Liderança que gera Negócios: o papel estratégico dos sócios na construção de novas oportunidades

Edital PGDAU nº 11/2025 estabelece condições vantajosas para a quitação de débitos com a União

A Procuradoria Geral da Fazenda Nacional (“PGFN”) publicou o Edital PGDAU nº 11/2025, com vigência a partir de 30 de maio de 2025, instituindo novas modalidades de transação para regularização de débitos inscritos em dívida ativa da União, tributários ou não tributários, com benefícios como redução de juros, multas e encargos legais, entrada facilitada e prazos longos para pagamento.

A medida visa incentivar a regularização fiscal de contribuintes inadimplentes, conforme sua capacidade de pagamento e a classificação dos débitos. A adesão deve ser feita exclusivamente pela plataforma REGULARIZE (www.regularize.pgfn.gov.br), de 2 de junho a 30 de setembro de 2025, das 8h às 19h, horário de Brasília.

Débitos Elegíveis e Modalidades de Transação

Poderão ser incluídos na transação os débitos, tributários ou não, inscritos em dívida ativa da União, desde que o valor consolidado não ultrapasse R$ 45 milhões por contribuinte. A data da inscrição do débito em dívida ativa é o critério que define a modalidade de transação elegível.

Inscrições até 04/03/2025 podem ser incluídas nas seguintes modalidades:

·       Transação por capacidade de pagamento;

·       Transação de débitos considerados irrecuperáveis;

·       Transação de débitos garantidos por seguro garantia ou carta fiança.

Inscrições até 02/06/2024 são elegíveis exclusivamente para:

·       transações de pequeno valor (até 60 salários-mínimos por inscrição).

As propostas estão divididas em quatro modalidades principais: (i) transação por capacidade de pagamento, (ii) transação de débitos considerados irrecuperáveis, (iii) transação de pequeno valor e (iv) transação relativa a débitos garantidos por seguro garantia ou carta fiança, conforme detalhado na tabela abaixo:

Regras Adicionais e Vedações

A adesão deverá abranger a totalidade das inscrições elegíveis em nome do contribuinte, sendo vedada a adesão parcial.

Nos casos em que as dívidas estejam sendo discutidas judicialmente, será necessário comprovar a desistência das ações, no prazo máximo de 60 dias a contar da adesão.

A inadimplência de três parcelas, sejam elas consecutivas ou não, resultará na rescisão automática do acordo.

O valor mínimo das prestações será de R$ 100,00, salvo para microempreendedores individuais (“MEI”), cujo valor mínimo é de R$ 25,00.

As parcelas serão corrigidas pela taxa SELIC acumulada mensalmente, com acréscimo de 1% no mês em que forem pagas. O contribuinte deverá manter sua regularidade fiscal perante a Receita Federal e o FGTS durante toda a vigência da transação.

Eventuais depósitos judiciais vinculados às inscrições transacionadas serão automaticamente convertidos em pagamento definitivos, com descontos incidentes apenas sobre o valor remanescente da dívida.

Recomendação

A transação prevista no Edital PGDAU nº 11/2025 constitui uma oportunidade estratégica para a regularização de débitos federais, especialmente para contribuintes com passivos antigos, capacidade de pagamento comprometida ou dívidas de pequeno valor.  Diante das particularidades de cada modalidade e das regras específicas aplicáveis, é fundamental realizar uma análise individualizada antes da adesão.

Nosso escritório está à disposição para oferecer suporte completo, desde a verificação da elegibilidade e simulações detalhadas de parcelamento e descontos, até a formalização da adesão, eventual desistência de ações judiciais e acompanhamento integral do cumprimento do acordo até sua conclusão.

Ficamos à disposição para esclarecimentos adicionais sobre a questão.

GT Lawyers – Equipe tributária

egross@gtlawyers.com.br 

Prezados,

No âmbito da aprovação das contas do ano de 2024, gostaríamos de chamar sua atenção para o fato de que a legislação brasileira prevê que esse procedimento deve ser realizado dentro de um prazo de quatro meses a partir do encerramento das contas. Como as empresas brasileiras fecham seu ano financeiro em 31 de dezembro de cada ano, a aprovação das demonstrações financeiras anuais deve, portanto, ser realizada até 30 de abril do ano seguinte.

Estamos à disposição para auxiliá-los nesse procedimento e fornecer quaisquer informações adicionais.

Atenciosamente,

Equipe GTLawyers

Le Responsable de la protection des données, également connu sous le nom de Data Protection Officer (DPO), est une fonction établie à la fois par la législation brésilienne (Loi Générale sur la Protection des Données – “LGPD”) et par la législation européenne (Règlement Général sur la Protection des Données – “RGPD”). Les deux lois ont leurs propres exigences pour la nomination de leurs DPOs, que ce soit pour les responsables du traitement ou les sous-traitants des données. Le Responsable de la protection des données agit comme un canal de communication entre les personnes concernées par les données et l’autorité publique chargée d’appliquer les réglementations de protection des données au sein de la juridiction

Bien que les deux législations exigent la présence d’un DPO, il existe des différences clés dont les sociétés doivent être conscientes afin d’atténuer les risques, éviter les sanctions légales et administratives et prévenir les dommages à leur réputation. Afin de clarifier ces distinctions, nous avons préparé un tableau comparatif au regard de la LGPD et du RGPD. 

Ci-dessous, nous mettons en évidence les principales caractéristiques de ces deux législations :

Ci-dessous, nous fournissons des clarifications additionnelles sur les différences entre le Responsable de la Protection des Données selon le RGPD et selon la LGPD.

OBLIGATION DE DÉSIGNER UN RESPONSABLE DE LA PROTECTION DES DONNÉES

Contrairement au RGPD [3], qui établit des critères spécifiques pour la désignation d’un DPO, la LGPD adopte une approche plus générale, déterminant que le responsable du traitement doit désigner un responsable de la protection des données personnelles. Cela implique qu’en règle générale, toute organisation publique ou privée doit désigner un DPO. Cependant, il existe une exception établie dans la Résolution CD/ANPD n° 2/2022, qui exempte les agents de traitement de petite taille [4] de la désignation d’un responsable, tout en maintenant les autres obligations définies par la LGPD [5]. De plus, le §3 de l’article 41 prévoit la possibilité d’autres exemptions, permettant à l’Autorité Nationale de Protection des Données (“ANPD”) d’établir des cas où la désignation d’un responsable peut ne pas être nécessaire, compte tenu de la nature, de la taille et du volume du traitement des données par l’entité.

QUALIFICATIONS ET COMPÉTENCES

Le rôle du DPO, selon la législation brésilienne, est plus flexible et possède des exigences moins rigoureuses en comparaison avec l’Europe, spécialement en ce qui concerne les qualifications du professionnel qui occupe cette fonction. Conformément à l’article 7 de la Résolution CD/ANPD n° 18/2024, il incombe à l’agent de traitement des données de définir les qualifications du Responsable de la Protection des Données sur la base de ses connaissances de la législation de protection des données personnelles, ainsi que du contexte, du volume et du risque des opérations de traitement réalisées. Cette Résolution établit également que le DPO devra être capable de communiquer de manière efficace avec les titulaires de données et avec l’ANPD. En Europe, l’article 37 du RGPD impose des exigences plus spécifiques, telles que la nécessité de connaissances spécialisées en droit et la pratiques de protection des données, l’exigence que les qualifications soient à la hauteur de la complexité et du risque des activités de traitement, la capacité de développer et de maintenir des programmes de protection de données, ainsi qu’une familiarité avec les mesures techniques et organisationnelles.

EXTERNALISATION DU RÔLE DU RESPONSABLE DE LA PROTECTION DES DONNÉES

La Résolution CD/ANPD n° 18/2024, qui réglemente la fonction du DPO à l’article 12, prévoit que ce professionnel peut être une personne physique, liée ou non à la structure organisationnelle de l’agent de traitement, ou encore une personne juridique [6]. Toutes ces options sont également autorisées par le RGPD [7].

DIVULGATION DES INFORMATIONS DE CONTACT DU RESPONSABLE DE LA PROTECTION DES DONNÉES

Les informations de contact du DPO doivent être publiées sur le site web de l’entreprise dans les deux législations, garantissant la transparence et l’accessibilité pour les titulaires de données et les autorités. L’article 9 de la Résolution CD/ANPD nº 18/2024 permet également que la divulgation ait lieu par d’autres moyens de communication, si le responsable du traitement des données ne possède pas de site web propre. Le RGPD établit également que les coordonnées du DPO doivent être communiquées aux autorités.

CONSIDÉRATIONS SUR LES CONFLITS D’INTÉRÊTS

Tant le Règlement Général sur la Protection des Données (RGPD) que la Loi Générale sur la Protection des Données (LGPD) abordent le thème des conflits d’intérêts dans l’exercice des fonctions du DPO. Le RGPD adopte des sauvegardes détaillées pour garantir l’indépendance du Responsable de la Protection des Données, interdisant qu’il assume des fonctions qui pourraient générer un conflit d’intérêts, comme, par exemple, des postes où il détermine les objectifs du traitement des données personnelles. De plus, le règlement exige que le Responsable de la Protection des Données ne soit pas puni ou licencié pour avoir exercé ses responsabilités [8].   La LGPD, quant à elle, établit que le responsable du traitement doit adopter des mesures pour atténuer tout conflit d’intérêt, avec la possibilité de remplacer le DPO, si nécessaire.

Ces aspects seront analysés plus en profondeur dans un article spécifique qui explorera des cas et la législation liées aux conflits d’intérêts dans le contexte de la protection des données.

         POSITION AU SEIN DE L’ORGANISATION

En ce qui concerne l’accumulation de fonctions, la législation brésilienne n’interdit pas expressément qu’un employé, un administrateur ou un sous-traitant soit désigné comme DPO, à condition que l’indépendance de la fonction soit préservée. De même, conformément au RGPD, le DPO peut exercer d’autres fonctions au sein de l’organisation, à condition que cela n’entraîne pas de conflit d’intérêt. Cela signifie que, selon la législation de l’Union Européenne, le DPO ne peut occuper un poste dans lequel il détermine les finalités et les moyens des activités de traitement de données personnelles, comme un directeur exécutif, un directeur des opérations ou un chef des Ressources Humaines, par exemple [9].

Le rôle du DPO est fondamental pour le maintien des normes de confidentialité, et une compréhension claire des réglementations qui régissent cette fonction est essentielle pour les organisations opérant au Brésil. Les entreprises étrangères qui entrent sur le marché brésilien doivent solliciter des conseils juridiques locaux pour garantir la conformité avec la LGPD, en particulier en ce qui concerne la désignation et les responsabilités du DPO.

GTLawyers a toute l’expertise nécessaire pour fournir des conseils et orientation juridique, soit en assistant le DPO dans ses activités quotidiennes, soit en offrant des services de DPO pour atténuer les conflits d’intérêts potentiels. Notre équipe s’assure que les entreprises non seulement remplissent leurs obligations légales, mais mettent également en œuvre des pratiques efficaces de protection des données, minimisant ainsi les risques juridiques et réputationnels, tout en préservant l’indépendance et l’impartialité du DPO.

GT Lawyers 

Anne Brunschwig

abrunschwig@gtlawyers.com.br

Jessica Ferreira

jferreira@gtlawyers.com.br

[1] Le Groupe de travail Article 29 (WP29) a publié des directives largement reconnues par le marché sur les qualifications du DPO, indiquant que ce professionnel doit savoir créer, mettre en œuvre et maintenir un Programme de Protection des Données. De plus, plus le traitement de données effectué par le responsable du traitement est complexe ou risqué, plus les exigences en matière de connaissances et de spécialisations pour le DPO seront élevées. Enfin, le DPO n’a pas besoin d’être avocat, mais doit être familiarisé avec la législation et les mesures techniques et organisationnelles de protection des données.

[2] L’article 38 du Règlement Général sur la Protection des Données (RGPD) stipule que le DPO doit être impliqué dans les questions liées au traitement des données personnelles et, en outre, doit agir de manière autonome, sans recevoir d’instructions de tiers, quelle que soit sa position hiérarchique. Dans ce contexte, l’entreprise doit fournir les ressources nécessaires à l’exercice de ses activités. Il est également important de souligner que le DPO ne peut pas être licencié ou puni pour l’exercice de ses fonctions. Il doit rendre compte à la haute direction, et les personnes concernées peuvent le contacter directement pour clarifier leurs doutes et traiter des questions pertinentes. De plus, le DPO doit garder le secret sur ses activités et peut exercer d’autres fonctions au sein de l’entreprise, à condition qu’il n’y ait pas de conflit d’intérêt.

[3] Aux termes du RGPD, la désignation d’un DPO est obligatoire dans trois cas spécifiques décrits à l’article 37 : (i) lorsque le traitement des données est effectué par une autorité ou un organisme public, à l’exception des tribunaux agissant dans leur fonction juridictionnelle ; (ii) lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent le suivi régulier et systématique des personnes concernées à grande échelle ; ou (iii) lorsque les activités principales impliquent le traitement à grande échelle de catégories particulières de données, telles que les données sensibles ou les informations relatives aux condamnations pénales et aux infractions.

[4] L’article 2, I, de la résolution mentionnée définit ces agents. Parmi les exemples, citons les microentreprises, les petites entreprises, les startups, les personnes morales de droit privé, y compris les organisations à but non lucratif. Il convient de noter que l’agent ne peut pas bénéficier du traitement juridique différencié de la résolution s’il relève des scénarios prévus à l’article 3.

[5] Les obligations des agents de traitement de petite taille ont été maintenues, mais une certaine flexibilité a été introduite dans des domaines spécifiques, tels que le délai doublé pour répondre aux demandes des titulaires et pour communiquer avec l’Autorité Nationale de Protection des Données (ANPD), ainsi que la possibilité d’adopter des procédures simplifiées.

[6] Le texte original de la LGPD stipulait que le DPO devait être une personne physique. Toutefois, la mesure provisoire n° 869/2018 a supprimé le terme “personne physique”, et la loi n° 13.853/2019 a introduit la possibilité pour les entreprises d’agir en tant que DPO.

[7] Conformément à l’article 37, §6 du RGPD, le DPO peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer les fonctions sur la base d’un contrat de service”.

[8] Voir article 38 du RGPD.

[9] Plus d’informations sur : site www.ecb.europa.eu. https://www.edpb.europa.eu/sme-data-protection-guide/data-protection-officer_en Consulté le : 30/10/2024.

The Data Protection Officer (DPO) is a role established by both Brazilian legislation (General Data Protection Law – “LGPD”) and European legislation (General Data Protection Regulation – “GDPR”). Both laws have their own requirements for the appointment of their DPOs, whether for data controllers or processors. The Data Protection Officer serves as a channel of communication between the data subjects and the public authority responsible for enforcing data protection regulations within the jurisdiction.

Although both legislations mandate the presence of a DPO, there are key differences that companies must be aware of to mitigate risks, avoid legal and administrative penalties, and prevent damage to their reputation. To clarify these distinctions, we have prepared a comparative table regarding the LGPD and the GDPR. 

Below, we highlight the main features of these two legislations:

Below, we provide further clarification on the differences between the Data Protection Officer under the GDPR and the LGPD.

OBLIGATION TO APPOINT A DPO

Unlike the GDPR [3], which establishes specific criteria for the designation of a DPO, the LGPD adopts a more general approach, determining that the data controller must appoint a person in charge of personal data protection. This implies that, generally, any public or private organization must appoint a DPO. However, there is an exception established in Resolution CD/ANPD No. 2/2022, which exempts small processing agents [4] from appointing a DPO, while maintaining other obligations defined by the LGPD [5]. Additionally, §3 of Article 41 provides the possibility of additional exemptions, allowing the National Data Protection Authority (“ANPD”) to establish cases where the appointment of a DPO may not be necessary, considering the nature, size, and volume of data processing by the entity.

QUALIFICATIONS AND SKILLS

The role of the DPO under Brazilian legislation is more flexible with fewer stringent requirements compared to Europe, particularly regarding the qualifications of the professional occupying this position. According to Article 7 of Resolution CD/ANPD No. 18/2024, it is the responsibility of the data processing agent to define the qualifications of the DPO based on their knowledge of personal data protection legislation, as well as the context, volume, and risk of the processing operations conducted. This Resolution also establishes that the DPO must be capable of effectively communicating with data subjects and with the ANPD. In Europe, Article 37 of the GDPR imposes more specific requirements, such as the need for specialized knowledge in law and data protection practices, the requirement that qualifications match the complexity and risk of processing activities, the ability to develop and maintain data protection programs, as well as familiarity with technical and organizational measures.

OUTSOURCING THE DPO ROLE 

Resolution CD/ANPD No. 18/2024, which regulates the DPO role in Article 12, provides that the DPO may be an individual, either affiliated or not with the organizational structure of the processing agent, or a legal entity [6]. All these options are also permitted under the GDPR [7].

DISCLOSURE OF THE DPO’S CONTACT INFORMATION

The contact details of the DPO must be published on the company’s website under both legislations, ensuring transparency and accessibility for data subjects and authorities. Article 9 of Resolution CD/ANPD No. 18/2024 also allows for disclosure through other communication means if the data controller does not have its own website. The GDPR also requires that the DPO’s contact details be communicated to the authorities.

CONFLICTS OF INTEREST CONSIDERATIONS

Both the General Data Protection Regulation (GDPR) and the Brazilian General Data Protection Law (LGPD) address conflicts of interest influencing the performance of the DPO’s duties. The GDPR includes detailed safeguards to ensure the DPO’s independence, prohibiting them from performing functions that could create a conflict of interest, such as positions where they determine the purposes of personal data processing. Furthermore, the regulation states that the DPO should not be penalized or dismissed for performing their responsibilities [8]. In contrast, the LGPD establishes that the data controller must take steps to mitigate any conflict of interest, with the option to replace the DPO if necessary. 

These aspects will be analyzed more thoroughly in a specific article exploring cases and legislation related to conflicts of interest in the context of data protection.

POSITION WITHIN THE ORGANIZATION

Regarding the accumulation of functions, Brazilian legislation does not explicitly prohibit an employee, director, or contractor from being designated as a DPO, provided that the independence of the role is maintained. Similarly, under the GDPR, the DPO may perform other roles within the organization as long as it does not lead to a conflict of interest. This means that, according to European Union legislation, the DPO cannot hold a position where they determine the purposes and means of personal data processing activities, such as a chief executive officer, chief operating officer, or head of human resources, for instance [9].

***

In conclusion, the role of the DPO is crucial for maintaining privacy standards, and a clear understanding of the regulations governing this role is essential for organizations operating in Brazil. Foreign companies entering the Brazilian market should seek local legal advice to ensure compliance with the LGPD, particularly regarding the designation and responsibilities of the DPO.

GTLawyers possess the necessary expertise to provide legal advice and guidance, whether by assisting the DPO in their daily activities or by offering DPO services to mitigate potential conflicts of interest. Our team ensures that companies not only fulfill their legal obligations but also implement effective data protection practices, thereby minimizing legal and reputational risks while maintaining the DPO’s independence and impartiality.

GT Lawyers 

Anne Brunschwig

abrunschwig@gtlawyers.com.br

Jessica Ferreira

jferreira@gtlawyers.com.br

[1] The Article 29 Working Party (WP29) has issued widely recognized market guidelines on the qualifications of the DPO, indicating that this professional must be capable of creating, implementing, and maintaining a Data Protection Program. Moreover, the more complex or risky the data processing carried out by the data controller, the higher the knowledge and specialization requirements for the DPO will be. Finally, the DPO does not need to be a lawyer, but must be familiar with data protection legislation and technical and organizational measures.

[2] Article 38 of the General Data Protection Regulation (GDPR) stipulates that the DPO must be involved in matters related to the processing of personal data and must act autonomously, without receiving instructions from third parties, regardless of their hierarchical position. In this context, the company must provide the necessary resources for the exercise of their activities. It is also important to emphasize that the DPO cannot be dismissed or penalized for performing their duties. They must report to senior management, and data subjects can contact them directly to clarify their doubts and address pertinent issues. Additionally, the DPO must maintain confidentiality regarding their activities and can perform other functions within the company, provided that there is no conflict of interest.

[3] Under the GDPR, the designation of a DPO is mandatory in three specific cases described in Article 37: (i) when data processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (ii) when the core activities of the controller or processor involve regular and systematic monitoring of data subjects on a large scale; or (iii) when the core activities involve large-scale processing of special categories of data, such as sensitive data or information relating to criminal convictions and offenses.

[4] Article 2, I, of the mentioned resolution defines these agents. Examples include micro-enterprises, small businesses, startups, private legal entities, including non-profit organizations. It is important to note that the agent cannot benefit from the differentiated legal treatment of the resolution if they fall under the scenarios provided in Article 3.

[5] The obligations of small processing agents have been maintained, but a certain flexibility has been introduced in specific areas, such as the doubled timeframe to respond to data subjects’ requests and to communicate with the National Data Protection Authority (ANPD), as well as the possibility of adopting simplified procedures.

[6] The original text of the LGPD stipulated that the DPO must be a natural person. However, Provisional Measure No. 869/2018 removed the term “natural person,” and Law No. 13.853/2019 introduced the possibility for companies to act as a DPO.

[7] In accordance with Article 37, §6 of the GDPR, “the DPO may be a staff member of the controller or processor, or perform the duties on the basis of a service contract”

[8] See Article 38 of the GDPR.

[9] More information is available at:  www.ecb.europa.eu (accessed on: 30/10/2024).

O Encarregado de Proteção de Dados, também conhecido como Data Protection Officer (“DPO”) pela legislação europeia (Regulamento Geral sobre a Proteção de Dados – “RGPD”), é uma função estabelecida tanto pela legislação brasileira (Lei Geral de Proteção de Dados – “LGPD”) quanto no RGPD. Ambas as leis têm suas próprias exigências para a nomeação de seus DPOs, seja para os controladores de dados ou os processadores. O DPO atua como um canal de comunicação entre os titulares dos dados e a autoridade pública responsável por aplicar as regulamentações de proteção de dados dentro da jurisdição.

Apesar de as duas legislações exigirem a presença de um DPO, existem diferenças chave das quais as empresas devem estar cientes para mitigar riscos, evitar sanções legais e administrativas e prevenir danos à sua reputação. Para esclarecer essas distinções, preparamos um quadro comparativo referente à LGPD e ao RGPD.

A seguir, destacamos as principais características dessas duas legislações:

A seguir, esclarecemos as principais diferenças entre o DPO no RGPD e na LGPD.

OBRIGAÇÃO DE NOMEAR UM DPO 

Diferentemente do RGPD [3], que estabelece critérios específicos para a designação de um DPO, a LGPD adota uma abordagem mais geral, determinando que o controlador deve designar um encarregado de proteção de dados pessoais. Isso implica que, de modo geral, qualquer organização pública ou privada deve designar um DPO. Contudo, existe uma exceção estabelecida na Resolução CD/ANPD nº 2/2022, que isenta os agentes de tratamento de pequeno porte [4] da designação de um DPO, mantendo-se as demais obrigações definidas pela LGPD [5]. Além disso, o §3 do artigo 41 prevê a possibilidade de outras isenções, permitindo à Autoridade Nacional de Proteção de Dados (“ANPD”) estabelecer casos nos quais a designação de um DPO pode não ser necessária, considerando a natureza, o porte e o volume de tratamento de dados pela entidade.

QUALIFICAÇÕES E COMPETÊNCIAS

O papel do DPO, segundo a legislação brasileira, é mais flexível e possui exigências menos rigorosas em comparação com a Europa, especialmente no que tange às qualificações do profissional que ocupa essa função. De acordo com o artigo 7 da Resolução CD/ANPD nº 18/2024, cabe ao agente de tratamento de dados definir as qualificações do DPO com base em seu conhecimento da legislação de proteção de dados pessoais, bem como do contexto, volume e risco das operações de tratamento realizadas. Essa Resolução também estabelece que o DPO deverá ser capaz de se comunicar de maneira eficaz com os titulares de dados e com a ANPD. Na Europa, o artigo 37 do RGPD impõe requisitos mais específicos, como a necessidade de conhecimentos especializados em direito e práticas de proteção de dados, a exigência de que as qualificações sejam proporcionais à complexidade e ao risco das atividades de tratamento, a capacidade de desenvolver e manter programas de proteção de dados, bem como familiaridade com medidas técnicas e organizacionais.

TERCEIRIZAÇÃO DO PAPEL DO DPO 

A Resolução CD/ANPD nº 18/2024, que regulamenta a função do DPO no artigo 12, prevê que esse profissional pode ser uma pessoa física, vinculada ou não à estrutura organizacional do agente de tratamento, ou ainda uma pessoa jurídica [6]. Todas essas opções também são autorizadas pelo RGPD [7].

DIVULGAÇÃO DAS INFORMAÇÕES DE CONTATO DO DPO 

As informações de contato do DPO devem ser publicadas no site da empresa em ambas as legislações, garantindo a transparência e a acessibilidade para os titulares de dados e as autoridades. O artigo 9 da Resolução CD/ANPD nº 18/2024 também permite que a divulgação ocorra por outros meios de comunicação, caso o controlador de dados não possua um site próprio. O RGPD estabelece igualmente que os dados de contato do DPO devem ser comunicados às autoridades.

CONSIDERAÇÕES SOBRE CONFLITOS DE INTERESSES

Tanto o Regulamento Geral sobre a Proteção de Dados (RGPD) quanto a Lei Geral de Proteção de Dados (LGPD) abordam o tema dos conflitos de interesses no exercício das funções do DPO. O RGPD adota salvaguardas detalhadas para garantir a independência do DPO, proibindo que ele assuma funções que possam gerar um conflito de interesses, como, por exemplo, cargos onde determine os objetivos do tratamento de dados pessoais. Além disso, o regulamento exige que o DPO não seja punido ou dispensado por exercer suas responsabilidades [8]. A LGPD, por sua vez, estabelece que o controlador deve adotar medidas para mitigar qualquer conflito de interesse, com a possibilidade de substituir o DPO, se necessário.

Esses aspectos serão analisados mais a fundo em um artigo específico que explorará casos e a legislação relacionada a conflitos de interesses no contexto da proteção de dados.

POSIÇÃO DENTRO DA ORGANIZAÇÃO

No que diz respeito à acumulação de funções, a legislação brasileira não proíbe expressamente que um funcionário, administrador ou subcontratado seja designado como DPO, desde que a independência da função seja preservada. Da mesma forma, conforme o RGPD, o DPO pode exercer outras funções na organização, desde que isso não implique em um conflito de interesses. Isso significa que, segundo a legislação da União Europeia, o DPO não pode ocupar um cargo no qual determine as finalidades e os meios das atividades de tratamento de dados pessoais, como diretor executivo, diretor de operações ou chefe de Recursos Humanos, por exemplo [9].

O papel do DPO é fundamental para a manutenção das normas de privacidade, e uma compreensão clara das regulamentações que regem essa função é essencial para as organizações que operam no Brasil. As empresas estrangeiras que ingressam no mercado brasileiro devem buscar aconselhamento jurídico local para garantir a conformidade com a LGPD, particularmente no que se refere à designação e responsabilidades do DPO.

A GTLawyers possui toda a expertise necessária para fornecer aconselhamento e orientação jurídica, seja auxiliando o DPO em suas atividades diárias, seja oferecendo serviços de DPO para mitigar potenciais conflitos de interesses. Nossa equipe assegura que as empresas não apenas cumpram suas obrigações legais, mas também implementem práticas eficazes de proteção de dados, minimizando assim riscos jurídicos e reputacionais, ao mesmo tempo que preservam a independência e a imparcialidade do DPO.

GT Lawyers 

Anne Brunschwig

abrunschwig@gtlawyers.com.br

Jessica Ferreira

jferreira@gtlawyers.com.br

[1] O Grupo de Trabalho do Artigo 29 (WP29) publicou diretrizes amplamente reconhecidas pelo mercado sobre as qualificações do DPO, indicando que esse profissional deve saber criar, implementar e manter um Programa de Proteção de Dados. Além disso, quanto mais complexo ou arriscado for o tratamento de dados realizado pelo controlador, mais elevadas serão as exigências de conhecimento e especialização para o DPO. Por fim, o DPO não precisa ser advogado, mas deve estar familiarizado com a legislação e as medidas técnicas e organizacionais de proteção de dados.

[2] O artigo 38 do Regulamento Geral sobre a Proteção de Dados (RGPD) estipula que o DPO deve ser envolvido nas questões relacionadas ao tratamento de dados pessoais e, ademais, deve atuar de forma autônoma, sem receber instruções de terceiros, independentemente de sua posição hierárquica. Nesse contexto, a empresa deve fornecer os recursos necessários para o exercício de suas atividades. É também importante destacar que o DPO não pode ser demitido ou punido pelo exercício de suas funções. Ele deve reportar-se à alta administração, e os titulares dos dados podem contatá-lo diretamente para esclarecer suas dúvidas e tratar de questões pertinentes. Além disso, o DPO deve manter sigilo sobre suas atividades e pode exercer outras funções na empresa, desde que não haja conflito de interesses.

[3] Nos termos do RGPD, a designação de um DPO é obrigatória em três casos específicos descritos no artigo 37: (i) quando o tratamento de dados é realizado por uma autoridade ou organismo público, exceto tribunais atuando em sua função jurisdicional; (ii) quando as atividades principais do controlador ou do processador envolvem o monitoramento regular e sistemático dos titulares de dados em grande escala; ou (iii) quando as atividades principais envolvem o tratamento em larga escala de categorias especiais de dados, como dados sensíveis ou informações relativas a condenações penais e infrações.

[4] O artigo 2º, I, da resolução mencionada define esses agentes. Dentre os exemplos, citam-se microempresas, pequenas empresas, startups, pessoas jurídicas de direito privado, incluindo organizações sem fins lucrativos. É importante notar que o agente não pode se beneficiar do tratamento jurídico diferenciado da resolução se estiver enquadrado nos cenários previstos no artigo 3º.

[5] As obrigações dos agentes de tratamento de pequeno porte foram mantidas, mas certa flexibilidade foi introduzida em áreas específicas, como prazo dobrado para atender às solicitações dos titulares e para comunicar-se com a Autoridade Nacional de Proteção de Dados (ANPD), bem como a possibilidade de adotar procedimentos simplificados.

[6] O texto original da LGPD estipulava que o DPO deveria ser uma pessoa física. No entanto, a medida provisória nº 869/2018 suprimiu o termo “pessoa física”, e a lei nº 13.853/2019 introduziu a possibilidade de empresas atuarem como DPO.

[7] De acordo com o artigo 37, §6 do RGPD, o DPO pode ser membro do pessoal do controlador ou do processador, ou exercer as funções com base em um contrato de serviço.

[8] Ver artigo 38 do RGPD.

[9] Mais informações em: site www.ecb.europa.eu  Consultado em: 30/10/2024.

Conforme veiculado pelos principais órgãos de imprensa, o Governo Federal apresentou ao Congresso Nacional o projeto de lei 1.085 (PL 1.087/2025) objetivando a reforma do imposto de renda devido pelas pessoas físicas (“IRPF”). Apresentamos abaixo um breve resumo e considerações acerca desse novo projeto:

Reduções do IRPF

O projeto concede uma redução de 100% do IRPF de contribuintes cujos rendimentos tributáveis não excedam R$ 5 mil/mês, e reduções menores e escalonadas para quem recebe entre R$ 5 mil e R$ 7 mil/mês.

Contrariando o histórico da tributação com base na tabela progressiva (tributação por faixa), essa redução se aplica exclusivamente para os contribuintes com essa faixa de renda (benefício pessoal), e não para contribuintes com renda superior. Ou seja, o contribuinte que receber R$ 8 mil/mês, por exemplo, continuará pagando IRPF com base nas alíquotas da tabela progressiva vigente, sem direito aos redutores do IRPF sobre a faixa de renda de até R$ 7 mil/mês.

Entendemos que essa distinção é bastante questionável, uma vez que restringe o benefício do redutor a contribuintes, e não à faixas de renda, tratando de forma desigual contribuintes em situações econômicas muito similares (eg. contribuinte com renda mensal de R$ 5 mil versus renda mensal de R$ 7 mil) e ignorando que a capacidade contributiva dessa faixa de renda é a mesma, independentemente do contribuinte.

IRPF mínimo para altas rendas

O projeto pretende instituir um piso mínimo de IRPF para contribuintes classificados em altas faixas de renda, conforme as seguintes medidas:

• IRPF mínimo: instituição do IRPF mínimo para contribuintes com renda anual superior a R$ 600 mil. Nesse cálculo deverão ser excluídos os ganhos de capital, doações e heranças. O IRPF mínimo será progressivo (0-10%) para rendas acima de R$ 600 mil e inferiores a R$ 1,2 milhão. Acima desse limite, o IRPF mínimo será de 10%.

• Do IRPF mínimo, poderão ser deduzidos: (i) o IRPF apurado sob o regime regular, devido na Declaração de Ajuste Anual; (ii) o IR retido sob a sistemática de tributação exclusiva na fonte; (iii) o IR devido sobre investimentos no exterior; (iv) IR definitivo, pago sobre rendimentos que compõe sua base de cálculo (ganhos líquidos, por exemplo) e (v) redutor sobre dividendos (comentado a seguir). Se a soma dos itens (i) a (iv) exceder o valor do IRPF mínimo, este será igual a zero.

• Lucros e dividendos: tributação pelo IRPF, à alíquota de 10%, sobre lucros e dividendos pagos por sociedades no Brasil a uma mesma pessoa física, desde que o montante mensal exceda R$ 50 mil/mês;

• Dividendos e IRPF mínimo: caso a soma da alíquota efetiva de tributação dos lucros da pessoa jurídica (IRPJ e CSLL) com a alíquota efetiva do IRPF mínimo ultrapasse as alíquotas nominais de IRPJ/CSLL, haverá a concessão de um redutor de IRPF mínimo sobre os lucros e dividendos distribuídos. O racional do redutor é que a tributação global sobre os lucros/dividendos sujeitos ao IRPF mínimo não exceda as alíquotas nominais do IRPJ/CSLL (34%, 40% ou 45%, a depender da atividade desenvolvida pela empresa). O redutor deverá ser considerado com base na alíquota efetiva de IRPJ/CSLL recolhida pela pessoa jurídica, considerando o total desses tributos e o lucro líquido da sociedade.

• Exterior: Alíquota de 10% de IRFonte sobre lucros e dividendos pagos ao exterior;

• Também neste caso, se a soma da alíquota efetiva de tributação dos lucros da pessoa jurídica (IRPJ e CSLL) com o IRFonte exceder as alíquotas nominais de IRPJ/CSLL (34%, 40% ou 45%), haverá a concessão de um crédito ao não residente, que poderá ser pleiteado em até 360 dias contados do encerramento de cada exercício

Ficamos à disposição para esclarecimentos adicionais sobre a matéria.

Artigo preparado por Estevão Gross, sócio de GTLawyers. Para mais informações favor contatar o telefone 11.3504.7618 ou o e-mail egross@gtlawyers.com.br.