Evento presencial na CCIFB no 29/05/2025
Execução das garantias após o Marco das Garantias na Área de Real Estate
No dia 29 de maio, às 8h30, a Câmara de Comércio França-Brasil está organizando um encontro para debater as mudanças estruturais que visam proporcionar maior segurança jurídica, celeridade processual e efetividade na recuperação de créditos garantidos por bens imóveis.
O encontro será moderado por nossa sócia, Carolina Moresco, e nossa advogada Fernanda Malta e a palestra será ministrada por Fábio Rocha Pinto e Silva, sócio do Pinheiro Neto Advogados, e Patrícia André de Camargo Ferraz, Registradora de Imóveis, Títulos e Documentos e Civil de Pessoas Jurídicas de Diadema.
Participe e entenda como essas práticas podem transformar o futuro do seu escritório!
Prezados clientes e parceiros,
É com grande respeito, admiração e um sentimento de profunda gratidão que compartilhamos um importante capítulo na história do GTLawyers: a aposentadoria de nosso querido sócio Thomas Fowler, que acontecerá ao final do mês de maio de 2025.
Após quatro anos de planejamento conjunto, conduzidos com transparência, responsabilidade e diálogo aberto, Thomas encerrará sua brilhante trajetória profissional conosco, passando a desfrutar de uma nova fase dedicada à família, aos amigos e à merecida tranquilidade em Serra Negra – sempre com a certeza de que continuará próximo de todos nós, agora em sua nova posição como Consultor do escritório.
A história do Thomas é marcada por conquistas e contribuições excepcionais. Com uma sólida carreira em grandes empresas nacionais e multinacionais — como Toyota do Brasil, Vale e Anglo American — Thomas trouxe ao GTLawyers uma bagagem ímpar de conhecimento, vivência prática e visão estratégica. Em 2014, ingressou em nosso time a princípio com o desafio de colaborar em projetos específicos, mas seu talento rapidamente se destacou, consolidando sua presença de forma permanente, até tornar-se sócio e referência incontornável da nossa área de consultoria trabalhista.
Ao longo desses anos, Thomas foi muito mais do que um sócio: sua postura ética, sensibilidade humana e rigor técnico moldaram a cultura do nosso escritório e inspiraram gerações de profissionais. Seu olhar atento aos detalhes, sua capacidade de lidar com questões complexas e sua dedicação constante à qualidade tornaram-se marcas registradas do GTLawyers, reconhecidas por toda a nossa equipe, mercado e, principalmente, pelos nossos clientes.
Além do valioso conhecimento jurídico, Thomas nos brindou com amizade, lealdade e integridade, qualidades que transcendem o ambiente profissional e fortalecem os laços que unem o GTLawyers.
Com a mesma seriedade e zelo que pautaram o planejamento da sua aposentadoria, garantimos que o processo de transição foi conduzido de forma estruturada e minuciosa. Assim, a continuidade dos trabalhos e do atendimento aos nossos clientes seguirá com a excelência de sempre, sob o comando do sócio Diogo Tabosa e seu competente time, que compartilham dos mesmos valores e padrões de qualidade consolidados pelo Thomas ao longo de sua trajetória.
Receba o nosso mais sincero agradecimento por tudo o que construiu e compartilhou conosco.
Por fim, reiteramos a todos os nossos clientes e parceiros que nosso compromisso com a excelência, transparência e dedicação permanece inabalável.
Com apreço e gratidão,
Equipe GTLawyers
Prezados,
No âmbito da aprovação das contas do ano de 2024, gostaríamos de chamar sua atenção para o fato de que a legislação brasileira prevê que esse procedimento deve ser realizado dentro de um prazo de quatro meses a partir do encerramento das contas. Como as empresas brasileiras fecham seu ano financeiro em 31 de dezembro de cada ano, a aprovação das demonstrações financeiras anuais deve, portanto, ser realizada até 30 de abril do ano seguinte.
Estamos à disposição para auxiliá-los nesse procedimento e fornecer quaisquer informações adicionais.
Atenciosamente,
Equipe GTLawyers
Le Responsable de la protection des données, également connu sous le nom de Data Protection Officer (DPO), est une fonction établie à la fois par la législation brésilienne (Loi Générale sur la Protection des Données – “LGPD”) et par la législation européenne (Règlement Général sur la Protection des Données – “RGPD”). Les deux lois ont leurs propres exigences pour la nomination de leurs DPOs, que ce soit pour les responsables du traitement ou les sous-traitants des données. Le Responsable de la protection des données agit comme un canal de communication entre les personnes concernées par les données et l’autorité publique chargée d’appliquer les réglementations de protection des données au sein de la juridiction
Bien que les deux législations exigent la présence d’un DPO, il existe des différences clés dont les sociétés doivent être conscientes afin d’atténuer les risques, éviter les sanctions légales et administratives et prévenir les dommages à leur réputation. Afin de clarifier ces distinctions, nous avons préparé un tableau comparatif au regard de la LGPD et du RGPD.
Ci-dessous, nous mettons en évidence les principales caractéristiques de ces deux législations :
| GDPR | LGPD | |
| Obligation de nommer un DPO | Obligatoire dans des cas spécifiques, par exemple, les organismes publics ou les entités impliquées dans la surveillance systématique et à grande échelle de données ou dans le traitement de données sensibles (Art. 37). | Généralement exigé pour toutes les entités, avec des exceptions[GR1] pour les agents de petite taille s’il existe un canal de communication disponible (Résolution CD/ANPD nº 2/2022). |
| Qualifications et Compétences | Requiert des qualifications professionnelles, notamment en droit et en pratiques de protection des données (Art. 37) [1]. | Les qualifications sont déterminées par l’expertise pertinente au contexte, au volume et aux risques associés au traitement des données (Résolution CD/ANPD nº 18/2024). |
| Responsabilités | Responsabilités importantes, y compris le soutien aux évaluations d’impact, la coopération réglementaire et le contact avec le titulaire des données (Art. 39).” | Les responsabilités comprennent la gestion des réclamations et des communications avec les personnes concernées par les données, l’ANPD, et le conseil à l’entreprise, aux tiers et aux employés sur les pratiques de protection des données. |
| Externalisation | Autorisée (Art. 39). | Autorisée (Art. 5). |
| Divulgation | Les coordonnées doivent être publiées sur le site Web de l’entreprise et fournies aux autorités de contrôle. | Les coordonnées doivent être publiées sur le site Web de l’entreprise. |
| Conflit d’intérêts | Mesures de sauvegarde pour garantir l’indépendance et prévenir les conflits d’intérêts (Art. 38(3) et 38(6)). | Exige des mesures pour atténuer les conflits d’intérêts (Résolution CD/ANPD n° 18/2024). |
| Position au sein de l’organisation | Fonctionne de manière indépendante, avec les ressources nécessaires et un accès direct à la haute direction [2]. | Exigences similaires en matière d’autonomie et d’accès, bien qu’il n’y ait pas de protection explicite contre un licenciement (Résolution CD/ANPD n° 18/2024, Art. 10 et 15). |
Ci-dessous, nous fournissons des clarifications additionnelles sur les différences entre le Responsable de la Protection des Données selon le RGPD et selon la LGPD.
OBLIGATION DE DÉSIGNER UN RESPONSABLE DE LA PROTECTION DES DONNÉES
Contrairement au RGPD [3], qui établit des critères spécifiques pour la désignation d’un DPO, la LGPD adopte une approche plus générale, déterminant que le responsable du traitement doit désigner un responsable de la protection des données personnelles. Cela implique qu’en règle générale, toute organisation publique ou privée doit désigner un DPO. Cependant, il existe une exception établie dans la Résolution CD/ANPD n° 2/2022, qui exempte les agents de traitement de petite taille [4] de la désignation d’un responsable, tout en maintenant les autres obligations définies par la LGPD [5]. De plus, le §3 de l’article 41 prévoit la possibilité d’autres exemptions, permettant à l’Autorité Nationale de Protection des Données (“ANPD”) d’établir des cas où la désignation d’un responsable peut ne pas être nécessaire, compte tenu de la nature, de la taille et du volume du traitement des données par l’entité.
QUALIFICATIONS ET COMPÉTENCES
Le rôle du DPO, selon la législation brésilienne, est plus flexible et possède des exigences moins rigoureuses en comparaison avec l’Europe, spécialement en ce qui concerne les qualifications du professionnel qui occupe cette fonction. Conformément à l’article 7 de la Résolution CD/ANPD n° 18/2024, il incombe à l’agent de traitement des données de définir les qualifications du Responsable de la Protection des Données sur la base de ses connaissances de la législation de protection des données personnelles, ainsi que du contexte, du volume et du risque des opérations de traitement réalisées. Cette Résolution établit également que le DPO devra être capable de communiquer de manière efficace avec les titulaires de données et avec l’ANPD. En Europe, l’article 37 du RGPD impose des exigences plus spécifiques, telles que la nécessité de connaissances spécialisées en droit et la pratiques de protection des données, l’exigence que les qualifications soient à la hauteur de la complexité et du risque des activités de traitement, la capacité de développer et de maintenir des programmes de protection de données, ainsi qu’une familiarité avec les mesures techniques et organisationnelles.
EXTERNALISATION DU RÔLE DU RESPONSABLE DE LA PROTECTION DES DONNÉES
La Résolution CD/ANPD n° 18/2024, qui réglemente la fonction du DPO à l’article 12, prévoit que ce professionnel peut être une personne physique, liée ou non à la structure organisationnelle de l’agent de traitement, ou encore une personne juridique [6]. Toutes ces options sont également autorisées par le RGPD [7].
DIVULGATION DES INFORMATIONS DE CONTACT DU RESPONSABLE DE LA PROTECTION DES DONNÉES
Les informations de contact du DPO doivent être publiées sur le site web de l’entreprise dans les deux législations, garantissant la transparence et l’accessibilité pour les titulaires de données et les autorités. L’article 9 de la Résolution CD/ANPD nº 18/2024 permet également que la divulgation ait lieu par d’autres moyens de communication, si le responsable du traitement des données ne possède pas de site web propre. Le RGPD établit également que les coordonnées du DPO doivent être communiquées aux autorités.
CONSIDÉRATIONS SUR LES CONFLITS D’INTÉRÊTS
Tant le Règlement Général sur la Protection des Données (RGPD) que la Loi Générale sur la Protection des Données (LGPD) abordent le thème des conflits d’intérêts dans l’exercice des fonctions du DPO. Le RGPD adopte des sauvegardes détaillées pour garantir l’indépendance du Responsable de la Protection des Données, interdisant qu’il assume des fonctions qui pourraient générer un conflit d’intérêts, comme, par exemple, des postes où il détermine les objectifs du traitement des données personnelles. De plus, le règlement exige que le Responsable de la Protection des Données ne soit pas puni ou licencié pour avoir exercé ses responsabilités [8]. La LGPD, quant à elle, établit que le responsable du traitement doit adopter des mesures pour atténuer tout conflit d’intérêt, avec la possibilité de remplacer le DPO, si nécessaire.
Ces aspects seront analysés plus en profondeur dans un article spécifique qui explorera des cas et la législation liées aux conflits d’intérêts dans le contexte de la protection des données.
POSITION AU SEIN DE L’ORGANISATION
En ce qui concerne l’accumulation de fonctions, la législation brésilienne n’interdit pas expressément qu’un employé, un administrateur ou un sous-traitant soit désigné comme DPO, à condition que l’indépendance de la fonction soit préservée. De même, conformément au RGPD, le DPO peut exercer d’autres fonctions au sein de l’organisation, à condition que cela n’entraîne pas de conflit d’intérêt. Cela signifie que, selon la législation de l’Union Européenne, le DPO ne peut occuper un poste dans lequel il détermine les finalités et les moyens des activités de traitement de données personnelles, comme un directeur exécutif, un directeur des opérations ou un chef des Ressources Humaines, par exemple [9].
Le rôle du DPO est fondamental pour le maintien des normes de confidentialité, et une compréhension claire des réglementations qui régissent cette fonction est essentielle pour les organisations opérant au Brésil. Les entreprises étrangères qui entrent sur le marché brésilien doivent solliciter des conseils juridiques locaux pour garantir la conformité avec la LGPD, en particulier en ce qui concerne la désignation et les responsabilités du DPO.
GTLawyers a toute l’expertise nécessaire pour fournir des conseils et orientation juridique, soit en assistant le DPO dans ses activités quotidiennes, soit en offrant des services de DPO pour atténuer les conflits d’intérêts potentiels. Notre équipe s’assure que les entreprises non seulement remplissent leurs obligations légales, mais mettent également en œuvre des pratiques efficaces de protection des données, minimisant ainsi les risques juridiques et réputationnels, tout en préservant l’indépendance et l’impartialité du DPO.
Anne Brunschwig
Jessica Ferreira
[1] Le Groupe de travail Article 29 (WP29) a publié des directives largement reconnues par le marché sur les qualifications du DPO, indiquant que ce professionnel doit savoir créer, mettre en œuvre et maintenir un Programme de Protection des Données. De plus, plus le traitement de données effectué par le responsable du traitement est complexe ou risqué, plus les exigences en matière de connaissances et de spécialisations pour le DPO seront élevées. Enfin, le DPO n’a pas besoin d’être avocat, mais doit être familiarisé avec la législation et les mesures techniques et organisationnelles de protection des données.
[2] L’article 38 du Règlement Général sur la Protection des Données (RGPD) stipule que le DPO doit être impliqué dans les questions liées au traitement des données personnelles et, en outre, doit agir de manière autonome, sans recevoir d’instructions de tiers, quelle que soit sa position hiérarchique. Dans ce contexte, l’entreprise doit fournir les ressources nécessaires à l’exercice de ses activités. Il est également important de souligner que le DPO ne peut pas être licencié ou puni pour l’exercice de ses fonctions. Il doit rendre compte à la haute direction, et les personnes concernées peuvent le contacter directement pour clarifier leurs doutes et traiter des questions pertinentes. De plus, le DPO doit garder le secret sur ses activités et peut exercer d’autres fonctions au sein de l’entreprise, à condition qu’il n’y ait pas de conflit d’intérêt.
[3] Aux termes du RGPD, la désignation d’un DPO est obligatoire dans trois cas spécifiques décrits à l’article 37 : (i) lorsque le traitement des données est effectué par une autorité ou un organisme public, à l’exception des tribunaux agissant dans leur fonction juridictionnelle ; (ii) lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent le suivi régulier et systématique des personnes concernées à grande échelle ; ou (iii) lorsque les activités principales impliquent le traitement à grande échelle de catégories particulières de données, telles que les données sensibles ou les informations relatives aux condamnations pénales et aux infractions.
[4] L’article 2, I, de la résolution mentionnée définit ces agents. Parmi les exemples, citons les microentreprises, les petites entreprises, les startups, les personnes morales de droit privé, y compris les organisations à but non lucratif. Il convient de noter que l’agent ne peut pas bénéficier du traitement juridique différencié de la résolution s’il relève des scénarios prévus à l’article 3.
[5] Les obligations des agents de traitement de petite taille ont été maintenues, mais une certaine flexibilité a été introduite dans des domaines spécifiques, tels que le délai doublé pour répondre aux demandes des titulaires et pour communiquer avec l’Autorité Nationale de Protection des Données (ANPD), ainsi que la possibilité d’adopter des procédures simplifiées.
[6] Le texte original de la LGPD stipulait que le DPO devait être une personne physique. Toutefois, la mesure provisoire n° 869/2018 a supprimé le terme “personne physique”, et la loi n° 13.853/2019 a introduit la possibilité pour les entreprises d’agir en tant que DPO.
[7] Conformément à l’article 37, §6 du RGPD, le DPO peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer les fonctions sur la base d’un contrat de service”.
[8] Voir article 38 du RGPD.
[9] Plus d’informations sur : site www.ecb.europa.eu. https://www.edpb.europa.eu/sme-data-protection-guide/data-protection-officer_en Consulté le : 30/10/2024.
The Data Protection Officer (DPO) is a role established by both Brazilian legislation (General Data Protection Law – “LGPD”) and European legislation (General Data Protection Regulation – “GDPR”). Both laws have their own requirements for the appointment of their DPOs, whether for data controllers or processors. The Data Protection Officer serves as a channel of communication between the data subjects and the public authority responsible for enforcing data protection regulations within the jurisdiction.
Although both legislations mandate the presence of a DPO, there are key differences that companies must be aware of to mitigate risks, avoid legal and administrative penalties, and prevent damage to their reputation. To clarify these distinctions, we have prepared a comparative table regarding the LGPD and the GDPR.
Below, we highlight the main features of these two legislations:
Below, we provide further clarification on the differences between the Data Protection Officer under the GDPR and the LGPD.
OBLIGATION TO APPOINT A DPO
Unlike the GDPR [3], which establishes specific criteria for the designation of a DPO, the LGPD adopts a more general approach, determining that the data controller must appoint a person in charge of personal data protection. This implies that, generally, any public or private organization must appoint a DPO. However, there is an exception established in Resolution CD/ANPD No. 2/2022, which exempts small processing agents [4] from appointing a DPO, while maintaining other obligations defined by the LGPD [5]. Additionally, §3 of Article 41 provides the possibility of additional exemptions, allowing the National Data Protection Authority (“ANPD”) to establish cases where the appointment of a DPO may not be necessary, considering the nature, size, and volume of data processing by the entity.
QUALIFICATIONS AND SKILLS
The role of the DPO under Brazilian legislation is more flexible with fewer stringent requirements compared to Europe, particularly regarding the qualifications of the professional occupying this position. According to Article 7 of Resolution CD/ANPD No. 18/2024, it is the responsibility of the data processing agent to define the qualifications of the DPO based on their knowledge of personal data protection legislation, as well as the context, volume, and risk of the processing operations conducted. This Resolution also establishes that the DPO must be capable of effectively communicating with data subjects and with the ANPD. In Europe, Article 37 of the GDPR imposes more specific requirements, such as the need for specialized knowledge in law and data protection practices, the requirement that qualifications match the complexity and risk of processing activities, the ability to develop and maintain data protection programs, as well as familiarity with technical and organizational measures.
OUTSOURCING THE DPO ROLE
Resolution CD/ANPD No. 18/2024, which regulates the DPO role in Article 12, provides that the DPO may be an individual, either affiliated or not with the organizational structure of the processing agent, or a legal entity [6]. All these options are also permitted under the GDPR [7].
DISCLOSURE OF THE DPO’S CONTACT INFORMATION
The contact details of the DPO must be published on the company’s website under both legislations, ensuring transparency and accessibility for data subjects and authorities. Article 9 of Resolution CD/ANPD No. 18/2024 also allows for disclosure through other communication means if the data controller does not have its own website. The GDPR also requires that the DPO’s contact details be communicated to the authorities.
CONFLICTS OF INTEREST CONSIDERATIONS
Both the General Data Protection Regulation (GDPR) and the Brazilian General Data Protection Law (LGPD) address conflicts of interest influencing the performance of the DPO’s duties. The GDPR includes detailed safeguards to ensure the DPO’s independence, prohibiting them from performing functions that could create a conflict of interest, such as positions where they determine the purposes of personal data processing. Furthermore, the regulation states that the DPO should not be penalized or dismissed for performing their responsibilities [8]. In contrast, the LGPD establishes that the data controller must take steps to mitigate any conflict of interest, with the option to replace the DPO if necessary.
These aspects will be analyzed more thoroughly in a specific article exploring cases and legislation related to conflicts of interest in the context of data protection.
POSITION WITHIN THE ORGANIZATION
Regarding the accumulation of functions, Brazilian legislation does not explicitly prohibit an employee, director, or contractor from being designated as a DPO, provided that the independence of the role is maintained. Similarly, under the GDPR, the DPO may perform other roles within the organization as long as it does not lead to a conflict of interest. This means that, according to European Union legislation, the DPO cannot hold a position where they determine the purposes and means of personal data processing activities, such as a chief executive officer, chief operating officer, or head of human resources, for instance [9].
***
In conclusion, the role of the DPO is crucial for maintaining privacy standards, and a clear understanding of the regulations governing this role is essential for organizations operating in Brazil. Foreign companies entering the Brazilian market should seek local legal advice to ensure compliance with the LGPD, particularly regarding the designation and responsibilities of the DPO.
GTLawyers possess the necessary expertise to provide legal advice and guidance, whether by assisting the DPO in their daily activities or by offering DPO services to mitigate potential conflicts of interest. Our team ensures that companies not only fulfill their legal obligations but also implement effective data protection practices, thereby minimizing legal and reputational risks while maintaining the DPO’s independence and impartiality.
GT Lawyers
Anne Brunschwig
Jessica Ferreira
[1] The Article 29 Working Party (WP29) has issued widely recognized market guidelines on the qualifications of the DPO, indicating that this professional must be capable of creating, implementing, and maintaining a Data Protection Program. Moreover, the more complex or risky the data processing carried out by the data controller, the higher the knowledge and specialization requirements for the DPO will be. Finally, the DPO does not need to be a lawyer, but must be familiar with data protection legislation and technical and organizational measures.
[2] Article 38 of the General Data Protection Regulation (GDPR) stipulates that the DPO must be involved in matters related to the processing of personal data and must act autonomously, without receiving instructions from third parties, regardless of their hierarchical position. In this context, the company must provide the necessary resources for the exercise of their activities. It is also important to emphasize that the DPO cannot be dismissed or penalized for performing their duties. They must report to senior management, and data subjects can contact them directly to clarify their doubts and address pertinent issues. Additionally, the DPO must maintain confidentiality regarding their activities and can perform other functions within the company, provided that there is no conflict of interest.
[3] Under the GDPR, the designation of a DPO is mandatory in three specific cases described in Article 37: (i) when data processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (ii) when the core activities of the controller or processor involve regular and systematic monitoring of data subjects on a large scale; or (iii) when the core activities involve large-scale processing of special categories of data, such as sensitive data or information relating to criminal convictions and offenses.
[4] Article 2, I, of the mentioned resolution defines these agents. Examples include micro-enterprises, small businesses, startups, private legal entities, including non-profit organizations. It is important to note that the agent cannot benefit from the differentiated legal treatment of the resolution if they fall under the scenarios provided in Article 3.
[5] The obligations of small processing agents have been maintained, but a certain flexibility has been introduced in specific areas, such as the doubled timeframe to respond to data subjects’ requests and to communicate with the National Data Protection Authority (ANPD), as well as the possibility of adopting simplified procedures.
[6] The original text of the LGPD stipulated that the DPO must be a natural person. However, Provisional Measure No. 869/2018 removed the term “natural person,” and Law No. 13.853/2019 introduced the possibility for companies to act as a DPO.
[7] In accordance with Article 37, §6 of the GDPR, “the DPO may be a staff member of the controller or processor, or perform the duties on the basis of a service contract”
[8] See Article 38 of the GDPR.
[9] More information is available at: www.ecb.europa.eu (accessed on: 30/10/2024).
O Encarregado de Proteção de Dados, também conhecido como Data Protection Officer (“DPO”) pela legislação europeia (Regulamento Geral sobre a Proteção de Dados – “RGPD”), é uma função estabelecida tanto pela legislação brasileira (Lei Geral de Proteção de Dados – “LGPD”) quanto no RGPD. Ambas as leis têm suas próprias exigências para a nomeação de seus DPOs, seja para os controladores de dados ou os processadores. O DPO atua como um canal de comunicação entre os titulares dos dados e a autoridade pública responsável por aplicar as regulamentações de proteção de dados dentro da jurisdição.
Apesar de as duas legislações exigirem a presença de um DPO, existem diferenças chave das quais as empresas devem estar cientes para mitigar riscos, evitar sanções legais e administrativas e prevenir danos à sua reputação. Para esclarecer essas distinções, preparamos um quadro comparativo referente à LGPD e ao RGPD.
A seguir, destacamos as principais características dessas duas legislações:
| GDPR | LGPD | |
| Obrigação de nomear um DPO | Obrigatório em casos específicos, por exemplo, órgãos públicos ou entidades envolvidas em monitoramento sistemático e em larga escala de dados ou em tratamento de dados sensíveis (Art. 37). | Geralmente exigido para todas as entidades, com exceções para agentes de pequeno porte se houver um canal de comunicação disponível (Resolução CD/ANPD nº 2/2022). |
| Qualificações e Habilidades | Requer qualificações profissionais, especialmente em direito e práticas de proteção de dados (Art. 37). [1]. | Qualificações são determinadas pela expertise relevante ao contexto, volume e riscos associados ao tratamento de dados (Resolução CD/ANPD nº 18/2024). |
| Responsabilidades | Responsabilidades importantes, incluindo o suporte às avaliações de impacto, a cooperação regulatória e o contato com o titular dos dados (Art. 39). | Responsabilidades incluem gerenciar reclamações e comunicações com titulares de dados, ANPD, e aconselhar a empresa, terceiros e funcionários sobre práticas de proteção de dados. |
| Terceirização | Permitida (Art. 39). | Permitida (Art. 5). |
| Divulgação | Detalhes de contato devem ser publicados no site da empresa e fornecidos às autoridades de supervisão. | Detalhes de contato devem ser publicados no site da empresa. |
| Conflito de Interesse | Salvaguardas para garantir independência e prevenir conflitos de interesse (Art. 38(3) e 38(6)). | Exige medidas para mitigar conflitos de interesse (Resolução CD/ANPD nº 18/2024). |
| Posição dentro da organização | Opera de forma independente, com os recursos necessários e acesso direto à alta administração [2]. | Requisitos semelhantes para autonomia e acesso, embora não haja proteção explícita contra demissão (Resolução CD/ANPD nº 18/2024, Art. 10 e 15). |
A seguir, esclarecemos as principais diferenças entre o DPO no RGPD e na LGPD.
OBRIGAÇÃO DE NOMEAR UM DPO
Diferentemente do RGPD [3], que estabelece critérios específicos para a designação de um DPO, a LGPD adota uma abordagem mais geral, determinando que o controlador deve designar um encarregado de proteção de dados pessoais. Isso implica que, de modo geral, qualquer organização pública ou privada deve designar um DPO. Contudo, existe uma exceção estabelecida na Resolução CD/ANPD nº 2/2022, que isenta os agentes de tratamento de pequeno porte [4] da designação de um DPO, mantendo-se as demais obrigações definidas pela LGPD [5]. Além disso, o §3 do artigo 41 prevê a possibilidade de outras isenções, permitindo à Autoridade Nacional de Proteção de Dados (“ANPD”) estabelecer casos nos quais a designação de um DPO pode não ser necessária, considerando a natureza, o porte e o volume de tratamento de dados pela entidade.
QUALIFICAÇÕES E COMPETÊNCIAS
O papel do DPO, segundo a legislação brasileira, é mais flexível e possui exigências menos rigorosas em comparação com a Europa, especialmente no que tange às qualificações do profissional que ocupa essa função. De acordo com o artigo 7 da Resolução CD/ANPD nº 18/2024, cabe ao agente de tratamento de dados definir as qualificações do DPO com base em seu conhecimento da legislação de proteção de dados pessoais, bem como do contexto, volume e risco das operações de tratamento realizadas. Essa Resolução também estabelece que o DPO deverá ser capaz de se comunicar de maneira eficaz com os titulares de dados e com a ANPD. Na Europa, o artigo 37 do RGPD impõe requisitos mais específicos, como a necessidade de conhecimentos especializados em direito e práticas de proteção de dados, a exigência de que as qualificações sejam proporcionais à complexidade e ao risco das atividades de tratamento, a capacidade de desenvolver e manter programas de proteção de dados, bem como familiaridade com medidas técnicas e organizacionais.
TERCEIRIZAÇÃO DO PAPEL DO DPO
A Resolução CD/ANPD nº 18/2024, que regulamenta a função do DPO no artigo 12, prevê que esse profissional pode ser uma pessoa física, vinculada ou não à estrutura organizacional do agente de tratamento, ou ainda uma pessoa jurídica [6]. Todas essas opções também são autorizadas pelo RGPD [7].
DIVULGAÇÃO DAS INFORMAÇÕES DE CONTATO DO DPO
As informações de contato do DPO devem ser publicadas no site da empresa em ambas as legislações, garantindo a transparência e a acessibilidade para os titulares de dados e as autoridades. O artigo 9 da Resolução CD/ANPD nº 18/2024 também permite que a divulgação ocorra por outros meios de comunicação, caso o controlador de dados não possua um site próprio. O RGPD estabelece igualmente que os dados de contato do DPO devem ser comunicados às autoridades.
CONSIDERAÇÕES SOBRE CONFLITOS DE INTERESSES
Tanto o Regulamento Geral sobre a Proteção de Dados (RGPD) quanto a Lei Geral de Proteção de Dados (LGPD) abordam o tema dos conflitos de interesses no exercício das funções do DPO. O RGPD adota salvaguardas detalhadas para garantir a independência do DPO, proibindo que ele assuma funções que possam gerar um conflito de interesses, como, por exemplo, cargos onde determine os objetivos do tratamento de dados pessoais. Além disso, o regulamento exige que o DPO não seja punido ou dispensado por exercer suas responsabilidades [8]. A LGPD, por sua vez, estabelece que o controlador deve adotar medidas para mitigar qualquer conflito de interesse, com a possibilidade de substituir o DPO, se necessário.
Esses aspectos serão analisados mais a fundo em um artigo específico que explorará casos e a legislação relacionada a conflitos de interesses no contexto da proteção de dados.
POSIÇÃO DENTRO DA ORGANIZAÇÃO
No que diz respeito à acumulação de funções, a legislação brasileira não proíbe expressamente que um funcionário, administrador ou subcontratado seja designado como DPO, desde que a independência da função seja preservada. Da mesma forma, conforme o RGPD, o DPO pode exercer outras funções na organização, desde que isso não implique em um conflito de interesses. Isso significa que, segundo a legislação da União Europeia, o DPO não pode ocupar um cargo no qual determine as finalidades e os meios das atividades de tratamento de dados pessoais, como diretor executivo, diretor de operações ou chefe de Recursos Humanos, por exemplo [9].
O papel do DPO é fundamental para a manutenção das normas de privacidade, e uma compreensão clara das regulamentações que regem essa função é essencial para as organizações que operam no Brasil. As empresas estrangeiras que ingressam no mercado brasileiro devem buscar aconselhamento jurídico local para garantir a conformidade com a LGPD, particularmente no que se refere à designação e responsabilidades do DPO.
A GTLawyers possui toda a expertise necessária para fornecer aconselhamento e orientação jurídica, seja auxiliando o DPO em suas atividades diárias, seja oferecendo serviços de DPO para mitigar potenciais conflitos de interesses. Nossa equipe assegura que as empresas não apenas cumpram suas obrigações legais, mas também implementem práticas eficazes de proteção de dados, minimizando assim riscos jurídicos e reputacionais, ao mesmo tempo que preservam a independência e a imparcialidade do DPO.
GT Lawyers
Anne Brunschwig
Jessica Ferreira
[1] O Grupo de Trabalho do Artigo 29 (WP29) publicou diretrizes amplamente reconhecidas pelo mercado sobre as qualificações do DPO, indicando que esse profissional deve saber criar, implementar e manter um Programa de Proteção de Dados. Além disso, quanto mais complexo ou arriscado for o tratamento de dados realizado pelo controlador, mais elevadas serão as exigências de conhecimento e especialização para o DPO. Por fim, o DPO não precisa ser advogado, mas deve estar familiarizado com a legislação e as medidas técnicas e organizacionais de proteção de dados.
[2] O artigo 38 do Regulamento Geral sobre a Proteção de Dados (RGPD) estipula que o DPO deve ser envolvido nas questões relacionadas ao tratamento de dados pessoais e, ademais, deve atuar de forma autônoma, sem receber instruções de terceiros, independentemente de sua posição hierárquica. Nesse contexto, a empresa deve fornecer os recursos necessários para o exercício de suas atividades. É também importante destacar que o DPO não pode ser demitido ou punido pelo exercício de suas funções. Ele deve reportar-se à alta administração, e os titulares dos dados podem contatá-lo diretamente para esclarecer suas dúvidas e tratar de questões pertinentes. Além disso, o DPO deve manter sigilo sobre suas atividades e pode exercer outras funções na empresa, desde que não haja conflito de interesses.
[3] Nos termos do RGPD, a designação de um DPO é obrigatória em três casos específicos descritos no artigo 37: (i) quando o tratamento de dados é realizado por uma autoridade ou organismo público, exceto tribunais atuando em sua função jurisdicional; (ii) quando as atividades principais do controlador ou do processador envolvem o monitoramento regular e sistemático dos titulares de dados em grande escala; ou (iii) quando as atividades principais envolvem o tratamento em larga escala de categorias especiais de dados, como dados sensíveis ou informações relativas a condenações penais e infrações.
[4] O artigo 2º, I, da resolução mencionada define esses agentes. Dentre os exemplos, citam-se microempresas, pequenas empresas, startups, pessoas jurídicas de direito privado, incluindo organizações sem fins lucrativos. É importante notar que o agente não pode se beneficiar do tratamento jurídico diferenciado da resolução se estiver enquadrado nos cenários previstos no artigo 3º.
[5] As obrigações dos agentes de tratamento de pequeno porte foram mantidas, mas certa flexibilidade foi introduzida em áreas específicas, como prazo dobrado para atender às solicitações dos titulares e para comunicar-se com a Autoridade Nacional de Proteção de Dados (ANPD), bem como a possibilidade de adotar procedimentos simplificados.
[6] O texto original da LGPD estipulava que o DPO deveria ser uma pessoa física. No entanto, a medida provisória nº 869/2018 suprimiu o termo “pessoa física”, e a lei nº 13.853/2019 introduziu a possibilidade de empresas atuarem como DPO.
[7] De acordo com o artigo 37, §6 do RGPD, o DPO pode ser membro do pessoal do controlador ou do processador, ou exercer as funções com base em um contrato de serviço.
[8] Ver artigo 38 do RGPD.
[9] Mais informações em: site www.ecb.europa.eu Consultado em: 30/10/2024.
Conforme veiculado pelos principais órgãos de imprensa, o Governo Federal apresentou ao Congresso Nacional o projeto de lei 1.085 (PL 1.087/2025) objetivando a reforma do imposto de renda devido pelas pessoas físicas (“IRPF”). Apresentamos abaixo um breve resumo e considerações acerca desse novo projeto:
Reduções do IRPF
O projeto concede uma redução de 100% do IRPF de contribuintes cujos rendimentos tributáveis não excedam R$ 5 mil/mês, e reduções menores e escalonadas para quem recebe entre R$ 5 mil e R$ 7 mil/mês.
Contrariando o histórico da tributação com base na tabela progressiva (tributação por faixa), essa redução se aplica exclusivamente para os contribuintes com essa faixa de renda (benefício pessoal), e não para contribuintes com renda superior. Ou seja, o contribuinte que receber R$ 8 mil/mês, por exemplo, continuará pagando IRPF com base nas alíquotas da tabela progressiva vigente, sem direito aos redutores do IRPF sobre a faixa de renda de até R$ 7 mil/mês.
Entendemos que essa distinção é bastante questionável, uma vez que restringe o benefício do redutor a contribuintes, e não à faixas de renda, tratando de forma desigual contribuintes em situações econômicas muito similares (eg. contribuinte com renda mensal de R$ 5 mil versus renda mensal de R$ 7 mil) e ignorando que a capacidade contributiva dessa faixa de renda é a mesma, independentemente do contribuinte.
IRPF mínimo para altas rendas
O projeto pretende instituir um piso mínimo de IRPF para contribuintes classificados em altas faixas de renda, conforme as seguintes medidas:
- IRPF mínimo: instituição do IRPF mínimo para contribuintes com renda anual superior a R$ 600 mil. Nesse cálculo deverão ser excluídos os ganhos de capital, doações e heranças. O IRPF mínimo será progressivo (0-10%) para rendas acima de R$ 600 mil e inferiores a R$ 1,2 milhão. Acima desse limite, o IRPF mínimo será de 10%.
- Do IRPF mínimo, poderão ser deduzidos: (i) o IRPF apurado sob o regime regular, devido na Declaração de Ajuste Anual; (ii) o IR retido sob a sistemática de tributação exclusiva na fonte; (iii) o IR devido sobre investimentos no exterior; (iv) IR definitivo, pago sobre rendimentos que compõe sua base de cálculo (ganhos líquidos, por exemplo) e (v) redutor sobre dividendos (comentado a seguir). Se a soma dos itens (i) a (iv) exceder o valor do IRPF mínimo, este será igual a zero.
- Lucros e dividendos: tributação pelo IRPF, à alíquota de 10%, sobre lucros e dividendos pagos por sociedades no Brasil a uma mesma pessoa física, desde que o montante mensal exceda R$ 50 mil/mês;
- Dividendos e IRPF mínimo: caso a soma da alíquota efetiva de tributação dos lucros da pessoa jurídica (IRPJ e CSLL) com a alíquota efetiva do IRPF mínimo ultrapasse as alíquotas nominais de IRPJ/CSLL, haverá a concessão de um redutor de IRPF mínimo sobre os lucros e dividendos distribuídos. O racional do redutor é que a tributação global sobre os lucros/dividendos sujeitos ao IRPF mínimo não exceda as alíquotas nominais do IRPJ/CSLL (34%, 40% ou 45%, a depender da atividade desenvolvida pela empresa). O redutor deverá ser considerado com base na alíquota efetiva de IRPJ/CSLL recolhida pela pessoa jurídica, considerando o total desses tributos e o lucro líquido da sociedade.
- Exterior: Alíquota de 10% de IRFonte sobre lucros e dividendos pagos ao exterior;
- Também neste caso, se a soma da alíquota efetiva de tributação dos lucros da pessoa jurídica (IRPJ e CSLL) com o IRFonte exceder as alíquotas nominais de IRPJ/CSLL (34%, 40% ou 45%), haverá a concessão de um crédito ao não residente, que poderá ser pleiteado em até 360 dias contados do encerramento de cada exercício
Ficamos à disposição para esclarecimentos adicionais sobre a matéria.
Artigo preparado por Estevão Gross, sócio de GTLawyers. Para mais informações favor contatar o telefone 11.3504.7618 ou o e-mail egross@gtlawyers.com.br.
É com grande satisfação que GTLAWYERS anuncia a nomeação de três sócias no ranking ANÁLISE ADVOCACIA MULHER 2025, que destaca as advogadas Mais Admiradas do Brasil!
Parabenizamos nossas sócias Anne-Catherine Brunschwig, Carolina Moresco e Tamy Tanzilli por esta conquista notável!
A GTLAWYERS se orgulha de estar, pelo oitavo ano consecutivo, entre os destaques do ranking em várias categorias, incluindo Comercio Internacional, Operações financeiras, Imobiliário, Setor Econômico e Digital, reafirmando nosso compromisso com a excelência e o sucesso de nossos clientes. Parabéns à equipe, e um grande obrigado aos clientes e parceiros pela confiança em nosso trabalho!
#GTLAWYERS #AnáliseAdvocaciaMulher #AdvogadasAdmiradas #Diversidade # Direito #Advocacia #ReconhecimentoProfissional #LiderançaFeminina
O Governo do Estado do Pará publicou, em 27/12/2024, a Lei n. 10.840, com produção de efeitos a partir de 27/03/2025, que aumenta significativamente a Taxa de Controle, Acompanhamento e Fiscalização das Atividades de Pesquisa, Lavra, Exploração e Aproveitamento de Recursos Minerários (“TFRM”).
A TFRM é uma taxa pelo exercício regular do poder de polícia, cobrada por diversos estados do Brasil das empresas que exploram recursos minerais, com o objetivo definanciar as atividades de fiscalização e controle ambiental sobre as atividades minerárias (natureza contraprestacional).
Até que essa Lei entre em vigor, o valor da TFRM é de 3 Unidades Padrão Fiscal do Estado do Pará (“UPF-PA”) por tonelada de minério extraído. O valor atual da UPF-PA é de R$ 4,8013. Assim a cada tonelada de minério extraído, as empresas devem recolher o valor de R$ 14,4039 à título de TFRM.
No entanto, com a entrada em vigor da nova Lei, haverá aumento substancial no valor da TFRM cobrado pelo Pará para a extração de cobre, estanho/cassiterita e de ouro. E é justamente aí que se iniciam os abusos, cada vez mais comuns na instituição de taxas Brasil afora.
Com efeito, para a extração de cobre, o valor da TFRM será de 110 UPF-PA por tonelada; para a extração de estanho/cassiterita o valor será de 2 UPF-PA por quilo; e para o ouro o valor será de 2 UPF-PA por grama. Logo, o valor da TFRM que hoje é de R$ 14,4039 por tonelada passará a ser de R$ 528,14 para o cobre; R$ 9.602,60 para estanho/cassiterita; e de espantosos R$ 9.602.600,00 para o ouro.
Conforme se verifica, o aumento da alíquota da TFRM é estratosférico, não havendo qualquer justificativa plausível para alteração tão abrupta, especialmente de um tributo que deve, obrigatoriamente, estar atrelado ao custo da atividade fiscalizatória, e não ao abastecimento dos cofres públicos.
Juridicamente, as taxas devem guardar estrita correlação com o custo da atividade estatal, de modo que os valores cobrados sejam diretamente proporcionais aos custosrelativos à fiscalização estatal da extração de recursos minerais, não podendo possuir função arrecadatória, conforme previsto na Constituição Federal (artigo 145) e no Código Tributário Nacional (artigo 77).
Ou seja, o valor da taxa, seja ela qual for, deve sempre guardar estrita e direta correspondência com os custos e despesas experimentadas pelo Poder Público paraviabilização do serviço taxado ou o poder de polícia exercido.
A cobrança da TFRM nos patamares pretendidos pelo Estado do Pará caracteriza grave ofensa aos princípios da razoabilidade e da proporcionalidade, além de assumircaráter confiscatório, violando assim o direito de propriedade e da livre iniciativa. Além disso, a distinção de valores da TFRM em face do minério explorado também não se justifica, configurando distinção sem um fator de discrímen admitido pelo direito tributário.
A situação, infelizmente, não é nova. Estados, Municípios e até mesmo a União Federal tem instituído taxas de fiscalização em patamares que não guardam qualquer correspondência com o custo da atividade estatal desempenhada. Nessas situações, os casos analisados pelo STF têm reconhecido a inconstitucionalidade de taxas instituídas em descasamento ao custo da atividade estatal:
“DIREITO CONSTITUCIONAL E TRIBUTÁRIO. AÇÃO DIRETA DE INCONSTITUCIONALIDADE. AGRAVO INTERNO EM MEDIDA CAUTELAR. TAXA DE POLÍCIA. DESPROPORCIONALIDADE DA BASE DE CÁLCULO. (…) 2. Há plausibilidade da inconstitucionalidade da taxa de polícia criada pela Lei nº 8.091/2014, do Estado do Pará, por conta da desproporcionalidade entre o valor cobrado e o custo da atividade estatal de exercício do poder de polícia a que se refere o tributo. Precedente: ADI 6211, Rel. Min. Marco Aurélio. 3. Perigo na demora igualmente configurado, já que a cobrança do tributo em valores elevadíssimos tem o potencial de inviabilizar a atividade de exploração de recursos hídricos. (…)5. Agravo regimental a que se nega provimento, referendando-se a decisão que concedeu a medida cautelar, para determinar a suspensão da eficácia da Lei nº 8.091/2014, com a modificação introduzida pela Lei nº 8.872/2019, do Estado do Pará, até o julgamento definitivo da presente ação direta de inconstitucionalidade. Fixação da seguinte tese: ‘Viola o princípio da capacidade contributiva, na dimensão do custo e benefício, a instituição de taxa de polícia ambiental que exceda flagrante e desproporcionalmente os custos da atividade estatal de fiscalização’”.
(STF – ADI: 5374 PA, Relator: ROBERTO BARROSO, Data de Julgamento: 22/06/2020, Tribunal Pleno, Data de Publicação: 08/07/2020)
“CONSTITUCIONAL, TRIBUTÁRIO E AMBIENTAL. LEI 7.182/2015 DO ESTADO DO RIO DE JANEIRO. TAXA DE CONTROLE, MONITORAMENTO E FISCALIZAÇÃO AMBIENTAL (TFPG) EXIGIDA SOBRE ATIVIDADES DA INDÚSTRIA DE PETRÓLEO E GÁS. LEI COMPLEMENTAR 140/2011. NATUREZA SUPLEMENTAR, SUPLETIVA OU EMERGENCIAL DA FISCALIZAÇÃO NÃO EXCLUI PODER DE TAXAR DOS ESTADOS-MEMBROS. VALOR DA TAXA. DESPROPORCIONALIDADE. PROCEDÊNCIA. (…) 4. A base de cálculo indicada pelo art. 4º da Lei 7.182/2015 – barril de petróleo extraído ou unidade equivalente de gás a ser recolhida – não guarda congruência com os custos das atividades de fiscalização exercidas pelo órgão ambiental estadual, o Instituto Estadual do Ambiente (INEA/RJ). Desproporcionalidade reconhecida. Nesse sentido: ADI 6211-MC, Rel. Min. MARCO AURÉLIO, Tribunal Pleno, julgado em 4/12/2019, acórdão pendente de publicação; e ADI 5374-MC, Rel. Min. ROBERTO BARROSO, decisão monocrática, DJe de 17/12/2018. 5. Ação direta julgada procedente.”
(STF – ADI: 5512 RJ 4000237-18.2016.1.00.0000, Relator: ALEXANDRE DE MORAES, Data de Julgamento: 20/04/2020, Tribunal Pleno, Data de Publicação: 04/09/2020)
“TAXA. CORRESPONDÊNCIA ENTRE O VALOR EXIGIDO E O CUSTO DA ATIVIDADE ESTATAL. A taxa, enquanto contraprestação a uma atividade do Poder Público, não pode superar a relação de razoável equivalência que deve existir entre o custo real da atuação estatal referida ao contribuinte e o valor que o Estado pode exigir de cada contribuinte, considerados, para esse efeito, os elementos pertinentes às alíquotas e à base de cálculo fixadas em lei. Se o valor da taxa, no entanto, ultrapassar o custo do serviço prestado ou posto à disposição do contribuinte, dando causa, assim, a uma situação de onerosidade excessiva, que descaracterize essa relação de equivalência entre os fatores referidos (o custo real do serviço, de um lado, e o valor exigido do contribuinte, de outro), configurar-se-á, então, quanto a essa modalidade de tributo, ofensa à cláusula vedatória inscrita no art. 150, IV, da Constituição da República”
(STF. Pleno. ADI 2551. MC-QO. Celso de Mello, abr/03).
Conforme se verifica, o Judiciário há tempos vem entendendo que viola o princípio da capacidade contributiva, na dimensão do custo e benefício, a instituição de taxa que exceda flagrante e desproporcionalmente os custos da atividade estatal de fiscalização, como é o caso da TFRM majorada pela Lei n. 10.840/2024.
Portanto, diante dessas circunstâncias, e considerando a desproporcionalidade e irrazoabilidade desse aumento, entendemos que há excelentes argumentos para que tal cobrança seja questionada em juízo.
Ficamos à disposição para esclarecimentos adicionais sobre a matéria.
Para mais informações favor contatar o telefone 11.3504.7618 ou o e-mail: egross@gtlawyers.com.br.
Foram publicados dois editais, pela Procuradoria Geral da Fazenda Nacional (“PGFN”), prorrogando até 30/05/2025 as transações tributárias para parcelamento de débitos tributários inscritos em dívida ativa, com descontos nas multas e juros.
As transações abrangem débitos de pessoas físicas e jurídicas com valor de até R$ 45 milhões que tenham sido inscritos em dívida ativa até 31 de outubro de 2024, sendo possível incluir dívidas já parceladas anteriormente.
São oferecidos diversos benefícios como entrada facilitada, prazo alongado para parcelamento (até 145 prestações para débitos não previdenciários), utilização de precatórios e descontos de até 100% sobre os juros, multas e encargos legais, importando mencionar que os descontos não podem ser superiores a 70% do valor total das inscrições.
As condições variam conforme a capacidade de pagamento do contribuinte, que é definida pela PGFN considerando as receitas declaradas e o valor dos débitos fiscais inscritos.
Para dívidas de até 60 salários mínimos de empresas do Simples Nacional e pessoas físicas, são oferecidos descontos de até 50% do valor total, a depender do número de parcelas, que variam de 12 a 60 prestações.
A adesão ao programa deve ser feita por meio do portal Regularize até o dia 30 de maio de 2025, importando na confissão irretratável das dívidas e na desistência de eventuais ações judiciais e recursos administrativos em curso.
Ficamos à disposição para esclarecimentos adicionais sobre a matéria.
Artigo preparado por Estevão Gross, sócio de GTLawyers. Para mais informações favor contatar o telefone 11.3504.7618 ou o e-mail egross@gtlawyers.com.br.
