Advogado alerta que, sem encarregados de DPO, empresas de agronegócio ficam sujeitas a multas e penalidades
A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor no ano passado, determina que as empresas tenham um DPO (Data Protection Officer), que é o profissional referência, dentro e fora da empresa, responsável pelas questões relacionadas ao tratamento de dados pessoais. As corporações do setor do agronegócio não ficam de fora. “Elas devem cumprir a LGPD, sem exceções”, orienta o advogado Luiz Felipe Calábria Lopes, do Lima Netto Carvalho Abreu Mayrink Sociedade de Advogados, lembrando que as empresas do agronegócio são, em regra, controladoras dos dados de seus empregados e, ainda, de fornecedores como pequenos produtores rurais.
Segundo o advogado, a LGPD aplica-se a empresas de todo porte, mas permite que sejam criadas regras simplificadas para microempresas, empresas de pequeno porte e startups. A Autoridade Nacional de Proteção de Dados (ANPD) está trabalhando em uma resolução exatamente para isso, que, se aprovada irá dispensar tais categorias não apenas da indicação de DPO, mas também de manter registros de todas as operações e de realizar a portabilidade de dados. A resolução poderá incluir outras facilidades para microempresas, empresas de pequeno porte e startups, como a possibilidade de elaboração de relatório de impacto de forma simplificada e o aumento de prazos para atender a solicitações de titulares e da ANPD.
Enquanto a resolução não é aprovada, o advogado diz que as empresas do agronegócio continuam obrigadas a cumprir a LGPD, independentemente do porte. Quanto maior o volume de dados pessoais tratados por sua empresa, maior o risco de autuações e de ocorrerem incidentes de segurança. “Portanto, devem ficar atentos os agronegócios que possuem muitos dados de pessoas físicas, como empregados, consumidores e parceiros comerciais”, diz.
O advogado alerta que a falta de um DPO é um descumprimento da LGPD e pode acarretar em autuações e aplicações de penalidades, incluindo advertências e multas de valores bastante expressivos. “Sem um profissional capacitado para lidar com solicitações de titulares e da ANPD, a empresa pode acabar infringindo outros dispositivos da lei, agravando as penalidades e se sujeitando a indenizações por prejuízos causados”, afirma.
Os danos para a corporação, caso não contrate um DPO, vão além de multas e penalidades, acarretando também perda de competitividade no mercado. “A empresa poderá perder contratos com fornecedores que possuem um programa de compliance de proteção de dados, ser inabilitada em licitações públicas ou perder crédito junto ao consumidor”, enumera Luiz Felipe Calábria.
O advogado chama a atenção também para a importância da contratação de profissionais qualificados para a função de DPO. De acordo com Luiz Felipe Calábria, o DPO não precisa ter uma formação específica, mas o mais comum é que seja um profissional do direito, da segurança da informação ou da administração, que são as três áreas do conhecimento mais próximas de suas atividades. “O trabalho do DPO é multidisciplinar e o importante é que ele conheça a LGPD e as regulamentações da ANPD, para que possa desempenhar suas funções com segurança e responsabilidade”, orienta.
Luiz Felipe Calábria lembra ser comum que o DPO precise consultar especialistas de outras áreas. “Por exemplo, se o DPO for um advogado, ele precisará da ajuda de profissionais da segurança da informação e da administração para prestar as orientações corretas em cada caso – e vice-versa. Para isso, a empresa pode escolher por criar um Comitê de Proteção de Dados, composto de empregados com diferentes formações, com a finalidade de auxiliar o DPO, sempre que necessário”, sugere.
Ao contratar um DPO, o advogado recomenda incluir no contrato as obrigações legais do encarregado, previstas no art. 41 da LGPD. Além disso, deve-se verificar se a empresa possui outras necessidades, como a realização de treinamentos ou a elaboração de políticas – que podem ser incluídos na contratação do DPO ou feitos com a ajuda de outro profissional.
Saiba o que é e o que faz o encarregado de DPO
O DPO é a referência, dentro e fora da empresa, para questões relacionadas ao tratamento de dados pessoais. Ele é o ponto de contato entre a empresa controladora de dados e o público externo, como titulares e a ANPD, de forma que reclamações e solicitações deverão ser encaminhadas ao DPO, para que sejam adotadas as providências legais.
Entende-se por controladoras as empresas responsáveis pela tomada de decisões referentes ao tratamento de dados. As empresas do agronegócio são, em regra, controladoras dos dados de seus empregados e, ainda, de fornecedores como pequenos produtores rurais.
O DPO tem o papel também de orientar os empregados da empresa e os parceiros comerciais sobre as práticas e medidas que devam ser tomadas para a proteção dos dados.
Ao contratar um DPO, a empresa pode prever outras atribuições do DPO, como a realização de treinamentos periódicos, a prestação de serviços de consultoria e/ou assessoria em proteção de dados e a elaboração de determinados documentos, como políticas internas, termos de consentimento e relatórios.