Temos o prazer de anunciar que Tamy Tanzilli representará nosso escritório em uma importante palestra no dia 10 de junho, organizada pela C Law Experience em São Paulo. O tema central será “Liderança que gera Negócios: o papel estratégico dos sócios na construção de novas oportunidades”, um debate fundamental para o cenário jurídico atual.
Tamy Tanzilli se juntará a um painel de especialistas para discutir como a liderança proativa e uma visão estratégica podem impulsionar o crescimento do escritório e a identificação de novas avenidas de negócios.
On June 10, GT Lawyers will host a webinar presented by Anne-Caterine Brunschwig, Partner, and Jessica Ferreira, Associate Lawyer in the Data Protection & Compliance team. The session will examine the legal framework applicable to international data transfers under Brazilian law, as regulated by ANPD Resolution No. 19/2024, as well as the compliance obligations that organizations must fulfill to ensure the lawful cross-border processing of personal data.
Key topics include:
✅ The legal definition of international data transfers under the LGPD
✅ The scenarios in which such transfers are permitted
✅ The main legal bases and mechanisms that authorize cross-border data flows
📅 Date: June 10, 2025
🕐 Time: 1:00 PM (BRT)
L'Édital PGDAU nº 11/2025 établit des conditions avantageuses pour la régularisation des dettes envers l'Union
La Procuradoria Geral da Fazenda Nacional (« PGFN ») a publié l’Édital PGDAU nº 11/2025, applicable à partir du 30 mai 2025, qui instaure de nouvelles modalités de transaction pour la régularisation des dettes inscrites à la dette active de l’Union, qu’elles soient fiscales ou non fiscales. Ces modalités incluent des avantages tels que des réductions sur les intérêts, amendes et frais légaux, des conditions d’entrée facilitées, ainsi que des délais prolongés pour effectuer les paiements.
Cette mesure vise à inciter la régularisation fiscale des contribuables en retard en tenant compte de leur capacité de paiement et de la classification de leurs dettes. Les adhésions doivent être effectuées exclusivement via la plateforme REGULARIZE (www.regularize.pgfn.gov.br) entre le 2 juin et le 30 septembre 2025, de 8h à 19h (heure de Brasília).
Dettes éligibles et modalités de transaction
Les dettes fiscales ou non fiscales inscrites à la dette active de l’Union peuvent être incluses dans la transaction, à condition que le montant consolidé par contribuable n’excède pas 45 millions de reais. La date d’inscription de la dette à la dette active détermine la catégorie de transaction éligible.
Les dettes inscrites jusqu’au 04/03/2025 peuvent bénéficier des modalités suivantes :
- Transaction en fonction de la capacité de paiement ;
- Transaction pour les dettes jugées irrécupérables ;
- Transaction pour les dettes garanties par des assurances ou des lettres de garantie.
Les dettes inscrites jusqu’au 02/06/2024 sont éligibles uniquement à ces modalités :
- Transactions pour dettes de faible montant (jusqu’à 60 fois le salaire minimum par inscription).
Les propositions sont divisées en quatre principales modalités : 1) Transaction par capacité de paiement, 2) Transaction pour dettes jugées irrécupérables, 3) Transaction pour dettes de faible montant, 4) Transaction pour dettes garanties par assurance ou lettre de garantie, comme détaillé dans l’édital.
| Les dettes déjà en cours de régularisation (paiement échelonné, transaction, garanties ou avec exécution suspendue par décision judiciaire) peuvent être incluses dans ces modalités à condition de leur renonciation préalable, selon les délais et directives énumérés dans l’édital. Les contribuables ayant résilié une transaction dans les deux années précédentes, même pour des dettes différentes, sont exclus de cette initiative. |
Règles additionnelles et interdictions
L’adhésion doit inclure l’intégralité des dettes éligibles du contribuable, l’adhésion partielle n’est pas autorisée.
En cas de litige judiciaire sur les dettes, il faudra prouver la renonciation aux actions judiciaires dans un délai de 60 jours après l’adhésion.
Tout défaut de paiement de trois échéances, consécutives ou non, entraînera la résiliation automatique de l’accord.
Le montant minimum des paiements mensuels est fixé à 100 R$, sauf pour les micro-entrepreneurs individuels (MEI), où il est de 25 R$.
Les mensualités seront ajustées selon le taux SELIC cumulé mensuellement, avec un ajout de 1% applicable au mois de paiement. Le contribuable doit rester en règle avec la Receita Federal et le FGTS pendant toute la durée de l’accord.
Les dépôts judiciaires liés aux dettes incluses dans la transaction seront automatiquement convertis en paiements définitifs, avec les réductions appliquées uniquement au montant résiduel de la dette.
Recommandation
L’initiative prévue dans l’Édital PGDAU nº 11/2025 représente une opportunité stratégique pour régulariser les dettes fédérales, en particulier pour les contribuables ayant des dettes anciennes, une capacité de paiement limitée ou des passifs de faible montant. Compte tenu des spécificités de chaque modalité et des réglementations associées, une analyse individuelle approfondie est essentielle avant toute adhésion.
Notre cabinet est à votre disposition pour offrir un accompagnement complet, allant de la vérification de l’éligibilité, à la simulation des paiements et remises, jusqu’à la formalisation de l’accord, en passant par la renonciation aux actions judiciaires et le suivi intégral de l’accord jusqu’à sa conclusion.
Nous restons à votre disposition pour toute information complémentaire.
GT Lawyers – Équipe de droit fiscal
Evento presencial na CCIFB no 29/05/2025
Execução das garantias após o Marco das Garantias na Área de Real Estate
No dia 29 de maio, às 8h30, a Câmara de Comércio França-Brasil está organizando um encontro para debater as mudanças estruturais que visam proporcionar maior segurança jurídica, celeridade processual e efetividade na recuperação de créditos garantidos por bens imóveis.
O encontro será moderado por nossa sócia, Carolina Moresco, e nossa advogada Fernanda Malta e a palestra será ministrada por Fábio Rocha Pinto e Silva, sócio do Pinheiro Neto Advogados, e Patrícia André de Camargo Ferraz, Registradora de Imóveis, Títulos e Documentos e Civil de Pessoas Jurídicas de Diadema.
Participe e entenda como essas práticas podem transformar o futuro do seu escritório!
Prezados clientes e parceiros,
É com grande respeito, admiração e um sentimento de profunda gratidão que compartilhamos um importante capítulo na história do GTLawyers: a aposentadoria de nosso querido sócio Thomas Fowler, que acontecerá ao final do mês de maio de 2025.
Após quatro anos de planejamento conjunto, conduzidos com transparência, responsabilidade e diálogo aberto, Thomas encerrará sua brilhante trajetória profissional conosco, passando a desfrutar de uma nova fase dedicada à família, aos amigos e à merecida tranquilidade em Serra Negra – sempre com a certeza de que continuará próximo de todos nós, agora em sua nova posição como Consultor do escritório.
A história do Thomas é marcada por conquistas e contribuições excepcionais. Com uma sólida carreira em grandes empresas nacionais e multinacionais — como Toyota do Brasil, Vale e Anglo American — Thomas trouxe ao GTLawyers uma bagagem ímpar de conhecimento, vivência prática e visão estratégica. Em 2014, ingressou em nosso time a princípio com o desafio de colaborar em projetos específicos, mas seu talento rapidamente se destacou, consolidando sua presença de forma permanente, até tornar-se sócio e referência incontornável da nossa área de consultoria trabalhista.
Ao longo desses anos, Thomas foi muito mais do que um sócio: sua postura ética, sensibilidade humana e rigor técnico moldaram a cultura do nosso escritório e inspiraram gerações de profissionais. Seu olhar atento aos detalhes, sua capacidade de lidar com questões complexas e sua dedicação constante à qualidade tornaram-se marcas registradas do GTLawyers, reconhecidas por toda a nossa equipe, mercado e, principalmente, pelos nossos clientes.
Além do valioso conhecimento jurídico, Thomas nos brindou com amizade, lealdade e integridade, qualidades que transcendem o ambiente profissional e fortalecem os laços que unem o GTLawyers.
Com a mesma seriedade e zelo que pautaram o planejamento da sua aposentadoria, garantimos que o processo de transição foi conduzido de forma estruturada e minuciosa. Assim, a continuidade dos trabalhos e do atendimento aos nossos clientes seguirá com a excelência de sempre, sob o comando do sócio Diogo Tabosa e seu competente time, que compartilham dos mesmos valores e padrões de qualidade consolidados pelo Thomas ao longo de sua trajetória.
Receba o nosso mais sincero agradecimento por tudo o que construiu e compartilhou conosco.
Por fim, reiteramos a todos os nossos clientes e parceiros que nosso compromisso com a excelência, transparência e dedicação permanece inabalável.
Com apreço e gratidão,
L'équipe GTLawyers
Chers clients,
Dans le cadre de l'approbation des comptes pour l'année 2024, nous souhaitons attirer votre attention sur le fait que la législation brésilienne dispose que cette procédure doit être réalisée dans un délai de quatre mois à compter de la clôture des comptes. Les entreprises brésiliennes clôturant leur année financière au 31 décembre de chaque année, l'approbation des comptes annuels doit donc, dans ce cas, être effectuée avant le 30 avril de l'année suivante.
Nous restons à votre disposition pour vous assister dans cette procédure et vous fournir toute information complémentaire.
Bien cordialement,
L'équipe GTLawyers
Le Responsable de la protection des données, également connu sous le nom de Data Protection Officer (DPO), est une fonction établie à la fois par la législation brésilienne (Loi Générale sur la Protection des Données – “LGPD”) et par la législation européenne (Règlement Général sur la Protection des Données – “RGPD”). Les deux lois ont leurs propres exigences pour la nomination de leurs DPOs, que ce soit pour les responsables du traitement ou les sous-traitants des données. Le Responsable de la protection des données agit comme un canal de communication entre les personnes concernées par les données et l’autorité publique chargée d’appliquer les réglementations de protection des données au sein de la juridiction
Bien que les deux législations exigent la présence d’un DPO, il existe des différences clés dont les sociétés doivent être conscientes afin d’atténuer les risques, éviter les sanctions légales et administratives et prévenir les dommages à leur réputation. Afin de clarifier ces distinctions, nous avons préparé un tableau comparatif au regard de la LGPD et du RGPD.
Ci-dessous, nous mettons en évidence les principales caractéristiques de ces deux législations :
| RGPD | LGPD | |
| Obligation de nommer un DPO | Obligatoire dans des cas spécifiques, par exemple, les organismes publics ou les entités impliquées dans la surveillance systématique et à grande échelle de données ou dans le traitement de données sensibles (Art. 37). | Généralement exigé pour toutes les entités, avec des exceptions[GR1] pour les agents de petite taille s’il existe un canal de communication disponible (Résolution CD/ANPD nº 2/2022). |
| Qualifications et Compétences | Requiert des qualifications professionnelles, notamment en droit et en pratiques de protection des données (Art. 37) [1]. | Les qualifications sont déterminées par l’expertise pertinente au contexte, au volume et aux risques associés au traitement des données (Résolution CD/ANPD nº 18/2024). |
| Responsabilités | Responsabilités importantes, y compris le soutien aux évaluations d’impact, la coopération réglementaire et le contact avec le titulaire des données (Art. 39).” | Les responsabilités comprennent la gestion des réclamations et des communications avec les personnes concernées par les données, l’ANPD, et le conseil à l’entreprise, aux tiers et aux employés sur les pratiques de protection des données. |
| Externalisation | Autorisée (Art. 39). | Autorisée (Art. 5). |
| Divulgation | Les coordonnées doivent être publiées sur le site Web de l’entreprise et fournies aux autorités de contrôle. | Les coordonnées doivent être publiées sur le site Web de l’entreprise. |
| Conflit d’intérêts | Mesures de sauvegarde pour garantir l’indépendance et prévenir les conflits d’intérêts (Art. 38(3) et 38(6)). | Exige des mesures pour atténuer les conflits d’intérêts (Résolution CD/ANPD n° 18/2024). |
| Position au sein de l’organisation | Fonctionne de manière indépendante, avec les ressources nécessaires et un accès direct à la haute direction [2]. | Exigences similaires en matière d’autonomie et d’accès, bien qu’il n’y ait pas de protection explicite contre un licenciement (Résolution CD/ANPD n° 18/2024, Art. 10 et 15). |
Ci-dessous, nous fournissons des clarifications additionnelles sur les différences entre le Responsable de la Protection des Données selon le RGPD et selon la LGPD.
OBLIGATION DE DÉSIGNER UN RESPONSABLE DE LA PROTECTION DES DONNÉES
Contrairement au RGPD [3], qui établit des critères spécifiques pour la désignation d’un DPO, la LGPD adopte une approche plus générale, déterminant que le responsable du traitement doit désigner un responsable de la protection des données personnelles. Cela implique qu’en règle générale, toute organisation publique ou privée doit désigner un DPO. Cependant, il existe une exception établie dans la Résolution CD/ANPD n° 2/2022, qui exempte les agents de traitement de petite taille [4] de la désignation d’un responsable, tout en maintenant les autres obligations définies par la LGPD [5]. De plus, le §3 de l’article 41 prévoit la possibilité d’autres exemptions, permettant à l’Autorité Nationale de Protection des Données (“ANPD”) d’établir des cas où la désignation d’un responsable peut ne pas être nécessaire, compte tenu de la nature, de la taille et du volume du traitement des données par l’entité.
QUALIFICATIONS ET COMPÉTENCES
Le rôle du DPO, selon la législation brésilienne, est plus flexible et possède des exigences moins rigoureuses en comparaison avec l’Europe, spécialement en ce qui concerne les qualifications du professionnel qui occupe cette fonction. Conformément à l’article 7 de la Résolution CD/ANPD n° 18/2024, il incombe à l’agent de traitement des données de définir les qualifications du Responsable de la Protection des Données sur la base de ses connaissances de la législation de protection des données personnelles, ainsi que du contexte, du volume et du risque des opérations de traitement réalisées. Cette Résolution établit également que le DPO devra être capable de communiquer de manière efficace avec les titulaires de données et avec l’ANPD. En Europe, l’article 37 du RGPD impose des exigences plus spécifiques, telles que la nécessité de connaissances spécialisées en droit et la pratiques de protection des données, l’exigence que les qualifications soient à la hauteur de la complexité et du risque des activités de traitement, la capacité de développer et de maintenir des programmes de protection de données, ainsi qu’une familiarité avec les mesures techniques et organisationnelles.
EXTERNALISATION DU RÔLE DU RESPONSABLE DE LA PROTECTION DES DONNÉES
La Résolution CD/ANPD n° 18/2024, qui réglemente la fonction du DPO à l’article 12, prévoit que ce professionnel peut être une personne physique, liée ou non à la structure organisationnelle de l’agent de traitement, ou encore une personne juridique [6]. Toutes ces options sont également autorisées par le RGPD [7].
DIVULGATION DES INFORMATIONS DE CONTACT DU RESPONSABLE DE LA PROTECTION DES DONNÉES
Les informations de contact du DPO doivent être publiées sur le site web de l’entreprise dans les deux législations, garantissant la transparence et l’accessibilité pour les titulaires de données et les autorités. L’article 9 de la Résolution CD/ANPD nº 18/2024 permet également que la divulgation ait lieu par d’autres moyens de communication, si le responsable du traitement des données ne possède pas de site web propre. Le RGPD établit également que les coordonnées du DPO doivent être communiquées aux autorités.
CONSIDÉRATIONS SUR LES CONFLITS D’INTÉRÊTS
Tant le Règlement Général sur la Protection des Données (RGPD) que la Loi Générale sur la Protection des Données (LGPD) abordent le thème des conflits d’intérêts dans l’exercice des fonctions du DPO. Le RGPD adopte des sauvegardes détaillées pour garantir l’indépendance du Responsable de la Protection des Données, interdisant qu’il assume des fonctions qui pourraient générer un conflit d’intérêts, comme, par exemple, des postes où il détermine les objectifs du traitement des données personnelles. De plus, le règlement exige que le Responsable de la Protection des Données ne soit pas puni ou licencié pour avoir exercé ses responsabilités [8]. La LGPD, quant à elle, établit que le responsable du traitement doit adopter des mesures pour atténuer tout conflit d’intérêt, avec la possibilité de remplacer le DPO, si nécessaire.
Ces aspects seront analysés plus en profondeur dans un article spécifique qui explorera des cas et la législation liées aux conflits d’intérêts dans le contexte de la protection des données.
POSITION AU SEIN DE L’ORGANISATION
En ce qui concerne l’accumulation de fonctions, la législation brésilienne n’interdit pas expressément qu’un employé, un administrateur ou un sous-traitant soit désigné comme DPO, à condition que l’indépendance de la fonction soit préservée. De même, conformément au RGPD, le DPO peut exercer d’autres fonctions au sein de l’organisation, à condition que cela n’entraîne pas de conflit d’intérêt. Cela signifie que, selon la législation de l’Union Européenne, le DPO ne peut occuper un poste dans lequel il détermine les finalités et les moyens des activités de traitement de données personnelles, comme un directeur exécutif, un directeur des opérations ou un chef des Ressources Humaines, par exemple [9].
Le rôle du DPO est fondamental pour le maintien des normes de confidentialité, et une compréhension claire des réglementations qui régissent cette fonction est essentielle pour les organisations opérant au Brésil. Les entreprises étrangères qui entrent sur le marché brésilien doivent solliciter des conseils juridiques locaux pour garantir la conformité avec la LGPD, en particulier en ce qui concerne la désignation et les responsabilités du DPO.
GTLawyers a toute l’expertise nécessaire pour fournir des conseils et orientation juridique, soit en assistant le DPO dans ses activités quotidiennes, soit en offrant des services de DPO pour atténuer les conflits d’intérêts potentiels. Notre équipe s’assure que les entreprises non seulement remplissent leurs obligations légales, mais mettent également en œuvre des pratiques efficaces de protection des données, minimisant ainsi les risques juridiques et réputationnels, tout en préservant l’indépendance et l’impartialité du DPO.
Anne Brunschwig
Jessica Ferreira
[1] Le Groupe de travail Article 29 (WP29) a publié des directives largement reconnues par le marché sur les qualifications du DPO, indiquant que ce professionnel doit savoir créer, mettre en œuvre et maintenir un Programme de Protection des Données. De plus, plus le traitement de données effectué par le responsable du traitement est complexe ou risqué, plus les exigences en matière de connaissances et de spécialisations pour le DPO seront élevées. Enfin, le DPO n’a pas besoin d’être avocat, mais doit être familiarisé avec la législation et les mesures techniques et organisationnelles de protection des données.
[2] L’article 38 du Règlement Général sur la Protection des Données (RGPD) stipule que le DPO doit être impliqué dans les questions liées au traitement des données personnelles et, en outre, doit agir de manière autonome, sans recevoir d’instructions de tiers, quelle que soit sa position hiérarchique. Dans ce contexte, l’entreprise doit fournir les ressources nécessaires à l’exercice de ses activités. Il est également important de souligner que le DPO ne peut pas être licencié ou puni pour l’exercice de ses fonctions. Il doit rendre compte à la haute direction, et les personnes concernées peuvent le contacter directement pour clarifier leurs doutes et traiter des questions pertinentes. De plus, le DPO doit garder le secret sur ses activités et peut exercer d’autres fonctions au sein de l’entreprise, à condition qu’il n’y ait pas de conflit d’intérêt.
[3] Aux termes du RGPD, la désignation d’un DPO est obligatoire dans trois cas spécifiques décrits à l’article 37 : (i) lorsque le traitement des données est effectué par une autorité ou un organisme public, à l’exception des tribunaux agissant dans leur fonction juridictionnelle ; (ii) lorsque les activités principales du responsable du traitement ou du sous-traitant impliquent le suivi régulier et systématique des personnes concernées à grande échelle ; ou (iii) lorsque les activités principales impliquent le traitement à grande échelle de catégories particulières de données, telles que les données sensibles ou les informations relatives aux condamnations pénales et aux infractions.
[4] L’article 2, I, de la résolution mentionnée définit ces agents. Parmi les exemples, citons les microentreprises, les petites entreprises, les startups, les personnes morales de droit privé, y compris les organisations à but non lucratif. Il convient de noter que l’agent ne peut pas bénéficier du traitement juridique différencié de la résolution s’il relève des scénarios prévus à l’article 3.
[5] Les obligations des agents de traitement de petite taille ont été maintenues, mais une certaine flexibilité a été introduite dans des domaines spécifiques, tels que le délai doublé pour répondre aux demandes des titulaires et pour communiquer avec l’Autorité Nationale de Protection des Données (ANPD), ainsi que la possibilité d’adopter des procédures simplifiées.
[6] Le texte original de la LGPD stipulait que le DPO devait être une personne physique. Toutefois, la mesure provisoire n° 869/2018 a supprimé le terme “personne physique”, et la loi n° 13.853/2019 a introduit la possibilité pour les entreprises d’agir en tant que DPO.
[7] Conformément à l’article 37, §6 du RGPD, le DPO peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer les fonctions sur la base d’un contrat de service”.
[8] Voir article 38 du RGPD.
[9] Plus d’informations sur : site www.ecb.europa.eu. https://www.edpb.europa.eu/sme-data-protection-guide/data-protection-officer_en Consulté le : 30/10/2024.
The Data Protection Officer (DPO) is a role established by both Brazilian legislation (General Data Protection Law – “LGPD”) and European legislation (General Data Protection Regulation – “GDPR”). Both laws have their own requirements for the appointment of their DPOs, whether for data controllers or processors. The Data Protection Officer serves as a channel of communication between the data subjects and the public authority responsible for enforcing data protection regulations within the jurisdiction.
Although both legislations mandate the presence of a DPO, there are key differences that companies must be aware of to mitigate risks, avoid legal and administrative penalties, and prevent damage to their reputation. To clarify these distinctions, we have prepared a comparative table regarding the LGPD and the GDPR.
Below, we highlight the main features of these two legislations:
Below, we provide further clarification on the differences between the Data Protection Officer under the GDPR and the LGPD.
OBLIGATION TO APPOINT A DPO
Unlike the GDPR [3], which establishes specific criteria for the designation of a DPO, the LGPD adopts a more general approach, determining that the data controller must appoint a person in charge of personal data protection. This implies that, generally, any public or private organization must appoint a DPO. However, there is an exception established in Resolution CD/ANPD No. 2/2022, which exempts small processing agents [4] from appointing a DPO, while maintaining other obligations defined by the LGPD [5]. Additionally, §3 of Article 41 provides the possibility of additional exemptions, allowing the National Data Protection Authority (“ANPD”) to establish cases where the appointment of a DPO may not be necessary, considering the nature, size, and volume of data processing by the entity.
QUALIFICATIONS AND SKILLS
The role of the DPO under Brazilian legislation is more flexible with fewer stringent requirements compared to Europe, particularly regarding the qualifications of the professional occupying this position. According to Article 7 of Resolution CD/ANPD No. 18/2024, it is the responsibility of the data processing agent to define the qualifications of the DPO based on their knowledge of personal data protection legislation, as well as the context, volume, and risk of the processing operations conducted. This Resolution also establishes that the DPO must be capable of effectively communicating with data subjects and with the ANPD. In Europe, Article 37 of the GDPR imposes more specific requirements, such as the need for specialized knowledge in law and data protection practices, the requirement that qualifications match the complexity and risk of processing activities, the ability to develop and maintain data protection programs, as well as familiarity with technical and organizational measures.
OUTSOURCING THE DPO ROLE
Resolution CD/ANPD No. 18/2024, which regulates the DPO role in Article 12, provides that the DPO may be an individual, either affiliated or not with the organizational structure of the processing agent, or a legal entity [6]. All these options are also permitted under the GDPR [7].
DISCLOSURE OF THE DPO’S CONTACT INFORMATION
The contact details of the DPO must be published on the company’s website under both legislations, ensuring transparency and accessibility for data subjects and authorities. Article 9 of Resolution CD/ANPD No. 18/2024 also allows for disclosure through other communication means if the data controller does not have its own website. The GDPR also requires that the DPO’s contact details be communicated to the authorities.
CONFLICTS OF INTEREST CONSIDERATIONS
Both the General Data Protection Regulation (GDPR) and the Brazilian General Data Protection Law (LGPD) address conflicts of interest influencing the performance of the DPO’s duties. The GDPR includes detailed safeguards to ensure the DPO’s independence, prohibiting them from performing functions that could create a conflict of interest, such as positions where they determine the purposes of personal data processing. Furthermore, the regulation states that the DPO should not be penalized or dismissed for performing their responsibilities [8]. In contrast, the LGPD establishes that the data controller must take steps to mitigate any conflict of interest, with the option to replace the DPO if necessary.
These aspects will be analyzed more thoroughly in a specific article exploring cases and legislation related to conflicts of interest in the context of data protection.
POSITION WITHIN THE ORGANIZATION
Regarding the accumulation of functions, Brazilian legislation does not explicitly prohibit an employee, director, or contractor from being designated as a DPO, provided that the independence of the role is maintained. Similarly, under the GDPR, the DPO may perform other roles within the organization as long as it does not lead to a conflict of interest. This means that, according to European Union legislation, the DPO cannot hold a position where they determine the purposes and means of personal data processing activities, such as a chief executive officer, chief operating officer, or head of human resources, for instance [9].
***
In conclusion, the role of the DPO is crucial for maintaining privacy standards, and a clear understanding of the regulations governing this role is essential for organizations operating in Brazil. Foreign companies entering the Brazilian market should seek local legal advice to ensure compliance with the LGPD, particularly regarding the designation and responsibilities of the DPO.
GTLawyers possess the necessary expertise to provide legal advice and guidance, whether by assisting the DPO in their daily activities or by offering DPO services to mitigate potential conflicts of interest. Our team ensures that companies not only fulfill their legal obligations but also implement effective data protection practices, thereby minimizing legal and reputational risks while maintaining the DPO’s independence and impartiality.
GT Lawyers
Anne Brunschwig
Jessica Ferreira
[1] The Article 29 Working Party (WP29) has issued widely recognized market guidelines on the qualifications of the DPO, indicating that this professional must be capable of creating, implementing, and maintaining a Data Protection Program. Moreover, the more complex or risky the data processing carried out by the data controller, the higher the knowledge and specialization requirements for the DPO will be. Finally, the DPO does not need to be a lawyer, but must be familiar with data protection legislation and technical and organizational measures.
[2] Article 38 of the General Data Protection Regulation (GDPR) stipulates that the DPO must be involved in matters related to the processing of personal data and must act autonomously, without receiving instructions from third parties, regardless of their hierarchical position. In this context, the company must provide the necessary resources for the exercise of their activities. It is also important to emphasize that the DPO cannot be dismissed or penalized for performing their duties. They must report to senior management, and data subjects can contact them directly to clarify their doubts and address pertinent issues. Additionally, the DPO must maintain confidentiality regarding their activities and can perform other functions within the company, provided that there is no conflict of interest.
[3] Under the GDPR, the designation of a DPO is mandatory in three specific cases described in Article 37: (i) when data processing is carried out by a public authority or body, except for courts acting in their judicial capacity; (ii) when the core activities of the controller or processor involve regular and systematic monitoring of data subjects on a large scale; or (iii) when the core activities involve large-scale processing of special categories of data, such as sensitive data or information relating to criminal convictions and offenses.
[4] Article 2, I, of the mentioned resolution defines these agents. Examples include micro-enterprises, small businesses, startups, private legal entities, including non-profit organizations. It is important to note that the agent cannot benefit from the differentiated legal treatment of the resolution if they fall under the scenarios provided in Article 3.
[5] The obligations of small processing agents have been maintained, but a certain flexibility has been introduced in specific areas, such as the doubled timeframe to respond to data subjects’ requests and to communicate with the National Data Protection Authority (ANPD), as well as the possibility of adopting simplified procedures.
[6] The original text of the LGPD stipulated that the DPO must be a natural person. However, Provisional Measure No. 869/2018 removed the term “natural person,” and Law No. 13.853/2019 introduced the possibility for companies to act as a DPO.
[7] In accordance with Article 37, §6 of the GDPR, “the DPO may be a staff member of the controller or processor, or perform the duties on the basis of a service contract”
[8] See Article 38 of the GDPR.
[9] More information is available at: www.ecb.europa.eu (accessed on: 30/10/2024).
Le Responsable de la Protection des Données, également connu sous le nom de Data Protection Officer (DPO) dans la législation européenne (Règlement Général sur la Protection des Données - "RGPD"), est un rôle clé prévu à la fois par la législation brésilienne (Loi Générale sur la Protection des Données - "LGPD") et le RGPD. Ces deux réglementations imposent des exigences spécifiques pour la nomination d’un DPO, tant pour les responsables du traitement que pour les sous-traitants. Le DPO agit comme un canal de communication entre les individus concernés par le traitement des données et l’autorité publique chargée de faire appliquer les lois en matière de protection des données dans la juridiction concernée.
Bien que les deux législations requièrent la présence d’un DPO, il existe des différences essentielles que les entreprises doivent prendre en compte pour réduire les risques, éviter les sanctions légales et administratives, et protéger leur réputation. Afin de clarifier ces distinctions, nous avons préparé un tableau comparatif des exigences de la LGPD et du RGPD.
Voici les caractéristiques principales de ces deux législations :
| RGPD | LGPD | |
| Obligation de nommer un DPO | Obligatoire dans des cas spécifiques : pour les organismes publics ou les entités impliquées dans le suivi systématique et à grande échelle des données ou le traitement des données sensibles (Art. 37). | Généralement exigé pour toutes les entités, excepté pour les petites entreprises si un canal de communication est disponible (Résolution CD/ANPD nº 2/2022). |
| Qualifications et compétences | Qualifications professionnelles nécessaires, notamment en droit et en pratiques de protection des données (Art. 37). | Les qualifications sont définies en fonction de l'expertise adaptée au contexte, volume et risques des opérations de traitement des données (Résolution CD/ANPD nº 18/2024). |
| Responsabilités | Soutien aux évaluations d’impact, coopération avec les régulateurs, et communication avec les personnes concernées (Art. 39). | Gestion des réclamations, interactions avec les titulaires et l’ANPD, et conseils sur les meilleures pratiques en matière de protection des données pour l’entreprise, les tiers et les employés. |
| Sous-traitance | Autorisée (Art. 39). | Autorisée (Art. 5). |
| Publication des coordonnées | Les coordonnées doivent être publiées sur le site de l’entreprise et partagées avec l’autorité de supervision. | Les coordonnées doivent être publiées sur le site internet de l’entreprise. |
| Conflit d’intérêts | Des garanties sont mises en place pour préserver l’indépendance et éviter les conflits d’intérêts (Art. 38(3) et 38(6)). | Des mesures sont requises pour minimiser les conflits d’intérêts (Résolution CD/ANPD nº 18/2024). |
| Position dans l’organisation | Le DPO doit opérer de façon indépendante avec accès aux ressources et contact direct avec la direction (Art. 38). | Des exigences similaires s’appliquent pour l’autonomie et l’accès, mais aucune protection spécifique contre le licenciement n’est mentionnée (Résolution CD/ANPD nº 18/2024, Art. 10 et 15). |
Principales différences entre le DPO dans la LGPD et le RGPD.
OBLIGATION DE NOMMER UN DPO
Contrairement au RGPD, qui établit des critères spécifiques pour la désignation d'un DPO, la LGPD adopte une approche plus générale, exigeant que le responsable du traitement désigne un délégué à la protection des données personnelles. Cela signifie que, de manière générale, toute organisation publique ou privée doit désigner un DPO. Cependant, une exception est prévue dans la Résolution CD/ANPD nº 2/2022, qui exempte les petites structures (agents de traitement de faible portée) de cette obligation, tout en maintenant les autres obligations définies par la LGPD. Par ailleurs, le paragraphe 3 de l'article 41 permet à l'Agence Nationale de Protection des Données (ANPD) de déterminer des cas spécifiques dans lesquels la désignation d'un DPO n'est pas nécessaire, en tenant compte de la nature, de la taille et du volume de traitement des données par l'entité.
QUALIFICATIONS ET COMPÉTENCES
Le rôle de DPO selon la LGPD est plus flexible et les exigences sont moins strictes qu’en Europe, notamment en matière de qualifications requises pour occuper cette fonction. Selon l'article 7 de la Résolution CD/ANPD nº 18/2024, il incombe au responsable du traitement de définir les qualifications du DPO en tenant compte de la législation applicable, ainsi que du contexte, du volume et des risques liés aux activités de traitement de données. La résolution exige également que le DPO soit capable de communiquer efficacement avec les titulaires de données et avec l’ANPD. En revanche, le RGPD (article 37) impose des critères plus spécifiques, tels que : des connaissances spécialisées en droit et pratiques de protection des données, des qualifications proportionnelles à la complexité et aux risques des activités de traitement, et une maîtrise des mesures techniques et organisationnelles nécessaires.
SOUS-TRAITANCE DU POSTE DE DPO
L'article 12 de la Résolution CD/ANPD nº 18/2024, qui réglemente le poste de DPO, autorise le recours à une personne physique ou morale, qu’elle fasse ou non partie de la structure organisationnelle du responsable du traitement des données. De la même manière, le RGPD autorise également ces options.
PUBLICATION DES COORDONNÉES DU DPO
Dans les deux législations, les coordonnées du DPO doivent être divulguées obligatoirement sur le site web de l'entreprise, en assurant la transparence et l’accessibilité pour les titulaires de données et les autorités de supervision. Selon l'article 9 de la Résolution CD/ANPD nº 18/2024, cette divulgation peut aussi être faite par d'autres moyens si l'entité ne possède pas de site web. Le RGPD exige également que ces informations soient communiquées aux autorités compétentes.
CONFLITS D'INTÉRÊTS
Le RGPD et la LGPD abordent tous deux la question des conflits d’intérêts liés à l’exercice des fonctions du DPO. Le RGPD impose des garanties détaillées pour préserver l’indépendance du DPO, interdisant par exemple à celui-ci d’assumer des fonctions pouvant générer des conflits d’intérêts, notamment des postes où il définirait les objectifs du traitement des données personnelles. Par ailleurs, le RGPD protège le DPO contre les sanctions ou le licenciement pour l’exercice de ses responsabilités.
La LGPD exige, quant à elle, que le responsable du traitement prenne des mesures pour mitiger les conflits d’intérêts, tout en offrant la possibilité de remplacer le DPO si nécessaire.
POSITION DANS L'ORGANISATION
En ce qui concerne l’accumulation de fonctions, la LGPD n’interdit pas expressément qu'un employé, un administrateur ou un prestataire externe soit désigné comme DPO, tant que l'indépendance de la fonction est respectée. De même, conformément au RGPD, le DPO peut occuper d'autres fonctions dans l'organisation, à condition qu'il n'y ait pas de conflit d’intérêts. Cela signifie que, selon les normes européennes, un DPO ne peut occuper un poste lui permettant de déterminer les finalités ou les moyens des traitements de données personnelles, comme celui de directeur général, directeur des opérations ou responsable des ressources humaines.
Le rôle du DPO est crucial pour garantir le respect des normes de confidentialité. Une compréhension claire des réglementations qui encadrent cette fonction est essentielle pour les organisations opérant au Brésil. Les entreprises étrangères souhaitant s’implanter sur ce marché doivent consulter des experts en droit local afin d’assurer leur conformité avec la LGPD, en particulier en ce qui concerne la désignation et les responsabilités du DPO.
GTLawyers possède l’expertise nécessaire pour accompagner les entreprises dans ce domaine. Nous proposons des services de conseil aux DPO dans l’exercice de leurs missions quotidiennes ou nous agissons directement en tant que DPO externalisé pour éviter tout conflit d’intérêts. Notre équipe garantit non seulement la conformité légale des entreprises, mais également la mise en œuvre de pratiques efficaces de protection des données, minimisant ainsi leurs risques juridiques et réputationnels tout en préservant l’indépendance et l’impartialité du DPO.
Anne Brunschwig – abrunschwig@gtlawyers.com.br
Jessica Ferreira – jferreira@gtlawyers.com.br
Conforme veiculado pelos principais órgãos de imprensa, o Governo Federal apresentou ao Congresso Nacional o projeto de lei 1.085 (PL 1.087/2025) objetivando a reforma do imposto de renda devido pelas pessoas físicas (“IRPF”). Apresentamos abaixo um breve resumo e considerações acerca desse novo projeto:
Reduções do IRPF
O projeto concede uma redução de 100% do IRPF de contribuintes cujos rendimentos tributáveis não excedam R$ 5 mil/mês, e reduções menores e escalonadas para quem recebe entre R$ 5 mil e R$ 7 mil/mês.
Contrariando o histórico da tributação com base na tabela progressiva (tributação por faixa), essa redução se aplica exclusivamente para os contribuintes com essa faixa de renda (benefício pessoal), e não para contribuintes com renda superior. Ou seja, o contribuinte que receber R$ 8 mil/mês, por exemplo, continuará pagando IRPF com base nas alíquotas da tabela progressiva vigente, sem direito aos redutores do IRPF sobre a faixa de renda de até R$ 7 mil/mês.
Entendemos que essa distinção é bastante questionável, uma vez que restringe o benefício do redutor a contribuintes, e não à faixas de renda, tratando de forma desigual contribuintes em situações econômicas muito similares (eg. contribuinte com renda mensal de R$ 5 mil versus renda mensal de R$ 7 mil) e ignorando que a capacidade contributiva dessa faixa de renda é a mesma, independentemente do contribuinte.
IRPF mínimo para altas rendas
O projeto pretende instituir um piso mínimo de IRPF para contribuintes classificados em altas faixas de renda, conforme as seguintes medidas:
- IRPF mínimo: instituição do IRPF mínimo para contribuintes com renda anual superior a R$ 600 mil. Nesse cálculo deverão ser excluídos os ganhos de capital, doações e heranças. O IRPF mínimo será progressivo (0-10%) para rendas acima de R$ 600 mil e inferiores a R$ 1,2 milhão. Acima desse limite, o IRPF mínimo será de 10%.
- Do IRPF mínimo, poderão ser deduzidos: (i) o IRPF apurado sob o regime regular, devido na Declaração de Ajuste Anual; (ii) o IR retido sob a sistemática de tributação exclusiva na fonte; (iii) o IR devido sobre investimentos no exterior; (iv) IR definitivo, pago sobre rendimentos que compõe sua base de cálculo (ganhos líquidos, por exemplo) e (v) redutor sobre dividendos (comentado a seguir). Se a soma dos itens (i) a (iv) exceder o valor do IRPF mínimo, este será igual a zero.
- Lucros e dividendos: tributação pelo IRPF, à alíquota de 10%, sobre lucros e dividendos pagos por sociedades no Brasil a uma mesma pessoa física, desde que o montante mensal exceda R$ 50 mil/mês;
- Dividendos e IRPF mínimo: caso a soma da alíquota efetiva de tributação dos lucros da pessoa jurídica (IRPJ e CSLL) com a alíquota efetiva do IRPF mínimo ultrapasse as alíquotas nominais de IRPJ/CSLL, haverá a concessão de um redutor de IRPF mínimo sobre os lucros e dividendos distribuídos. O racional do redutor é que a tributação global sobre os lucros/dividendos sujeitos ao IRPF mínimo não exceda as alíquotas nominais do IRPJ/CSLL (34%, 40% ou 45%, a depender da atividade desenvolvida pela empresa). O redutor deverá ser considerado com base na alíquota efetiva de IRPJ/CSLL recolhida pela pessoa jurídica, considerando o total desses tributos e o lucro líquido da sociedade.
- Exterior: Alíquota de 10% de IRFonte sobre lucros e dividendos pagos ao exterior;
- Também neste caso, se a soma da alíquota efetiva de tributação dos lucros da pessoa jurídica (IRPJ e CSLL) com o IRFonte exceder as alíquotas nominais de IRPJ/CSLL (34%, 40% ou 45%), haverá a concessão de um crédito ao não residente, que poderá ser pleiteado em até 360 dias contados do encerramento de cada exercício
Nous nous tenons à votre disposition pour toute clarification complémentaire.
Artigo preparado por Estevão Gross, sócio de GTLawyers. Para mais informações favor contatar o telefone 11.3504.7618 ou o e-mail egross@gtlawyers.com.br.
