financeiro etc).

“Os segredos comerciais e industriais são os principais ativos de uma empresa e a sua perda pode causar grandes prejuízos, resultando em danos à imagem da companhia junto ao mercado, impacto negativo em seu valuation e aos seus stakeholders”, alerta Calixto, especialista da Data Prevention.

Ainda, as usinas devem estar preocupadas em assegurar, além das suas próprias informações/dados de terceiros que geram diariamente e que lhe são estratégicas para o negócio, também os dados de colaboradores e seus dependentes, clientes, fornecedores de cana e outros parceiros comerciais, como os prestadores de serviço, por exemplo.

Em continuidade segundo Calixto, os dados pessoais dos colaboradores das usinas, por exemplo, geralmente são tratados para fins de admissão, registro do vínculo empregatício e compartilhamento dos dados com instituições como o Ministério do Trabalho e da Fazenda, em cumprimento às obrigações legais.

As usinas sucroenergéticas, muito além da necessidade de proteção dos dados pessoais de terceiros, precisam se atentarem para a proteção dos seus próprios dados como segredo comercial, industrial, fiscal, bancário, financeiro etc

“Como exemplos, temos os registros de ponto, que muitas vezes são realizados com coleta biométrico (via de regra, pela digital) para evitar fraudes na marcação; dados de saúde ocupacional, que implicam a gestão de exames médicos admissionais, periódicos e demissionais, números de CID (Código Internacional de Doenças); dados de pagamento, benefícios, dependentes, entre outros, que são necessários para o desenvolvimento da relação empregatícia”, detalha.

A utilização de validação biométrica tornou-se uma prática do cotidiano nas empresas do setor canavieiro para registro do ponto dos funcionários, por exemplo, através da impressão digital, trazendo comodidade para os colaboradores e segurança para os empregadores.

Além da utilização dessas tecnologias, os dados biométricos faciais (CFTV – Circuito Fechado de TV) de empregados e de terceiros que ingressam nas dependências das usinas sucroenergéticas (prestadores de serviços, visitantes etc.), tornaram-se bastante comuns, sendo utilizados como medida de segurança para as empresas e seus colaboradores.

Aí é que fica o ponto de atenção. “A utilização destas identificações também pode estar sob a mira da LGPD, afinal, como as informações biométricas podem identificar individualmente cada pessoa, são consideradas como dados pessoais sensíveis, merecendo tratamento adequado”, destaca o especialista da Data Defense.

Desta forma, com a entrada em vigor da LGPD, as usinas sucroenergéticas deverão se preocupar com tratamento correto dos dados de seus colaboradores, evitando ações judiciais e autuações pela ANPD.

“Já existe na justiça uma grande quantidade de Reclamações Trabalhistas, visto que a LGPD trouxe outros direitos inerentes à personalidade da pessoa, inclusive a proteção de dados pessoais. Com o surgimento dos direitos dos titulares, neste caso, colaboradores das empresas, as usinas terão que dar atenção especial para esses direitos para evitarem novas Reclamações Trabalhistas”, revela Calixto.

Limitador nas relações comerciais

A proteção de dados vem sendo discutida e ganhando corpo mundialmente através das legislações de cada país, e as empresas no exterior, inclusive, vêm limitando suas relações comerciais a empresas que se preocupam e protegem os dados pessoais que tratam, posto que eventualmente poderão ser corresponsáveis no caso de um incidente de violação de segurança.

“O Brasil entendendo o novo cenário, buscando crescer seu mercado externo, promulgou a LGPD para que as empresas ganhassem competitividade no exterior”, afirma Calixto.

Só para se ter uma ideia, o setor sucroenergético é um dos setores que mais impulsionam as exportações brasileiras do agronegócio. Em setembro de 2020, as vendas externas do setor subiram 89,8%, elevando as vendas do segmento para US$ 1,14 bilhão.

O total de vendas do setor sucroenergético ao exterior em setembro de 2020 somou US$ 8,56 bilhões, 4,8% mais que no mesmo mês do ano passado. A participação do agronegócio nas exportações totais do Brasil era de 40,2%, em setembro de 2019 subiu para 46,3% em setembro de 2020.

“Diante deste cenário, as empresas do setor canavieiro precisam atentar-se para a adequação à LGPD, com o objetivo de atender ao mercado externo e não perder sua competitividade”, destaca.

Penalizações vão além de valores

As penalidades previstas não atingem as empresas e os agentes de tratamento somente em caso de vazamento, mas em qualquer tipo de violação à Lei Geral de Proteção de Dados como, por exemplo, no compartilhamento indevido com terceiros.

A empresa que não seguir as determinações legais para tratamento dos dados pessoais poderá sofrer algumas sanções como: advertência, multa simples, de até 2% do faturamento, limitada no total de R$ 50 milhões por infração; multa diária; publicização da infração; bloqueio dos dados pessoais e eliminação dos dados pessoais.

Calixto explica que mesmo que a empresa siga todos os princípios e respeite todos os direitos dos titulares previstos em lei, ainda assim é possível que ocorram incidentes de segurança, por falha mecânica/tecnológica ou mesmo humana.

“Nesses casos, se o incidente ocorrido puder acarretar risco ou dano relevante aos titulares, o controlador deverá comunicar à autoridade nacional (ANPD) e ao titular do dado (artigo 48 da LGPD). Uma das possibilidades de o controlador ser isentado da responsabilidade pelo incidente é justamente demonstrando que efetivamente cumpriu todas as determinações da lei (artigo 43)”, explica Calixto.

Além das penalizações que ocorrerão através das fiscalizações realizadas pela ANPD ou denúncias, para atestar a conformidade das usinas com a Lei Geral de Proteção de Dados (LGPD), os titulares também poderão buscar seus direitos através de Reclamações junto às próprias usinas/empresas, junto aos órgãos de fiscalização brasileiros e através do ingresso de Ações Judiciais.

Outros pontos importantes são: o Valuation da empresa, sua reputação e o prejuízo aos stakeholders. “ Isso porque, a imagem de uma empresa tem peso igual ou maior às aplicações de multas, visto que ela pode ser afetada e perder seu prestígio e competitividade no mercado, por não ter medidas de segurança e governança adequadas em relação aos dados pessoais que tratam, além de poder ter impacto em seu valor de mercado (valuation), considerando-se a ausência de neutralização ou mitigação do risco cibernético a que estiver exposta, o que também poderá pode impactar, além da própria organização, todos aqueles que com ela se conectam nas mais variadas frentes de negócios (stakeholders)”, comenta Calixto.

Um exemplo, é a falta do Registro de Processamento de Atividades dos Dados, uma das exigências e responsabilidade dos agentes de tratamento (Controlador e Operador) trazida pela LGPD, que poderá acarretar penalidades para as usinas canavieiras.  Esse registro (Mapeamento) deverá ser realizado em todas as áreas de negócio que tratam dados pessoais, sem exceção.

De acordo com o especialista da Data Prevention, Sandro Calixto, a imagem de uma empresa tem peso igual ou maior às aplicações de multas, visto que ela pode ser afetada e perder seu prestígio e competitividade no mercado, por não ter medidas de segurança e governança adequadas em relação aos dados pessoais que tratam, além de poder ter impacto em seu valuation.”

Portanto, muito além da necessidade de proteção dos dados pessoais de terceiros, primordial a importância das usinas sucroenergéticas se atentarem principalmente à proteção dos seus próprios dados (segredo comercial, industrial, fiscal, bancário, financeiro etc), haja vista que, vale frisar, “Os dados comerciais/industriais são os principais ativos de uma empresa e a sua perda pode causar grandes prejuízos, resultando em danos à imagem da companhia junto ao mercado, impacto negativo em seu valuation e aos seus stakeholders”, alerta o especialista da Data Prevention.

Planejamento no manejo dos dados

A transparência e a constante atualização acerca do propósito da coleta dos dados tornam-se fundamentais para o tratamento de dados pessoais.

Com o advento da lei, as políticas de privacidade, os códigos de conduta e regimentos internos das empresas passam a demandar novas atualizações em seus termos, integrando um novo braço que surge internamente denominado Compliance Digital, a fim de dar maior transparência aos titulares sobre a forma de tratamento de seus dados pessoais, sempre respaldados em evidências digitais para que a empresa possa exercer seu direito de defesa com plenitude e eficiência.

Coletar, armazenar, compartilhar e processar dados pessoais de terceiros requer muita responsabilidade. Clientes, prestadores de serviços, fornecedores e os próprios colaboradores das usinas precisam estar plenamente cientes sobre cada um dos propósitos que justificam o tratamento de seus dados.

É claro que há dados imprescindíveis à formalização de uma relação contratual de prestação de serviços, onde a coleta de dados como nome, data de nascimento, filiação e endereço são absolutamente justificáveis e necessários.

No entanto, o especialista da Data Prevention alerta que é preciso, mais que do nunca, observar se os dados pessoais estão sendo efetivamente tratados para aquela finalidade específica, devendo, inclusive, ser levado em consideração o princípio da minimização da coleta de dados (coletar somente o estritamente necessário).

“Muitas vezes, as empresas acabam dispondo de dados absolutamente desnecessários ao cumprimento de seu papel. Daí a importância de, a partir do disposto na norma, verificar se todos os dados tratados são realmente imprescindíveis ao cumprimento de sua finalidade, certificando-se de que se encontram alinhados com as exigências da LGPD. Isso é essencial para mitigação de riscos de incidentes”, explica.

Com o advento da LGPD, as empresas passam a ter, além do dever social de promover a conscientização acerca dos direitos de que dispõem os titulares de terem seus dados pessoais protegidos, também o dever legal de implementar todas as regras e boas práticas estabelecidas pela lei e pelos frameworks aceitos e utilizados internacionalmente (Normas ISO 27001, 27002 e 27701, dentre outras aplicáveis).

É importante que a proteção dos dados pessoais dos titulares ocorra não somente por força da nova lei, mas pelo indiscutível dever que as empresas sucroenergéticas possuem de serem transparentes.

“Assertivamente, tal dever precisa encontrar os limites que a privacidade estabelece, além de alcançar o objetivo firmado contratualmente”, diz Calixto.

Com as mudanças, é inevitável a transformação tecnológica dentro das empresas. Investir em soluções tecnológicas para armazenamento seguro e acompanhamento do ciclo de vida dos dados será fundamental para atender às exigências da Lei.

Já existem no mercado várias ferramentas que atendem tais exigências requisitadas por lei, que podem ser escolhidas e aplicadas de acordo com o porte e necessidade das usinas sucroenergéticas, gradativamente em uma escala crescente de segurança e maturidade, sempre lastreadas no grau de criticidade, orçamento e estratégia de cada organização.

A escolha de um advogado especializado em proteção de dados também trará maior segurança para o tratamento dos dados pessoais e para os processos de negócio nas empresas, dada a especificidade do tema e sua importância estratégica. Portanto, é fundamental que a equipe seja especializada.

“A LGPD demanda uma nova forma de pensar. É mais que uma lei mandatória, é uma lei procedimental. Os advogados precisam estar preparados para as exigências multidisciplinares que a Lei exige”, adiciona Calixto.

Já existem no mercado várias ferramentas que atendem tais exigências requisitadas por lei, que podem ser escolhidas e aplicadas de acordo com o porte e necessidade das usinas sucroenergéticas.

Passo a passo para a adequação

Não há um tempo exato para adequação de uma empresa à LGPD, já que a implementação demanda um processo progressivo, principalmente porque o ciclo de vida dos dados não é estático e as empresas estão em constante inovação devido ao avanço tecnológico.

“A LGPD é notadamente uma lei de compliance, conformidade e demanda um encadeamento de atos que serão iniciados com o Assessment (avaliação) e, a partir de então, serão incorporados e aplicados na rotina das empresas para sempre, sem exceção”, diz Calixto.

Para facilitar o processo de adequação das empresas à LGPD, a Data Defense criou um programa que é divido em três fases:

A primeira fase é fase de Assesment, que consiste no levantamento (Mapeamento/Diagnóstico) das informações sobre a empresa, como quais tipos de dados são tratados por ela, para qual finalidade, como são usados, onde ficam armazenados, com quem são compartilhados e se são excluídos após o seu uso, com o levantamento dos gaps e análise de riscos.

Com o levantamento de todas as informações, começa a segunda fase, que consiste na Aplicação prática das melhorias e adequações à lei, levantadas na primeira fase após análise dos processos de tratamento dos dados pessoais e todo seu ciclo de vida, através de um Plano de Ação que levará em conta o grau de criticidade, estratégia e orçamento a fim de se otimizar a implementação.

A terceira e última fase consiste no monitoramento contínuo dos processos de negócio da empresa, uma vez que a proteção de dados não tem um fim em si mesmo, além da constante implantação de melhorias e da fiscalização para a segurança e governança dos dados pessoais tratados pela empresa, dentro do braço denominado Compliance Digital existirá de forma perene nas organizações empresariais.

Calixto explica que, em média, a depender do porte da empresa, a primeira fase (Assessment) leva de dois a seis meses e a segunda fase pode ser programada, levando-se em consideração a disponibilidade econômica e organizacional, bem como os processos de negócio com maior criticidade em relação à proteção de dados, sempre dentro de um arranjo estratégico aplicável a cada empresa individualmente, dadas as suas especificidades.

“As usinas sucroenergéticas também precisam olhar para a proteção dos próprios dados, como o segredo industrial, os dados sigilosos que podem ser sequestrados e comprometidos, ocasionando a paralização da produção pela invasão sofrida, como aconteceu nos Estados Unidos, no caso da Colonial Pipeline. Então, é necessário investir em procedimentos para segurança desses dados, tanto sob a ótica da TI (Tecnologia da Informação), como sob a ótica jurídica, além de qualificação dos colaboradores, que juntos somam o tripé – Pessoas, Processos e Tecnologia – norteador da aplicação da LGPD”, finaliza.

Por Natália Cherubin