CARTILHA 0 Sétor Agropecudrio sobre a ° Let Geral dle Protecao de Daclos Pessoais AG MLS Ta Ny e recomendagoes. z V5 Brasilia 04/2022 as Gas a! \ x at Mal - EAsBraAP , ‘ a meeeBruno Rocha de A. R. O. Lucio Christian Bredemeyer Claudio Tiharu Kuribayashi Ellen Carolina Siva Flavia Maluf Romanelli Felipe Sperb de Oliveira Fagundes Joo Dreher Larisse Sa Freire Militao Luis Fernando Prado Chaves Marcela Mazer Guidi Marcos Nascimbem Ferraz Patricia Pacchioni de Castro Oliveira Paulo de Oliveira Piedade Vidigal Pedro Nachbar Sanches Pedro Nedenovsky Palatnik Prado Vidigal Sarah Melo Martins Sergio Paulo Gallindo ‘Sergio Sgobbi Silvana Arend Stefani Sonzzini Navarro Tania Nery Apoio/Reviséo: Comunicacéo BrasscomAAsBraAP - Associagao Brasileira de Agricultura de Precisao e Digital, a Brasscom - Associagao Brasileira das Empresas de Tecnologia da Informagaoe Comunicagao (TIC) e de Tecnologias Digitais eo MAPA - Ministério da Agricultura, Pecuaria e Abastecimento, convictos da importancia da difuséo do conhecimento da Lei Geral de Protegao de Dados Pessoais - LGPD para o setor agropecuario desenvolveram o presente estudo orientativo, O objetivo é desenvolver 0 aculturamento tao necessario para um setor que, cada vez mais, tem nos dados passoais uma forte de andlise e subsidios para a tomada de decisées. O debate sobre a protegao e privacidade teve seuinicio no final doséculo XIX, e a intensificagao dos meios telematicos fez surgir 0 fenémeno do compariilhamento dos dados pessoais, incorrendo posteriormente em legislagbes especificas. No Brasil, a Lei Geral de Protegao de Dados - Lei Federal n° 13.709/2016 ou, apenas, “LGPD", entrou em vigéncia em setembro de 2020 e, em fevereiro de 2022, 0 direlto fundamental de protegao dos dacos pessoais do cidadao foi incluido na Constituigaio Federal. Corroborando: “um direito dos individuos de determinar por si proprios quando, como e em que extensao informagdesa seu respeito sao comunicadas a terceiros”, fenémeno do uso intensivo das tecnologias digitais na agropecuaria e a consequente gerago de dados pessoais na posse de terceiras aumentam a exposigao daqueles que realizam o tratamento de dados e criam a necessidade de regulagdes especificas que amparem essa demanda. No setor agropecuario, a agricultura de precisdo e digital também se propde @ interligar os sensores dos equipamentos e das antenas com os softwares de andlises, 0 que representa uma oportunidade ascendente de uso das tecnologias em um setor que representa 27,4% do PIB nacional. A LGPD traz regras para a utlizagdo de dados e direitos das pessoas fisicas detentoras de dados pessoais, criando oportunidades de inovacao, otimizaco de processos e diferenciago compatitiva ‘As mudangas nas relagées culturais e de comportamentos pessoais para com aqueles que terdo, a0 menos temporariamente, 0 acesso para o tratamento dos dados pessoais, é um processo que decorre com conhecimento da LGPD e sua consequente aplicagao. Estamos no inicio de uma longa trajetoria de conhecimento e aprendizado, em um mundo regido pela informacao propiciada pelas descobertas baseadas nas andlises dos dados. Assim, este material apresenta conceitos e regras introduzidos pela LGPD, seguidos de orientages e exemplos parao diaa dia dos diversos alores do setor agropecuatio.yal A. oO M eu Mccn let ial Cle meMs Cece men mera Tien Peace MMC LitE aC Met Sema eae, eae een (elon nek eM el elect Nelsons ee Ea acy tS » \ da economia, 0 agro brasileiro vem acompanhando essa tend ner) esta na era 4.0. Considerada uma das areas que is nyse) Liao Z-Cc- omic a - eE tel ae oy cr ore Coon a tafe teers I Apesar desse movimento ainda ser pouco Pensa ar) frou urbano, a atividade agropecudria vem se transformando nos ultimos ae Cre ner Re RC ra oe eR fen to haygpares a PER nee cent tena teks kere oaees Ocoee crate es eae omar Eerie iter : eee eee me keene aCe preditivas de recomendacGes, que conferem economia de insumos e eee ic i Mele Murer ect om ons eM) ticelar) BR aeeteae nite cece mecca cetrace [alesse Sole hace ( Mom Comes C-Leler mT t3s-7- 1 mr (iu eed Fr aMccone eM cCrne en Lecce cm CRs inter on Nite meme eee cu etary eet Racist enlace Sauce nace Canes Rana CMU CR og sh re oME LC) ecole Eee Lactate ol eT) Mee aco aeolian shes een enteric et teicher cticiaen ri keer ieteee men eee ta entender a importancia e os conceitos da Lei Geral de Protegao de Dados Pessoais (LGPD)e como ela se aplica ad agropecuéria. Afinal, trata-se de uma lei ampla e transversal, aplicada a todos os setores econdmicos. Mas que se nao for adequadamente aplicada no s cece recon ccc kk aeee a i Deke tom Chcu Micali hectare eoisttetl emer Rerace teetk runes eer ace ‘6S AsBraAP | ae | oe — Sn ——es Were teeta eM ea eens ener cues Leoni e-toc (TIC) e de Tecnologias Digitais - promove o setor de TIC junto atores publicos e privados ee MC cme Me Uc le cel eC eo Cle ea eM CueMe MC ccm Kem item lenge noir Dye eeu st Me eet Meek ene N ee PONE eect RUN oe ACERS ECU acme lic Protecao de Dados Pessoais, Seguranga da Informacao, Inteligéncia Artificial, §G, Internet das Coisas, Telemedicina e Agricultura Digital sdo fenémenos cada vez mais Pe oe ee Mae a Menu se ear tere i 4 MEM ee meee eect Nek Reta ere hee son her la Greece eee cosas a Me eRe et eR ee a COR come Mi Ley Te ee OR ee ete EOC ea) ete cle ECM Mey Rec Rec ICM een cneile irs Cre ue amu Mu an ee meni eX Rue te nest eae ea ca Dee ORCC eC R ar) Were tee ees ee) tec rer eae i ae Picea oe et ences eats tea aus) PER ee eee ee Re cel ee eon eral icados. Os desafios sao: despertar, em jovens e adultos, o interesse por tecnologia PR an ORR en RCM ete ee aN ne CL CN eye Cel MaMa iether RL onoO MELHOR QUE VOCE PODE FAZER PELO FUTURO E CULTIVAR HOJE rl Seja qual for o tamanho da sua operagéo, vocé depende de dados para tomar decis6es. Composigdo do solo, condigdes climaticas e projecSes de rendimento ReToR lua alerde (Kola s0( 1} ° Progresso no campo e nos negocios. Vamos encontra-los juntos. eT ee keey a PUL lets CONEXAO JURIDICA ENTRE O CAMPO, A INDUSTRIA E O MERCADO FINANCEIRO. Nossa missao0 6 _— simplificar negdcios desenvolvendo solugdes inovadoras na area da tecnologia, recuperagao de crédito e operagées oct] e-(e (ct com = seguranca juridica para empresas voltadas ao segmento do agroneg6cio. Cad Favret sah (oko) FILIAIS Ce rere Sey ere eee) ee eel ee 116° andar - Torre New York - CEP: 05001-100 eS (11) 3662-4333 /3664-3464 ere otc eas1. Apresentagéo 2. Resumo Executive Introdugao 2.1 A imporncia da agropecudria na economia brasileira 2.2 Aimporténcia do desenvolvimento da cultura organizacional pera LGPD. 3. Histérico do trabalho realizado 3.1 A visdo da ogropecusria sobre a LGPD 4. ALGPD e seus conceitos 4.1 Dado pessoal 4.2 Trotamento de dados pessoais 4.3 Amplitude do termo “dado pessoal” 4.4 Dados pesso 4.5 Controlador e Operador 4.6 Encorregado de dados 4.7 Boses legais 4.7.1, Consentimenio 4.7.2 Legitimo Interesse 4.7.3 Execugdo de contrato 4.8 Dircito dos Titulares 4.9 Incidentes de seguronca 4.10 Papel dos agentes de tratamento 4.11 Papel da ANPD 4.12 Fiscalizagéo e aplicagéo de sangées 4.13 LGPD e agentes de pequeno porte 5, Aplicagéo da LGPD para a agropecut 5.1 Andlise da sondagem aos subsetores © recomendagdes 6. Consideracées finals 7. Referéncios Brasscom>A Lei Geral de Protegao de Dados Pessoais - LGPD instituiu obrigagdes e responsabilidades aos agentes que coletam, tratam, armazenam e eliminam 08 dados pessoais. Diante da preocupagao advinda do uso crescente de dados pessoais nas variadas atividades do setor agropecuério, este estudo propde orientar os diversos atores do setor na implementagdo da LGPD para além do cumprimento Jegal, tendo em vista os beneficios de inovacao que esse novo cenério pode oferecer. Para a construgao desse conhecimento, a etapa inicial foi composta por uma sondagem realizada em parceria com o Ministérioda Agricultura, Pecudria e Abastecimento - MAPA, onde 156 atores, do setor agropecuario responderam comoa LGPD é percebida, sendo a pluraidade e a heterogeneidade caracteristicas marcentesdo setor. ‘Agregou-se a elaboracio de una sondagem empresarial com os subsetores de associagdes de revendedores de insumos, maquinas e implementos agricolas; associagdes de empresas e de prestadoras de servigos de agricultura de precisdo e digital; instituigses empresariais do setor agropecuari associagdes de produtores rurais, cerealistas ccooperativas, além de associagdes de empresas que Introdu ‘armazenam dados de terceiros. A pesquisa englobou perguntas sobre 0 conhecimento da LGPD, os processos de implementagao, os usos e procedimentos da coleta dos dadcs, bem como os aspectos relacionados 4 operac3o empresarial em relagéo a coleta dos dados. Os achados obtidos das sondagens foram: 1/3 dos respondentes tem conhecimenio bésico sobre a LGPD; as empresas de menor porte tm tido maigres dficuldades em se adequar; 2/3 dos respondentes tiveram grande ou média dificuldade de implementacéo; 55% investiram em capacitagéo profissional voltada 4 LGPD; 56% possuem uma Viséiolimitada ao cumprimento legal, 60% nomearam Data Protection Officer DPO. Tendo em vista os achados, recomenda-se a adogao das seguintes praticas: (1) disseminagao do conhecimento sobre a LGPD em todos os subsetores do setor agropecudrio; (2) aperteigoamento dos processos de governanca coorporativa; (3) unio de esforgos empresatiais para a solugao de problemas comuns, por intermédio das instituighes de representacdio coletiva; (4) revisao dos contratos de prestagéiode servigos sob abtica da LGPD; 2.1 - Aimportancia da agropecuaria na economia brasileira Sol, agua, tera, gente e tecnologias: essa conlungéo de fatores tornou o pais um expoente na produgdo agropecuéria mundial. No ano de 2020, o faturamento de bens e servigos gerados no agronegicio brasileto alingiu a sora de R$ 1,98 trilhdo. Aagrcultura movimeniou R$ 1,38 tho © RS 602,3bilhdes foram gerados pe'a pecuétia, O Brasil & ‘omaior exportador de agticar, café, suco de laranja € soja em gros; terveiro exportador mundial de carne de frango; segundo de came bovina; terceio maior exportador de milho; e 0 quarto de came suina (CEPEA, CNA, 2020). é Brasscom>SOA rm cre 33% suco De CAFE LARANIA "RIOR MANOR Thins nt Cor maion it EXPORTADOR (§ EXPORTADOR [Mf EXPORTADOR cn ci pit CARNE DE FRANGO agiicaR ODUTOR Fonto: CEPEA, CNA, 2020. ‘Cento de Estudos Avancacos em Economie Aplicada (CEPENUSP), em parceris com a Confederayio da Arlculur © Pecudsa do Brasil - CNA ‘Aoessado em htip.fnwncnabraslorabr en 08102020, A pujanga empresarial e a importéncia do setor agricola na economia nacional, gerador de riquezas, receitas, empregos, inovagdo e dinamizador econdmico, remontem come conceto a0 ano de 1955. J. H. Davis, na Boston Conference on Distibution of Agricultural, defniu agribusiness coma a “soma de todas as operagées envolvidas no processamento e na distribuicdo dos insumos agropecuarios, as operagées de produgdo na fazenda © 0 armazenamento, o processamento e a distibuigdo dos produtos agricolas e seus derivados” (DAVIS;GOLDBERG, 1955) © agronegdcio uno, isclado e auténomo néo existe mais. O conjunto de atividades inseridas no agronegdcio moderno envolve trés elos desia cadeia: antes da porteia: alvidades que fomecem insumos, produtos e servigos antes da produgdo agropecuaria acontecer; i) dentro da porteira: as agdes que ocorrem nas unidades de producéo agropecudria e que invariavelmente envolvem os produtores; ii) depois da porteira: compreendem as atividades de processamento, distribuigao, marketing, armazenamento, entre outras, ¢ que ‘ocorrem depois que 0 produto sai da fazenda ou Unidate de produgdo. Neste conceito, os atores participantes da agropecuaria moderna estéo interligades e na uma forte interdependéncia com os demais elos desta cadeia. As relagdes externas, para além das fazendas ¢ lavouras, tém a predomingncia das relagdes de trocas intersetoriais entre a agropecuiia, a indistia € os servigos, envolvendo aspectos de amplo espectro como: i) formas de comercializacao e distribuigao, incluindo a rastreabilidade da produgdo; ji) desenvolvimento tecnolégico; ii) questées econdmicas, logisticas aspectos relacionados @ legislagao (BATALHA, 2001). Os ambientes sococulturais e econdmicos naturais foram acrescidos com contornos extemos, ampliando a viséo para além das atividades produtivas (NEVES, 1999). Segundo pesquisa realizada pola IHS Markit, com apoio da ASBraAP. 36% dos atuais nao usuarios da agricultura de preciséo declararam que pretendem investir em tecnoiogias digitais nos proximos trés anos. Adcionalmente, apenas 2% manifesteram desconfianga em relagao a seguranga dos dados, dos aplicativos e dos softwares utiizados. O terreno 6 fértil para o crescimento e ascensao dos meios é Brasscom>tecrolégicos na agrioultura. O volume de dados é progressivo, tem crescimento exponencial e cada vez mais esta naposse de terceiras. Essa éinamica impoe (© desafio e 0 compromisso aos participantes desta agropecuaria integrada de estarem em conformidade com as legislagbes, inclusive com @ Lei Geral de Protegao de Dados ~ LGPD. E importante que os atores entendam e assimiem seus direitos e deveres Jegeis e como suas acdesestao interigadas. A falta de adequagao ¢ a incorreta aplicagio da LGPD comprometee fragiiza todo 0 setor. Ainterdependéncia proporciona beneficios, mas. também responsabilidades que so compartlhadas por todos os elos da cadeia, independentemente de tamanho, poder ou quaisquer cutras diferenciagSes. E importante que os individuos com os quais interagimos - clientes, fomecedores, funcionérios, usuarios de aplicagées, elo. - entendam como os dados pessoais sda tratados. A coniormidade deve ir além de um dever legal, agregando beneficios € conficbilidade a todas es operagées realizades. 2.2 - Aimportancia do desenvolvimento da cultura organizacional para LEPD Um dos critérios a ser adotado pelas empresas na escolha de parceiros comerciais e de negécios sera a capacidade que esses terceiros possuem para protager os dados pessoais sob sua responsabilida- de. Assim, 6 importante que a cultura orgenizacional valorize 0 conhecimento sobre a LGPD e demais legislagées, deixando ciente os deveres advindos da coleta, uso e ammazenamento de dados pessoais, ‘bem como aadorao de processos e tecnologias para garantir a seguranga de tais dados @ seu uso adequado. A cultura é a integragdo de conhecimentos, crengas e comportamenlos humenos que caracteri- am uma organizagao e ha duas formas de promover Figura 2 - Ciclo do conhecimento natural o> Atitudes namo Py mudangas nos comportamentos dos individuos dentro das empresas. Pelas praticas partcipativas em que, por intermédio do conhecimento da informagao, as pessoas podem mudar suas attudes, alterando seu comportamento pessoal e, por ultimo, promovendo uma mudanga no comportamento Coletivo e novos hébitos (Figura 2). Ou pelo resultado de uma inciativa drecionada, por itermédio de uma deciséo tomada por uma lideranca, incorrendo em uma mudangano comportamento coletivo. Caso essa deciséo permanega no tempo, ha uma mudanga no comportamento individual e posteriormente na altude, alé que 0 conhecimento seja intemalizado (Figura) PU Een ti) Pu CRU EL TEMPOFigura 3 - Ciclo da acao induzida oF ama TEMPO Para promover a mudanga do ambiente ¢ do comportamento organizacional, é indicada a efetiva- (0 de politics, procedimentos e normas internas, além da realizagao de medides de conscientizecéo A parceria entre AsBraAP - Associagao Brasileira de Agricultura de Precisdo e Digital e a Brasscom - Associacéo Brasileira das Empresas de Tecrologia da Informago e Comunicagao (TIC) e de Tecrologias Digits, com 0 apoio institucional do ‘A. Construgéo dos questionérios das sordagens, com a participacao dos envolvides, via reunides destinadas a esse fm no grupo de governanca instituido para a realizagdo deste trabalho. Elaborou-se dois tnos de questionérios. O questionério geral contou com cinco perguntas de caracterizagao do respondente © 13 sobre conhecimentos acerca da LGPD. Os respordentes foram 8 partcipantes das Cémaras Setoriais do MAPA. A abordagem foi feita por e-mai, mediante carta de apresentagao do Ministério da Agricultura, reletando 0 objetivo e a importéncia da participagio. © questionério especifico teve 28 perguntas sobre conhecimento, ‘processos empreendldos e visdo dos representantes das associagées sobre a LGPD. Os respondentes foram entidades representantes de 5 subsetores do setor agropecuirio (Quadro 1) A abordagem foi irdividvalizada com entrevistas realizadas via videoconferéncia sempre comapresenca de, no minimo, dois entrevstadores. que incentivem continuamente 0 aprendizado sobre ‘os temas privacidade e protego dedados pessoais, A cultura da privacidade tem que ser construida coidianamente com exemplose apicacies. 3 © Historico do trabalho realizado MAPA - Ministerio da Agricultura, Pecuaria ¢ Abestecimento, ¢ com parceria das empresas Corteva Agriscience e John Deere Brasil Ltda e do escritério Luchesi Advogados teve as seguintes tapas desenvovidas Quatiro 1 — Subsetores ertrevstados na sondagem (i) Associagbes endedores e@ distribuidores de insumos, maquinas © implementos agricolas (iii) Entidades de classe atuantes no setor agropecurio, tais como sin {v) Associagdes que representam as ‘empresas do setor agro que dados ou utilizam servigos det ara 0 armazenamento de dadosA. Sistematizacéo dos resultados colelados das sondagens, com a anélise dos pontos de preocupagéo levartados pelos respondentes e aglutinagao por érea de familiridade teratice B, Valdacéo dos resultados pelo grupo de governance insttuido para a realize¢do deste trabalho, posterior publicagéo e dvulgegao de forma agregada e anénima, 3.1 - Avisdo da agropecuaria sobre a LGPD Asondagem realizada emparceriacomo MAPA _marcantes do setor. Os gréficos apresentam o perf com 156 atores do setor agropecuario trouxe uma _dosrespondentes eos prncipais achados em relago amostra de como a LGPD 6 percebida, sendo a a0 conhecimento, implantagao, aculturamento pluralidade e a heterogeneidade caracteristicas vis&o sobre o tema: Caracterizacao dos respondentes Classificagao critério de produgao Empresas Comerciais MBAsso:iagdes Outro Vegetal Hl Arimal eVegetal [Animal TB No se aplca BBinsttutos de Pesquisa iSindicatos CONG ‘Atuago dos respondentes Posigao na cadeira agro : 80 7 60 50 40 2 z I a ri i 6 ‘Estadual Municipal Depa patra Yen a partara tes apurtaia Tas as cries é BrasscomQuadro 2 - Principais achados da sondagem e interpretagao {19 dos respondertes tom conhecimento basico sabre privecidade e protegso de dadee pessoais. O conhecimento € o aculturamento tém que ser um exercicio dito dos agentes Grau de pertencentes a esse ser, uma vez que este fator€ chave para assegurar 0 cumprimento da CUTE LGPD. O conhecimento, a conformidade @ a meturdade serao cada ver mais componentes ‘comuns na avaliagao de empresas, considerandoo ato grau de negacao entte os tore, is poderd foralecertoca a cadea, 30% responderam que esto em um nivel avangado de adequacdo para implaniagdo da LGPO. ‘Quando relacionamos essa informaco com 0 poris dos respondentes, veriicamos que 30% s80. Dae ‘empresas com fturamento igual cu swoerior a RS 300 mines, ou sea, empresas de grande EET T MN pore se adequaram mais rapidamenie. Anda, no geal, fol possivel constalar que empress menores encontram mais dificuldade para compreensio do tema € a consequente adequacao de suas atividades, 213 responderam que a dificudade de implantacao fo de grande ou de média intensidade. A METEOR CIM iTplementagao de politcas e regres de governanca so essenciais para anecessaria mudanga FEM ie) °2cuturaoreanzaconal Ac empresas mares, ro goal, én mais conics do formar amps pafcerias envovendo produtores, fomecedores, clientes € insttutos de pesquisa, 0 que cria ‘condigbesestruturals adequacas, 88% dos respondentes tercerizam, ao menos parciaknente, os sistemas de TI. Em razdo a0 elevado indice de contratacéo de ferramentas de tecnologia operadas por terceros e das respensabilidades dos agentes de tratanento previstas na LGPD, 6 mportante a formalzagao os direitos e deveres de parceiros comerciais e prestadores de Seniga, através de contratos, ‘com aidentificacdo das funcdes de controlador e operador dos dados pesscais. Bet) ra ‘Accapaciteeao ‘010 tipo de investimento mais citado. 55% dos entrevistados responderam que investiram recursos para se adequarem legislacao, Aimplemertacao de poliicas ea deinicao de estrutura de governanga corporativa ajudam no proceso de acuturamento, porém a ‘apacitagéo continua & elemento chave no desenvolvimento de programas de orivacidade que auxiliam na adequagdo e implementacéo da Lei As institucbes representativas das categories podem aurliar sobremansira neste prooesso de cepaciaca0. esos (5 dados coletados intemamente sto os de maior incidéncia (34%), sequidos dos de origem ‘extema (30%). A heterogeneidade dos dados coletados pela agropecuaria extrapole essa simples conceituacéo, infera ou externa. Dados de telemetria, agrondmicos, de imageamento aéreo eestatistoos também foram citados, Olimite conoeitual da abrangéncia do dado pessoal fator de preocupaagaoe ctico para a operagao segura eo continua provesso de inovayao. 56% dos respondentes entendem que adequar-se& LGPD tem como principal fino alendmento de obrigagdo legal/tegulatéria © as regras introduzides por essa le difcultam a operacéo da empresa @ encarecem o negéci. Da mesma forma, 44% entendem que a LGPD traz SOE) ‘portunidades de inovago ¢ agrecagao de valor ao negdcio. Hauma visdo legelista e que pode LePo ser justificada pela vigéncia recente da legisiagdo e por 1/3 dos respondentes ainda ter pouco conhecimento sobre a LGPD. A cepacitagdo, @ goverranga corporativa @ a imalementacdo de politicas auxiiam na mudanga da visdo das pessoas, contibuindo com a alteagdc da cultura organizaconal {0% dos respondenies adotaram oque a norma legal impSe, reaizando a nomeagao de pessoas Ae fesponsaveis pelo tratamento de dados pessoais. Essa atitude corrobora com a visao legalista EISTict am de cumprmenio de lei, porém demonstra-se como um fator positive de preocupagao em adequar-se Fonte: elaboracto pripria part dos resultados da pesquisa, "hs sondagens foram fetes anterarmente& pubicagio de Resolugio CDIANPD ri 2/2022 é Brasscom>Ce Wed RST DCL ny ALGPD @ uma lei federal, com abrangéncia nacional e eleance extraterritorial. Ela ostabolece regras para 0 tratamento de dados pessoais tanto para insituigSes piblicas quanto privadas, sendo aplicavel ao tratamento realizado em meio fisico (em papel) elou digital (através de sistemas). Dentre os objetivos da LGPD, podemos ctar o equilibria entre a protecdode dados e odesenvolvimento econdmico e tecnolégico ea inevacao, No meio rural, a LGPD se torna importante devido &crescente digtalizacao da agropecuaria & a0 consequente aumento da quantidade de atividades que dependem do tratamento de dados pessoais. A implementacao de maquinas sensorizadas, o uso de drones e outras ferramentas capazes de monitorar © geolocalizar pontos da unidade produtiva, operacdes remotas de gerenciamento de cultivo e colheita, asim como atividades rotineiras de compra e venda de insumos agricolas prescinde da utilizagéo de dados pessoxis. ‘Assim, para cumprimento das regras introduzi- das pela LGPD, € essercial a compreensao dos principais conceitos desta ei, descritos aseguir 4.1 - Dado pessoal Dado pessoal toda informagao relacionada & pessoanatural identiicada ouidentificavel. eas CT ae Re Sp SULT ate see Ree Ue lee COS SS en RU CR SSL) PCRS REC Mn Cy Ue eRe RUT ey DO An RL DRC RSC) Ce URL Ce ATENGAO: ‘© O conceito de dado pessoal néo é limitado. Por esse razdo, para os dados que ndo sejam pesscais na ‘rigem como por exemplo os dadcs georreferenciados, mas que cruzados com outras informagdes permitem a identificagao do titular, a boa pratica é que tenham o mesmo tratamento dos demais dados essoais. ‘¢ Dados anonimizadas, ou seja, que nao identificam um individuo, nda devem ser considerados dados pessoais; é Brasscom>‘e Datos pseudonimizados s40 aqueles que, apesar de sua aparente anonimizagdo, conservam a possibilidade de identificagao de um individuo a partir do uso de informacao adicional mantida pelo agente de tratamento. Assim, continuama ser considerados como dados pessoais; ‘ Tratamento de dados disponiveis em bases de dados publicamente acessiveis estéo dentro do escopo dalLGPD, devendo ser tratados de acordo com as regras que estabelece. Exemplo 01: dados pessoais A’Equipamentos do Campo Ltda,” ¢ responsavel pela fabricagao de maquinas agrcolas “nteligentes”. Os equipamenios ganharam destaque no mercado em razao de seu sistema integrado de telemetria, que possibilita ao produtor, como & o.caso do senhor Antonio, acompanhar, em tempo real, a produtvidade da maquina, acessando, por exemplo, a velocidade de operacao e operiodo em que amaquinaficouinaliva. Por meio dessas informagSes, 0 senhor Anténio avalia a produtividade de seus funcionérics, remuunerando-os de acordo com o rendimento obtido, Considerando que as informagées extraidas da maquina agricola ~ se associadas a outras informagoes - sao capazes de identificar o operador da maquina agricola responsavel. Nesse contexto, devemos considerd-las como dados pessoais. Existem situagdes nas quais um dado que, em importante considerar que, os dados que possem levar & principio ndo permite a identticagao de um ndividuo, identficagao de um titular, quando examinados em ‘quando tratado em conjunto com outros dados coleta-dos, _conjunto com outros, séo dados pessosis e, portanto, permite aidentficardo de um titular espectico.Portarto,é _estéo submettdos ao regime da L.GPD. Exemplo 02: produtor rural como titular de dados © serhor Anténio, responsével por sitio dedicado ao cultivo de culturas diversas, como hortaligas, frutas e mandioca, resolve cadastrar-se como um microempreendedor individual, faciitando 0 acesso a cradito, a abertura de conta bancéria ea emissao denotas fiscais. Em paralelo, a empresa Plante Saudavel tda", responsavel pela fabricapao de detensivos agricolas, realiza mapeamento de todas as empresas agricolas da regio onde atua, coletando iniormacées relativas ‘a0 negocio conduzido pelo senhor Antonio. © senhor Anténio, preocupado com a utlizagao de seus dadas, resolve entrar em contato com a empresa Plante Saudavel, solicitando, com bese na LGPD, acesso as informagées que referida empresa mantén sobre ele. Diante de tal solicitacao, a empresa Plante Saudavel apresenta resposta, dizendo que as informag6es mantidas sob sua guarda nao esto sujeitas ao escopo da LGPD, pois se referem exclusivamente a recém- instituida empresa do senhorAnténio. Aresposi da ampresa Parte Saudevel est incaeta A caraerizagao de estar sujet ou no & LGPD depende somente da natureza dos dados que foram coletadcs. Assim sendo, os dados pesscais do senhor Anténio poderdo ser, por ele, solicitados.4.2 Tratamento de dados pessoais De acordo com a LGPO, toda atividade realizada com dados pessoais pode ser definida como tratamento, incluindo a coleta, o armazenamento, a classificagao, a utilzacéo, a distribuigéo ou a eliminagao. Assim, a coleta de dados de clientes, a realizago de agdes promocionais, o relacionamento com parceiras comerciais @ 0 monitoramento de colaboradores, inclusive por meio do uso de ferramentas de telemetria, so exemplos de atividades que constituem tratamento de dados pessoais As empresas, piblicas e privadas, que coletam dados dos clientes, enviam informagies, realizam ages promocionais, mantém dados dos trabalha- dores € fazem gestéo da foha de pagamento de salério, por exemplo, devem estar adequadas & LGPD. 0 tratamento de dados pessoais pode estar ‘em meio fisico (documentos pessoais fisicos ou contratos em papel) ou digital (arquivos digitalizados), Exemplo 03: tratamento de dados pessoais Otigorfico "Carne no Ponto Ltda’, empresa familar de médio porte, é conhecito por possuirestatégia arrojada de relacionamento com pecuaristas de sue regio, Para otimizar tal relacionamento com esses pecuarstas, a empresa decide realizar pesquisa de campo para compreender a capacdade de produgéo de cada potencial ‘omecedor. Para a realizacao dessa pesquisa, sao coletados dados pessoas do pecuarsta e de seus familiares préximos. Em um primeiro momento, a empresa Came no Ponto Ltda define que tals informagdes serdo apenas armazenadas, em seguranga, para utlizacao futura. Assim, a empresa Came no Ponto Ltda entende que no haveria, por enquanto, raz0es para aplicacao da L GPD 2 essa atividade de armazenamento de dados. A afirmacao esta incorreta, pois 0 tratamento de dados pessoais inclui qualquer tratamento realizado com essas informacoe: realizar essa at inclusive a coleta e o armazenamento de dades. Dessa forma, a0 lade, aempresa esta sujeita a LGPD, 4.4 - Dados pessoais sensiveis Sao clessificados como dados pessoais sensiveis, de acordo com a LGPD, dades sobre origem racial ou etnica, conviogao religiosa, opiniao politca, filiagéo a sindiceto ou a organizagao de caraier relgioso, filoséfico ou poltico, informagoes 4.3 - Amplitude do termo “dado pessoal” ALGPD traz uma definigao bastante ampla de dados pessoais, abrangendo as informagdes que efetivamente identficem, assim como as que podem vir @ levar a identificagdo de uma pessoa, Nesse sentido, muitas atividades do setor agropecuario podem acabar abarcadas pelo conceito, tais como sensoriamento remoio, dados georreferenciedos, telemetria, rastreabilidade do processo produtivo, acesso a crédito, datos das operagées ou ainda informagdes sobre o solo, praticas de manejo variedades cultivadas, suas caracteristicas etc. sobre a satide ou a vida sexval, dado genéticos ou biométricos, sempre que vinculados a uma pessoa natural. Os dados pessoais sensiveis possuem potenciel de gerer discriminagdo e, por al azo alei @ mais rigorosa quanto ao seu uso. € Brasscom>Atenga Ha que se tomar cuidado para que o tratamento de dados pessoais nao sensiveis nao extrapole as finalidades originais, de tal sorte que certos dados sujeitos ao tratamento venham a ser caracterizados comodados pessoais sensiveis. © Como por exemplo, aANPD dispde, em guie orientativo, que, a partir de uma foto ¢ possivelinferirdados pessoas ceneWveis, mas sea finalidade ndo for para tratar dado sensivel, como 6 o caso da coleta para biometria, entdo podera ser tratado como dadopessoal nao sensivel. —eEeE>E~_—_—EEEEEE SSS Exemplo 04: dados pessoais sensiveis Nointeriordo Estado de Sao Paulo, uma nova fraude é noticiada em jornais da regio. oorre que operadores de maquinas agricolas estariam alocendo terceiros para executarem suas terefas, transferindo suas responsabiidades em troca de uma parte do salério pago pelo produtor. Com essa pralica, passava a ser possivel o operador prestar servigos em mais de uma fazenda ao mesmo tempo. Em resposta a esse cenério, a empresa “Inove Agro Ltda" langa um novo equipamento, capaz de re reconhecmento facial do operador, possibilitando sua identificago, evitando assim a pratica de raudes. Arecomendagao é que o produtor encaminhe 4 Inove Agro fotos de todos os operadores de maquina a seu Servico, para que seja realizado o cadastro prévio dos dados biométricos faciais, criando-se assim a base de dados que permitiréo processo de identificagao, Em concluséo, ainda que uma simples foto nao deva ser considerada de forma absoluta como um dado pessoal de natureza sensivel, no contexto analisado, levando-se em consideracdo a intencéo dos agentes de tratamento (Inove Agro e produtor), as fotosutilizadas devem serconsideradas como dados pessoais sensiveis, 4.5 - Controlador e Operador Soagentes de tratamento os controladores @ 0s operadores de dados pessoais, os quais podem ser pessoas naturals ou juridicas, de direito publico ou privado ¢ que devem ser definidos a partir de seu caréter institucional. O agente de tratamento (controlador ou operador) é a instituigao e no uma ‘reaou um funciondrio da referida instituigao. A definigao do papel acupado pelo agente de tratamerto (se controlador ou operador) deve ser avaliada caso @ caso, para cada operacdo de tratamerto de dados pessoais. Nesse sentido, 0 mesmo agente poderé ser considerado como controlador em uma determinada atividade e operadorem outra. De acordo com a Autoridade Nacional de —_envolvimento de operadores. Protegao de Dados —ANPD, 0 controlador de dados é Os operadores, por sua vez, podem serdefinidos aquele responsavel por tomar as principals decisoes © como agentes responsaveis por realizar o tratamento referentes ao tratamento de dados pessoais, como a de dados pessoais em nome do controlador. Assim, é finalidade e as instrugdes para o eventual _possiveldizer quea principal diferenga entreo é Brasscomcontrolador @ operador reside no poder de —_envolvendo dados pessoais. decisdo desses agentes. Do operador de dados, por sua vez, esperase 0 Denire os deveres do controlador esto: a cumprimento das instrugdes do controlador e 2 elaboragao co relatorio de impacto @ protagdo de _definicdo de elementos nao essenciis do tratamento, dados (documento dedicado a descrigéo de comomedidas técnicas de seguranca, processos que possem gerar riscos és liberdedes A relagéo controlador-operador se estabelece civis e/ou direitos fundamentais de individuos e as por intermédio de um contrato. Apesar de a LGPD nao respectivas medidas mitigedoras), catendimentodos _ser express quanto a utlizagdo de contrato, 0 uso direitos assegurados aos titulares de dados, a das clausules contratuais é considerado uma boa nomeacéo do encarregado pelo tratamento de dados _pralica para que as partes possam resguaidar seus @ a notificagdo tanto da ANPD como de titulares de. direitos @ obrigagées, buscando mitigar riscos ¢ dados afetados por incidentes de sequranca _divergéncias. Atengao: © Pessoas naturals queatuam como profissionals suboidinados a uma pessoe juridica so colaboradores e nao controladores ou operadores; Nao é esperado que o controlador tome todas as desis6es relacionadas 20 tratamento de dados passcais. O agente deve definiros elementos essenciais da atividade, como a finalidade, a netureza dos dados 0 periodo de duragdi do ratamento; ¢ O agente que realiza um tratamento de dados para fins de cumprimento de obrigagdes legais podera estar atuando come controlador. Exemplo 05: definicdo de controlador e operador A indistia “Café com Lette’, responsével pelo prosessamento de lkite, contrata a empresa de logistica “Carga Certa’ para coletar 0 produto de pequenos produtores(rricroempreendedores individuals) da regido. Para tanto, a Café com Leite transmite 4 Carga Certa o nome completo e numero de telefone desses produtores, definindo como e por quanto tempo essas informagdes serdo tratadas.. A empresa Carga Cetta nio utliza as infornagies transmitidas pela Café com Leite para outras finalidades que nao as definidas no contrato de prestagao de servicos de logistica. A Café com Leite atua como controladora de dados pessoais, uma vez que define a finalidade da atividade e as responsabilidades da empresa Carga Certa, a qual, por sua vez, desempenha papel de operadora de dados. Exemplo 06: definig¢ao de controlador e operador Maximiliano é responsdvel pela fazenda “Bons Cantos’, vollada produgao de soja. Atento as novidades do mercado e aos beneficios da agrcultura de precis4o, Maximiliano contrata a empresa “Tecnologia de Ponta’, que licencia software de gestéo voltado a maximizera produydo. 0 referido sofware é alimentado por informagdes historicas inseridas pelo cliente e demais dados coletados a partir de sensores inslalados om colheitadsiras, plantadoiras, pulvetizadores e drones uilizados na propriedade. Dentre as informegdes incluidas nesse sistema de gestéo esto dados pessoais, inclusive de operadores das maquinas utlizadas durante ocultivo, ‘Aempresa Tecnologia de Ponta define quais dados devem ser inseridos no sistema quai medidas de seguranga serao aplicadas, Ainda, a empresa Tecnologia de Ponta airma que essas informagdes podera0 sef utlizadas para finaldades secundarias, como 0 desenvolvimento de novas funcionalidades para a ‘erramenta de gestéo ou novos tratamentos que redundem em aumento da produtvidade ‘Ambas as empresas desempenham papel de controladoras de dados, haja vista que as decisdes essenciais do tratamento, como a finalidade, a natureza dos dados e o tempo de duragéo sio compartilhas4.6 - Encarregado de datos Conforme o artigo 41 da LGPD, o controlador de dados devera indicar um encarregado pelo tratamento de dados pessoais. O encarregado ¢ a pessoa fisica ou juridica responsivel por garantir a conformidade de uma organizagéo, publica ou privada, a LGPD, Tambem é 0 responsavel por atuar ‘como canal de comunicagao entre 0 controlador, os titulares de dados e aANPD. ALGPD pemite que o encartegado seja pessoa fisica ou juridica, pertencente a organizagio ou agente extemo. As caracteristices do encarregado devem ser definidas mediante um juizo de valor realizado pelo agente controlador que o indica, considerando conhecimentos de protecao e privacidade de dados, seguranca da informagao e nivel de conhecimento daatividade desenvolvida pela organizagao. A.ANPD recomenda que o encarregado seja indicedo por um ato formal, como um contrato de prestacdo de servigos ou um ato administrativo Também considera importante que o encarregado tenha os recursos adequados para realizagao das suas atividades, Mesmo que a LGPD nao impega que um mesmo encarregado atue em nome de diferentes organizagies, é inerente que seja capaz de realizar suas atribuigdes com eficiéncia e independéncia. E importante selientar que a responsabilidede pela protegao de dados é, por regra, da empresa, conforme estabelece o art. 42 da LGPD. A responsabilidade do encarragado limita-se ao exercicio de svas fungdes perante a empresa. ATENGAO: Cabe salentar que as responsabilidades pelas alividades de tratamento de dados pessoais néo so de competéncia do encarregado de forma pessoal, ou seja, os deveres e as atribuigdes so sempre do controlador ou do operadorde dados. 4.7 Bases legais De acordo com a LGPD, toda atividade de tratamento de dados pessoais deve estar amparada em uma base legal. S20 estabelecidas 10 hipoteses para 0 tratamenio de dados pessoais e 8 hipéteses para o tratamento de dados pessoais sensiveis. Todas as hipéteses de tratamento de dados pessoais possuem o mesmo grau de importincia, devendo ser analisadas e identifcadas conforme o contexto da atividade de tratamento. Na pratica, nenhuma base legal tem prioridade em detrimento de outta, devendo ser definida de acordo com a finalidade do tratamento e a natureza dos dados pessoais envolvidos 4.7.1. - Consentimento O consentimento deve ser usado em situacdes espectficas, como por exemplo quando a LGPD expressamente determinar 0 uso desta base legal, podendo ser utilzada para o tratamento de dados pessoais © dados pessoais sensiveis. Importante Aseguit, abordaremos orientagdes especticas sobre as bases legais do consentimento, legitimo interesse e execupao de contratos e/ou diligéncias prévies, dadas as suas peculiridades ¢ recorréncia de utlizagdo. Contudo, a LGPD apresenta outras 7 bases legais que podem justificar 0 tratamento de dados pessoais, sao elas: 0 cumprimento de brigagao legal ou regulatoria (art. 7°, I), a execugo de politica publica pela administracao publica (ar. 7°, Ill), realizag&o de estudos por érgdos de pesquisa (art. 79, 1V); exercicio regular de direitos (art. 7°, VI); protecdo da vida (art. 7°, Vil); tutela da sade (art. 7°, Vill);e protegao aocrédito (art. 7°, X), destacar que essa hipdtese nao é prioriaria em relagao as demais bases legais. © consentimento é entendido como a rmanifestapao ivre, informada e inequivoca pela qual titular concorda como tratamento de seus dados é Brasscom>pessoais para uma finalidade determinada, Ao indicar que 0 consentimento deve ser livre, a LGPD determina que o titular deve ter liberdade no processo de decisdo, assim como deve ser informado. O titular deve ter acesso as informagdes necessaries & suficientes para conseguir avatar em que contento para quais finalidades seus dados sero tratados. Deve ainda ser inequivoco, visto que o processo de tomada de decisdo deve ser claro, sem qualquer tipo de divida por parte dotitular de dado. ‘Alem cisso, 0 consentimento no pode ser genérico, ou seja, um consertimento obtido por um agente de tatamento néo pode ser amplamente aplicado para qualquer outra atvidade. sua.utlizagao, ATENGAO: Oconsentimento pode ser rtirado pete titular « qualquer momento. Essa condigao impde desafios para 4.7.2 - Legitimo Interesse De acordo com a base legal do legitimo interesse, 0 tratamento de dados pessoais pode ser realizado quando necessério para atender a interesses legitimos do controlador ou de terceiros, desde que tal pratica ndo exceda os direitos liberdades fundamentais do titular de dados, AA base legal do legitima interesse pode ser aplicada em uma ampla diversidade de atividades e modelos de negécios. Em sintese, para que o agente possa se valer da base legal do legitimo interesse, este deve identifcar um interesse especifico para 0 tratamento de dados (que pode ser de natureza comercial) cue nao se sobreponha de maneira desproporcional aos direitos ¢ interesses dos ttulares de dados envolvidos. Para tanto, os agentes de tratamento devem se ater zos seguintes requisites de aplicagao do legitimo interesse: + O legitimo interesse nao 6 aplicével a0 tratamento dedados sensiveis. * O tratamento deve perseguirfinalidades legitimas (néoilicitas) + Novas finalidades do tratamento deverdo passar por novos testes de balanceamento para a utiizagao da base logal dolegitimo interesse. * Deve-se perseguir gray méximo de minimizagéo de dados, para uso daqueles indispensaveis 4 atividade suportada pelo legitimo interesse. + 0 agente deve adotar elovado grau do transparéncia nas operacées de tratamento que envolvam a base legal do legitimo interesse. Além disso, a utilzagao da base legal dolegitimo interesse deve ser precedida de uma andlise documentada deriscos, ja queé possivel que aANPD solicte ao controlador a apresentagao de relatirio de impacto a protegao de dados. Nesse sentido, aLGPD tambémtraz obrigagao noart. 37, do controlador e da operador manterem registro de operagdes de tratamento de dados pessoais, especialmente ‘quando baseadona base legal do legitimo interesse. Um exemplo sobre a utlizagao adequada da base legal de legitimo interesse ¢ no caso do uso de dados por uma empresa para fazer ofertas mais adequadas e personalizadas para os seus clientes. usando apenas os dados estitamente necessarios para tal. Ointeresse do controlador nesse caso pode ser considerado legito, pois nao houve desvio de finalidade © n&o parece impactar de maneira ‘exacerbada nos direitos lberdades dotitula.4.7.3 Execugao de contrato O tratamento de dados pessoais baseado na execugao de contratos e/ou dilgéncias prévias assegura a possibilidade de tratamento de dados pessoais quando necessério para execugio de alividade prevista em contrato jé firmado, de que o ttularseja parte, ou para assegurar a execugao de procedimentos preliminares 4 execugaodeste instrument. Exemplo 07: enquadramento de bases legais ‘A empresa “Semear’, responsavel pelo desenvolvimento de sementes, pretende expandir suas ‘operagdese, para tanto, planeja contratar novos colaboradores. Em razo da entrada em vigor da LGPD, a empresa contrata consultoria juridica para prestar apcio nese processo. A consultorajuridica, em andlise preliminer, orienta a empresa a colelar o consentimento de todos os novos colaboradores contratados, de forma a permittir 0 amplo tratamento de dados pessoais cdesses individuos dentro da futura elagdoentre empregador e empregado, Nesse caso, o consentimento nao pode ser considerado como base legal aplicavel, pois: ‘© Amanifestagio nao é livre: o colaborador néo encontta liberdade para declinar otratamento de seus dados pessoais, sem tomer que tal decisao Ihe cause consequéncias negativas; e © A autorizacio é genérica: considerando as diversas atividades de tratamento realizadas pelo controlador com os dados pessoais dos novos colaboredores, eventual autorizagao singular para 0 tratamento de dados poderia ser considerada genérica e, portanto, nula. No mais, as alividades de tratamento realizadas com os dados pessoais dos novos empregados podem encontrar respaldo em outras bases legais da LGPD, como a execugdo de contratos elou procedimentos preliminares (art. 7°, Vda LGPD), para alividadesrelacionadasas obrigagdes estabelecidas ‘em razo do vinculo empregatico, ou o cumprimento de obrigacdes legais elou regulatérias (art. 7, II da LGPD), como atencimento de nomativos do Ministériodo Trabalho ou, ainda, interesse legtimo (art 7°, IX daLGPD), para alividades gerenciaisdiversas, Exemplo 08: enquadramento de bases legais O agrcultor Jodo de Sa identiicou que a lavoura de soja foi acometida por percevejos. O agrénomo da propriedade emitiu um receituario agrondmico para a aquisigao de defensivos fitossanitarios, assim 0 produtor fel atéa revenda mais proxima e comprou o produtorecomerdado. Arevenda solctou alguns dados para fins de cadastro, emisséo da NF e entrega da mercadoria na fezenda. Por obrigacao legal, a revenda deve manter 0 receituario armazenado para fins de fiscalizag Também acrescentou, no seu sistema de CRM, informegdes sobre area da fazenda acometida pela praga, cultura(s) plantada(3), einformagSes especificas do cliente. Nessas situagdes, a revenda, ao manter esses dados em base de dados armazenados de acordo. com medidas técnicas e administrativas que garantam a seguranca da informacao (podendo ser fisico ou digital) atua em consondncia tanto com a lei que regulao uso de agrotoxicos quantocoma LGPD. A utilizagao dos dados do agricultor para iniciativas de prospeccao da revenda podera ‘ocorrer, em principio, mediante a utilizagéo da base legal do legitimo interesse, observados os Tequisitos legais. é Brasscom >4.8 Direito dos Titulares Os direitos dos titulares, criados pela LGPD, so. um pilar essencial do arcabougo leaislativo sobre dados pessoais no Brasil, sem os quaisa efetivicade da tutela,almejada pela Le, seria comprometida Dessa forma, além de reguiamentar as direrizes que ‘as empresas € organizagdes devem seouir a0 usarem cdados pessoais, a LGPD assegura os direios dos titares cdesses dados, dente os quas destacem-se: ae r Y AG, OE | a O exercicio desses dirsitos pode ser solcitado, a qualquer momento, pelo titular de dados e/ou representante cevidamente habllitado, Nesse contexto, o controlador deverd implementar edivugar ‘meios para 0 recebimento das solicitagdes do titular, garantindo a verficacéo daautenticidade destas, Quanto aos prazos, a LGPD prevé, de maneira geral, que as respostas simplificadas devem ser dadas imediatamente as respostas completas em até 15 dias. Entretanto, e ANPD ainda pode regulamentar tais prazos de forma distinta para setores especificos ATENGAO: Os direitos assegurados pela LGPD nao sto absolutos, ou seja,o exercicio dessas garantias denende da avaliagdo de eventuais impedimentos técnicos e/ou juridicos. Em caso de impossibilidade de atendimento das solicitagbes, o controlador deve fornecer justificativa ao titular de dados e/ou representante solicitante. Adicionalmente, a ANPD apresentara, por meio de regulamentagao especifica, esclarecimentos sobre o exercicio desses direitos, conforme previstona LGPD. 4.9 Incidentes de seguranca ALGPDadoia a premissa de gestao de risco. Os agentes de tratamenio de dados pessoais devem adotar medidas técnicas e administrativas de seguranga, aptas a proteger os dados pessoais de acessos no aulorizados, situagdes acidentais ou ilictas de destruipdo, perda, alteragéo, comunicagao ‘ou qualquer forma de tratamento inadequado. E da natureza da seguranga da informagéo que ‘acessos indevidos a dados poderao ocorrer. O que a LGPD exige em consonancia coma legislagdo de é: Brasscomyprotego de dados de intimeras jurisdiodes - & ‘Aseguranga da informagao é uma pré-condigéio que as organizagbes adotem as medias possiveis, um diferencial competitivo quando se contrata considerando 0 contexto do tratamento de dados,a _servigos de empresas provedoras, porém a sua natureza e finalidade, para evitar que incidentes _responsabilidade nao se transfere e caso incidentes ‘ocorramou, em ocorrendo, mtigaro seu potencial de de. seguranga ocorram, as medidas de mitigagéio dano aos titulares de dados pessoais. estaocontempladas nal GPD. O que fazer em caso de um incidente de seguranca com dados pessoais? eee een se i oS Ben egReX eNO Sa eirseeiaiaNeD 4.10 Papel dos agentes de tratamento Espera-se que todos os agentes de tatamento _sugestéo de checkist rientativo cortendo aspraticas de dados pesscais, independentemente do porte, minimas a serem consideradas pelos agentes de faturamento ou complexidade das operagbes, devam —_tratamento para adequagéo de seus processos as adotar medidas que assegurem 0 atondimento dos regras da LGPD, nao eximindo os agentes a deveres e responsabilidades estabelecidos pela —_implementarem medidas complementares e/ou LGPD, diversas, a depender de suas caracteristices e Assim, nesse tOpico, apresentamos uma _particularidades: © Registrar e manter atualizado inventirio de operacées de tratamento de dados pesscais: conforme previstono artigo 37 da LGPD, os agentes devem possuir registro das atividades de tratamento. que realizam com dedos pessoais, devendo, ainda, assegurar a implementag3o de processo que assegure constante atualizagao desses registros ‘ Implementar regras de governanca para tratamento de dados pessoais: conforme previsto no artigo 50 da LGPD, é recomendavel que os agentes de tratamento conten com regras intemmas pera 0 tratamento de datos pessoais. As referidas regras podem ser estruturadas na formato de politicas, procedimentos e/ou normas interias e devem abordar temas diversos, como o procedimentoaplicavel em casode ocorréncia de incidentes de seguranga envolvendo dados pessoais Assegurar divulgacao de informagdes de transparénciaaos titulares de dados: conformeprevisto 108 6, VI e 9°da LGPD, os agentes de tratamerto deve divulgar informages aos tivlares de dados, visando o etendimento zo principio da transparéncia, informando-os sobre: (i)as fnalidades para é Brasscomtratamento de dados pessoais; (i) forma e duragao do tratamento; (ii) identidade do controlador; (iv) informagGes de contatodo controlador; (\)informacdes sobre o compartihamento de dados pessoa’; (vi) informagdes sobre as responsabilidades dos agentes que realizaram o tratamento; (vi) drettos assegurados eos titulares de dados. ‘ Selecionare nomear encarregado pelo tratamento de dados: conforme previsto nos artigos §°, Ile 41 da LGPD, os agentes de tratamento devem selecionar e nomear formalmente a passoa responsavel por zelar pela protegio de dados pessoais. Ao encaregado deve ser assegurada autonomia e independéncia para condugo de suas atividades, que incluem, por exemplo, a comunicacao com aANPD ¢ titulares de dados @ a realizacdo de treinamentos e medidas de conscientizacio sobre privacidade @ protego de dados. Ainda, caso a pessoa selecionada para atuar nesse cargo ja desempenhe outra fungéo, é necessério avaliara existéncia de confito de interesses. ‘* Realizar treinamentos emedidas de conscientizacao: outra importante medida que contrbui paraa cficdcia de um programa de privacidade e protegao de dados ¢ erealizagao de treinamentos e medidas de conscientizagéo, assegurando compreensdo dos concaitose regras minimasrelacionadasao tema ‘© Monitorar aeficdcia dasmedidas adotadas para adequacao a LGPD: além de implementer medidas para adequar-se as regras da LGPD, é necessério que os agentes de tratamento implementen método que permita avaliar a efetvidade dessas medidas, garantindo a possibilidade de demonstragao da eficdcia do programa, assegurando, se necessario, a execugo de agdescomplementares 4.11 Papel da ANPD A LGPD cria a Autoridade Nacional de Protegao de Dados - ANPD, érgao da administragao piblica, integrante da Presidéncia da Republica que tem como principal objetivo assegurar a protegio de dados pessoais e efativa aplicagéo da LGPD. E competéncia da ANPD, por exemplo, a publicagdo de resolugdes sobre protegdo de dados, bem como fiscalizagaoe aplicagao de sangdes em caso de traiamento rregulr. AANPD tem, entre suas misses, a promogao cde medidas visando a orientagao e conscientizagao dos agentes de tretamento, tituiares de dados demais integrantes ou interessados no tratamento de dados pesscais. ‘A Autoridade elencou em seu Planejamento Estratégico para os anos de 2021 a 2023 as seguintes prioridades: (a) promover o fortalecimen- to da cultura de protegao de dados pessoais; (b) estabelecer ambiente normative e eficaz para a protec4o de dados pessoais; e (c) aprimorar as condigdes para 0 cumprimento das competéncias legais, é Brasscom4.12 Fiscalizagao e aplicagao de sancoes ‘AResolugo CD/ANPD n? 1/2021, regulamen- taoprocessode fiscalizacéo e o processo administra- tivo sancionador no émbito da ANPD. A Resolugéo objetive detalhar a aplicagao des sancdes administrtivas, de competéncia exclusiva da ANPD, previstas na LGPD, que vigoram desde 1° de agosto de 2021. As sangSes variam de adverténcia a multa no valor de até 2% do faturamento anual da empresa, limitado a RS 50 milhdes por infragdo. O proceso administrative gerante 0 contraditério e a ampla defesa, A fiscaizagéo da ANPD promoverd, junto aos titulares de dados e aos agentes de tatamento, o conhecimento das normas e das politicas publicas sobre protegéo de dados pessoais e das medidas de seguranca, de forma a disseminar boas praticas, nos termos da LGPD. Os agentes regulados submetidos a fiscalizagao da ANPD tém, entre outros, os seguintes deveres: fomecer copia de documentos para a avaliacdo das atvidades de tratamento de dedos pessoais; permitir 0 acesso as instalagdes, equipamentos, aplicatvos, sistemas, ferramentas e recursos tecnologicos, documentos, dados 4.13 LGPD e agentes de pequeno porte ‘A Resolugéio CD/ANPD r? 2/2022 regulamenta © tratamento juridico diferenciado da LGPD para agentes de tratamento de pecueno potte, incluindo startups. A ANPD dedicou atengao especial aos agentes de pequeno porte por reconhecer suas dificuldades e desafios de implementagao, A requlamentagao respeita as parlicularidades ao cumprimento da LGPD, equilbrando a viablidade operacional ¢ de recursos das pequenas empresas com a efetivagao dos direitos e das liberdades dos tituleres. A definigaio do agente de pequeno porte, estabelesida na Resolucdo, abarca microempresas, empress de pequeno porte, startuos, pessoas jurigicas de direito privado, inclusive sem fins jucrativos, bem como pessoas naturais e entes privedos despersonalizades que realizam tretamento de dados pessoais, assumindo obrigagées tipicas de controlador ou de operador. informagdes para a aveliaggo das atividades de ‘tratamento de dados pessoais, em seu poder ou em poder de terceiros; possibilitar que a ANPD tenha ‘conhecimento dos sistemas de informago utilizados para tratamento de dados e informagoes, bem como de sua rastreabilidade, atualzagio e substituicéo; submeter-se a auditorias pela ANPD; manter documentos e informacdes por prazo necessariopara atendimento de legislago ou regulamentacao ‘espacifica, bem come durante o tempo de tramitagao de processos administrativos; e disponibilizar, sempre que requisitado, representante apto @ oferecersuporte a atuagao da ANPD. © processo administrative sancionador se desiina & apuragao de infragdes a legisado de protegao de dados de competéncia da ANPD. O processo podera ser instaurado, a qualquer tempo, porato da ANPD: i) de oficio (por iniciativa da propria Autoridade); (i) em decorréncia de proceso de monitoramento; ¢ (i) diante de requerimento em que a ANPD, através da Coordenacéo-Geral de Fiscalizagao, deliberar por suaabertura.As principais diferengas com relagao aos agentes de pequeno porte sa 4+ Simplicagao do Registro de Operagbes de Tratamento (ROPA ou Inventério). AANPD fornecera modelo; 2+Procedimento simpificado de comunicagao de incidentes de seguranga, que contara com regulamentagéio specifica a ser publicada pela ANPD; 3+ Estabelece, via deregra, a dispensa da obrigatoriedade de nomeacao do Encarregado (Data Protection Officer ou DPO), devendomanter apenas canal de comunicagéo para oexercicio dos direitos dos titulares. Ainda assim, caso oagente de pequeno porte opte pela nomeagao do DPO, a indicago sera considerada boa pratica de governanca pela ANPD; 4+ Possibilidade de simplificacao da Politica de Seguranga da Informagao, contendo os itens essenciais para a protego dedados pessoais ecasos deincidentes de seguranga; ¢ ATENGAO: politica simplficada deve levar em considera¢ao os custos de implementacao, bem como a estutura, aaescala €0 volume das operagbes do agente de tratamtentode pequeno porte, bem como asensibilidadee acritcidade dos dados tratados dante dos diretoseliberdades do titular 5 + Prazo em dobro para resposta és requisigdes dos ttulares de dados e realizado de comunicagdes em caso de incidentesde segurance, observada @ regulamentagao propria a ser publicada sobre o temapelaANFD. ROU MA a Lec) Le) 5.1 Andlise da sondagem aos subsetores e recomendagées Diante das resposias obtidas a partir das de consirugéo de provessos e conscientizapao ja na sondagens realizadas.aos varios setores atuantesno fase de implementagdo; iii) tratos culturais setor agropecuatio (vide item 3), houve acaracteriza- _evolugées e desenvolvimentos continuos de a0 dos problemas, dividas e insegurancas _oportunidades e ajustes anos a implementagao; ¢ iv) levantados acerca da apicagio da LGPD. Foram, colheita: resultados da jornada da LGPD. As entéo, agrupados nos conceitos: i) preparo da area: —_recomendagdes partiram das analises da LGPD, das aspectos relacionados & sensibilizegao, capacitagao —_pralicas empresariaise da minimizagao de esforgos e © conhocimento sobre a LGPD; i) plantio: aspectos _potencializago do resultados. ETAPAS PROBLEMA RECOMENDACOES Preparo do soloPreparo do sole ‘Tratos culturais Tratos culturais Tratos culturais Tratos culturais G@AsBraAP Brasscomy‘Tratos culturais ‘Tratos cutturais OR HTN ar teelSUEIKY presente material possui caraternformativo © orieniativo, trazendo informagées sobre a aplicabllidade da LGPD ao setor agropecuario. A recente vigéncia da LGPD ainda levarta diividas e incertezas em retagdioa aplicacio dalegistacio. Nesse sentido, mudancas legislativas antes do conhecimento e efetiva apicagao da LGPD so prematuras. Portento, a sociedade deve se apropriar desse conhecimento e, & medida que o Te ieee eee) eee Cee ry Gace Pe ue a seguranga da informacaa, vazamento € tratamento de dados. Realiz Seas te Contraiagdes, que poderao contar com a particinagao de empresas prestadoras de ST ue Cre eto Cate ee Reece ace tat Pee mer) ert ee) 115/2022, para incluir PCC ee cL ce Sec ree TR tae Te aera Sc eee ee) ANPD amadurecimento for sendo consolidado, ajustes poderaoser necessarios. A publicagéo deste material 6 uma contribuiggo do setor agropecuario para a disseminagdo dessa nova norma em vigor e seu conteido se refere a0 momento da sua emisséo. Dessa forma, podera nao se aplicer futuramente, em especial, diante de modificagdes legislativas ou regulatérias emitidas por autoridades competentes,Oden AUTORIDADE NACIONAL DE PROTECAO DE DADOS. Resolugao CD/ANPD N’ 1/202. Disponivel em: < hitpsi//www.in.gov.br/en/web/dou/-/resolucao- ed/anpd-n-1-de-28-de-outubro-de-2021- 355817513#:~:text=A%20ANPD%20promover%C3 %A1%20medides%20visando, constituem%20san% C3%A7%C3%A30%20a0% 2dagente201eguiado > AUTORIDADE NACIONAL DE PROTEGAO DE DADOS. Resolugdio CD/ANPD N? 1/202. Disponivel em: ‘AUTORIDADE NACIONAL DE PROTEGAO DE DADOS. Guia Orientativopara Definicéo dos Agentes de Tratamento de Dados Pessoaise do Encarregado. Disponivel em: , bttps.it. wi ikiThe Right atigo). Acessado em 31/01/2022. CONFEDERAGAO NACIONAL DA AGRICULTURA (CNA). PIB Agropecuério, 2020, 2021. Acessadoem BATALHA, M. O. Gestdo Agroindustrial. Sao Paulo:Atlas, 2001. DAVIS, John H.; GOLDBERG, Ray A. A Concept of Agribusiness. Boston: Harvard University Graduate Schoo! of Business Administration, 1987. Comentérios a Lei Geral de Protecio de Dados pessoais / Alexandre Pereira Bonna ..(et al.) coordenado por Guilherme Magalhges Martins, Joao Vitor Rozatti Longhi, Jose Luiz de Moura Faleiros Junior. -Indaiatuba/SP: Editora Foco, 2022. HERSEY, Paul) BLANCHARD, Kenneth. Psicologia para administradores a teoriae astécricas dalierenga situacional. SoPauio: EPU, 1986. NEVES, E. M.; NEVES, M. F. O doce suco e laranja azeda: a busca de um novo pacto para a icultura. O Estado de Sao Paulo, Sao Paulo, p. 3, 1999 DA SILVA, E. C. Panorama Juridico do Agronegésio. $40 Paulo. Ed, Singular. 2021 Brasscom >