A LGPD NO UNIVERSO DOS LEILÕES RURAIS
Novembro de 2019
Ariane Dias Pereira
Disponível em: https://www.jota.info/opiniao-e-analise/artigos/a-lgpd-no-universo-dos-leiloes-rurais-09112019
Desconhecido por muitos, o mercado de leilões rurais movimenta anualmente cerca de 1,1 bilhão de reais com a venda de animais dos mais diversos gêneros e raças, sendo os mais comuns, os leilões de gado e cavalos.
Os leilões rurais tanto podem ocorrer em um espaço físico, hipótese em que também são transmitidos ao vivo pela TV, como podem ser realizados totalmente online. São, portanto, independentemente do meio, em sua essência, eventos públicos dos quais qualquer pessoa física ou jurídica pode participar.
Na organização e realização dos leilões rurais, atuam empresas especializadas na prestação de serviços de intermediação de compra e venda de animais, as chamadas Leiloeiras.
De um lado, há um vendedor interessado em levar à leilão animal de sua propriedade e, de outro, um comprador interessado em adquirir determinado lote no evento. Entre eles, as leiloeiras, que invariavelmente realizam um cadastro de ambos, seja para cumprimento do contrato de compra e venda, prevenção de fraudes, checagem da identidade e idoneidade das partes, ou até mesmo para envio de catálogos dos próximos leilões.
É comum que, nesse cadastro, as Leiloeiras demandem de ambas as partes o fornecimento de dados pessoais, incluindo nome completo, data de nascimento, CPF, RG, endereços residencial e comercial, e-mail; informações bancárias, além de documentos que comprovem a atividade desenvolvida na qualidade de proprietário rural e a filiação a órgão de representação de classe e/ou associação1. Até mesmo dados de terceiros poderão ser solicitados pelas Leiloeiras para fins de obtenção de referências pessoais, profissionais e comerciais.
Ao contrário do que usualmente se imagina, a base de dados das Leiloeiras não contempla apenas as informações do Comprador e Vendedor, mas também de seus funcionários fixos e profissionais contratados para a realização do leilão, tais como pregoeiro, pisteiros de sua confiança, além dos profissionais da área de transporte que venham a indicar para fins de traslado do animal.
A atividade de intermediação, portanto, se revela uma atividade intensiva em tratamento de dados pessoais de uma gama diversa de titulares. Importante notar que as palavra “tratamento”, nesse contexto, engloba toda operação realizada com informações relacionadas a uma pessoa física identificada ou identificável, inclusive, nesse caso, a coleta, recepção, transmissão, processamento, arquivamento, armazenamento, eliminação e avaliação.
Com a entrada em vigor da Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD), prevista para 15 de agosto de 2020, aqueles que realizam o tratamento de dados pessoais de indivíduos deverão se adaptar à sua disciplina jurídica. O objetivo da LGPD é conferir maior proteção ao titular de dados pessoais, estabelecendo regras, deveres e direitos relativos ao tratamento dessas informações.
Hoje, os regulamentos e políticas de privacidade das Leiloeiras, em muitos casos, não são transparentes em relação às finalidades desse tratamento, as medidas de segurança tomadas para proteção dos dados pessoais sob sua tutela, o prazo de armazenamento dessas informações ou as ferramentas de que dispõem os titulares para exercer os seus direitos.
De acordo com a LGPD, o tratamento de dados pessoais só poderá ser realizado com fundamento em pelo menos uma base legal específica, dentre as dez bases legais relacionadas na norma, tais como o consentimento, a execução de contrato, o legítimo interesse e o cumprimento de obrigação legal ou regulatória. Assim, as Leiloeiras deverão promover a sua adequação à LGPD.
Deverão ainda respeitar, cumulativamente, os princípios orientadores da Lei, dentre os quais se destacam o da finalidade, necessidade, livre acesso e prestação de contas.
Além disso, deverão observar, respeitar e comunicar os titulares a respeito de seus direitos, como, por exemplo, a confirmação da existência do tratamento, a correção de dados inexatos, incompletos ou desatualizados, a revogação do consentimento fornecido para o tratamento, se for o caso, além de, nessa hipótese, o direito à informação sobre a possibilidade de não fornecer consentimento e as consequências da sua negativa.
Todas as empresas que tratam dados pessoais estão obrigadas pela Lei a nomear um encarregado, que tanto pode ser do seu corpo interno ou um terceiro contratado, pessoa física ou jurídica.
O encarregado nomeado pelas Leiloeiras será o seu canal de comunicação com o titular de dados pessoais e a Autoridade Nacional de Proteção de Dados (ANPD), cabendo a ele, por exemplo, receber as solicitações dos titulares de dados pessoais. Para tanto, é imprescindível que suas informações de contato sejam divulgadas de forma clara e objetiva.
É preciso ter em mente que não só o vazamento de dados, mas a mera inobservância aos princípios da Lei ou o não atendimento a uma requisição do titular dos dados pessoais em si, poderá ensejar a aplicação de sanções, sem falar no dano reputacional que a Leiloeira sofrerá, se sua imagem no mercado for vinculada a um caso de violação à LGPD.
As sanções administrativas, a serem aplicadas pela Autoridade Nacional de Proteção de Dados em caso de violação à LGPD, vão desde a aplicação de advertência até multa simples de até 2% do faturamento da empresa ou do grupo, limitada, no total, a R$ 50 milhões de reais por infração, sem prejuízo da publicização da infração.
Atuar em conformidade com a LGPD, utilizando as melhores técnicas de tratamento e segurança disponíveis no mercado, é, portanto, imprescindível. Ao assim proceder, o responsável pelo tratamento poderá, em caso de vazamento, se apoiar em uma excludente de causalidade para eximir-se da responsabilização, bastando comprovar ter adotado os seus melhores esforços, ainda que não tenha sido possível prevenir um ataque ao sistema. Em outras palavras, o responsável pelo tratamento pode suscitar ausência de culpa.
Considerando que falta menos de um ano para entrada em vigor da LGPD, é altamente recomendável que as empresas que atuam na intermediação de compra e venda de animais analisem, desde já, as particularidades do seu negócio, realizem um mapeamento do fluxo e ciclo de vida dos dados pessoais existentes em suas bases, avaliem os riscos existentes em seus processos e implementem medidas de segurança técnicas e organizacionais, sob a orientação de uma assessoria jurídica e/ou consultoria especializada.
Ou seja, uma revisão completa da governança de dados vai além da adaptação de políticas de privacidade e condições gerais de contratação.
———————————–
1. Dependendo da raça do animal, o proprietário muito provavelmente estará vinculado a uma associação que, por sua vez, também trata dados pessoais ao coordenar o registro e a transferência de propriedade do animal. É o caso, por exemplo, da Associação Brasileira do Cavalo Quarto de Milha (ABQM) e da Associação Brasileira dos Criadores do Cavalo Mangalarga Marchador (ABCCMM).