Boiteux & Almeida Advogados Associados

Menu
Linkedin Instagram Facebook
Menu
Linkedin Instagram Facebook

Author name: Admin

As bases legais da LGPD para tratamento de dados pessoais

Lei Geral de Proteção de Dados - LGPD /

A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes para o tratamento de dados pessoais para garantir o uso responsável dos dados pessoais, prevendo princípios e critérios para realização desse tratamento pelos agentes de tratamento. Ainda no âmbito dos princípios e direitos dos titulares, vale ressaltar que dados pessoais são todas as informações que estão relacionadas a uma pessoa identificada ou identificável. O conceito abrange dados como: nome, endereço, número de telefone, endereço de e-mail, dados de navegação, cookies, geolocalização. O tratamento abrange diferentes tipos de utilização de dados pessoais, como coleta, acesso, distribuição, armazenamento e eliminação destes. Diante disso, a LGPD estabelece em seu art. 7º as bases legais que legitimam o tratamento dos dados pessoais.  Fornecimento de consentimento pelo titular A primeira delas é o consentimento do titular, ou seja, a manifestação inequívoca, livre e informada do titular para que seja realizado o tratamento dos seus dados pessoais. É ônus do controlador demonstrar que obteve o consentimento do titular na forma prevista na LGPD. Cumprimento de obrigação legal ou regulatória pelo controlador A legislação vigente muitas vezes impõe o tratamento de dados pessoais, como, por exemplo, a qualificação, dados de saúde e outras informações de empregados. Neste caso, o tratamento é realizado para atender uma obrigação legal ou regulatória imposta ao controlador. Pela administração pública O dispositivo também assegura o tratamento de dados pela administração pública, para tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.  O tratamento poderá ocorrer desde que se tenha como único objetivo a execução de políticas públicas, devendo ser observada os artigos 23 a 32 da legislação, os quais estabelecem as diretrizes para o tratamento de dados pessoais pelas pessoas jurídicas de direito público. Para a realização de estudos por órgão de pesquisa Como quarta base legal tem-se a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais. Aqui, o dispositivo refere-se ao uso de dados pessoais por entidades de pesquisa reconhecidas com o objetivo de realizar pesquisas no âmbito histórico. Execução de contrato Dados pessoais poderão ser usados quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados. Por exemplo, caso o usuário de um e-commerce adquira produtos, o fornecimento de tais dados será imprescindível para a execução do contrato. Exercício regular de direitos em processo judicial, administrativo ou arbitral  Há casos em que determinados dados poderão ser fundamentais para exercícios de direitos em processos em geral, nesse caso, será possível armazenar tais dados pelo prazo necessário para demanda. Proteção da vida ou da incolumidade física do titular ou de terceiro  O tratamento de dados pode ser essencial para a sobrevivência ou integridade física do titular ou de terceiro. Por exemplo, quando for necessário tratar dados referentes à geolocalização de dispositivo de telefone celular para localizar alguém correndo algum risco. Para tutela da saúde O dispositivo também possibilita a utilização de dados pessoais para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. Para atender aos interesses legítimos do controlador ou de terceiro O legítimo interesse se caracteriza para apoio e promoção de atividades do controlador, ou para proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais.  Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. É importante observar o guia orientativo da ANPD, que estabelece diretrizes sobre as medidas necessárias para realização do teste de legítimo interesse e elaboração dos relatórios obrigatórios. Para proteção do crédito  Essa hipótese é muito utilizada para decidir se determinada pessoa terá concessão ou não de crédito, sendo utilizados, portanto, dados sobre a adimplência ou inadimplência. Nota-se que cada base legal tem critérios específicos e é aplicada de acordo com o contexto do tratamento de dados. Dados pessoais sensíveis A LGPD define de forma taxativa o conceito de dados pessoais sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Tem-se portanto, que as operações envolvendo tais informações devem ser realizadas com a maior cautela possível da empresa. Um incidente de segurança que envolva esses tipos de informações pode resultar em consequências mais sérias para os direitos e liberdades das pessoas envolvidas. O art. 11 é responsável por prever as hipóteses legais possíveis para o tratamento dos dados pessoais sensíveis, vale ressaltar, que estes somente poderão ocorrer com consentimento do titular ou seu responsável legal, de forma destacada e para finalidades específicas ou  nas hipóteses em que for indispensável para: Cumprimento de obrigação legal ou regulatória pelo controlador; A administração pública, de políticas públicas previstas em leis ou regulamentos; Estudos por órgão de pesquisa, desde que garantida, sempre que possível, a anonimização dos dados pessoais sensíveis; Exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral; Proteção da vida ou da incolumidade física do titular ou de terceiro; Tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária. A LGPD prevê a vedação da comunicação ou o uso compartilhado entre controladores de dados pessoais sensíveis referentes à saúde com objetivo de obter vantagem econômica, ressalvada as hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde. Neste sentido, a lei é clara ao vedar o tratamento de dados de saúde para a prática de seleção de riscos na contratação de qualquer modalidade, assim como na contratação e exclusão de beneficiários. Garantia da prevenção à fraude e à segurança do titular, que deve ser

As bases legais da LGPD para tratamento de dados pessoais Read More »

Incidente de segurança com dados pessoais: espécies e plano de respostas

Lei Geral de Proteção de Dados - LGPD /

       No setor empresarial, tem-se observado um aumento significativo no emprego da tecnologia nos processos, produtos e serviços que o compõem. Essa transição das atividades das organizações para o ambiente digital tem trazido diversos benefícios, como a facilidade na integração de diferentes áreas, a otimização do tempo e espaço para a execução de tarefas e a promoção da agilidade e eficiência nas relações entre a empresa e os consumidores, bem como entre a empresa e seus fornecedores.        A transferência de inúmeras atividades para o meio digital resultou em um expressivo aumento do tráfego de dados online, tornando-o um ambiente propício para a ação de agentes maliciosos. A exploração indevida desses dados pode gerar consequências danosas e duradouras, a exemplo de prejuízos financeiros, comprometimento de sistemas e danos à imagem institucional. Conceito        A Autoridade Nacional de Proteção de Dados (ANPD) define, por meio da Resolução CD/ANPD n° 15/2024, um incidente de segurança como qualquer evento adverso confirmado que envolva a violação das propriedades de confidencialidade, integridade, disponibilidade e autenticidade dos dados pessoais.        Logo, o conceito abrange uma falha do equipamento, acesso a dados pessoais por pessoa não autorizada, eliminação de dados pessoais feita de forma ilegal e até mesmo o roubo, furto ou perda de equipamento que contém dado pessoal.        Existem diversos tipos de incidentes de segurança, com o vazamento de dados pessoais sendo o mais comum, geralmente causado por senhas fracas, falta de medidas técnicas e treinamento inadequado. Esses incidentes frequentemente resultam de ataques cibercriminosos e podem ser classificados em três tipos principais: Incidente de confidencialidade: Divulgação ou acesso não autorizado aos dados pessoais. Incidente de integridade: Modificação não autorizada dos dados pessoais. Incidente de disponibilidade: Perda de acesso ou eliminação dos dados pessoais.        O vazamento de dados ocorre na maior parte das vezes como decorrência de um ataque cibercriminoso, sendo os tipos mais comuns apresentados a seguir.  Phishing        Nesta técnica, o invasor envia e-mails ou mensagens via WhatsApp/SMS para enganar os usuários e obter informações confidenciais. O destinatário é induzido a clicar em um link, acreditando que ganhará uma promoção ou brinde, mas, ao fornecer as informações, descobre que foi vítima de um golpe. Malware       Também chamado de software malicioso, é uma forma genérica de se referir a qualquer tipo de software criado intencionalmente para causar danos que podem espionar uso de sistemas, captar e enviar dados para servidores externos.  Ransomware      O Ransomware é um tipo de malware que bloqueia o acesso aos arquivos ou ao dispositivo inteiro, impedindo seu uso adequado. Cibercriminosos usam essa técnica para extorquir vítimas, exigindo pagamento para liberar o acesso, sem garantia de que os dados não serão vendidos ou usados indevidamente mesmo após o pagamento. DdoS        Em português, ataque de negação de serviço distribuído consiste em sobrecarregar as atividades de um servidor, negar o acesso de usuários legítimos e derrubar conexões entre equipamentos, entre outras ações similares.       Apesar de mencionados os principais tipos de ataques, os cibercriminosos se especializam e inovam constantemente nos formas de cometer ciberataques. Sendo fundamental que as empresas estejam sempre atualizadas quanto aos riscos que estejam expostas, consequências de um incidente de segurança e os métodos para mitigação possíveis de serem executados. Planos de resposta a incidentes       A Lei Geral de Proteção de Dados é responsável por definir as diretrizes de segurança e administrativas que os responsáveis pelo tratamento de dados devem seguir para garantir a proteção dos dados pessoais e seus respectivos titulares contra qualquer tipo de atividade ilegal.        Um plano de resposta a incidentes é um conjunto estruturado de procedimentos e diretrizes que uma organização segue ao enfrentar incidentes de segurança. O objetivo principal desse plano é identificar, gerenciar e minimizar o impacto dos incidentes, restaurando as operações normais o mais rápido possível.       A Autoridade Nacional de Proteção de Dados (ANPD) publicou no Diário Oficial da União, em 26 de maio de 2024, a Resolução CD/ANPD nº 15, de 24 de abril de 2024, que aprova o Regulamento de Comunicação de Incidente de Segurança. Entre os principais aspectos estabelecidos pela regulamentação, destacam-se os seguintes: Registro do incidente       Uma vez identificado um incidente de segurança ou havendo suspeita da sua ocorrência, o Encarregado de Proteção de Dados Pessoais deve ser notificado para que o evento seja devidamente investigado. É necessário manter um registro detalhado do incidente de segurança, incluindo as causas, os dados afetados, a categoria dos titulares e as medidas de segurança implementadas para conter o incidente e mitigar os riscos e danos. Comunicação do incidente à ANPD e aos titulares       Em regra, o incidente de segurança que possa acarretar risco ou dano relevante aos titulares deve ser comunicado à ANPD e aos próprios titulares afetados no prazo de 3 (três) dias úteis, contados a partir do conhecimento do incidente pelo controlador.        A comunicação do incidente à ANPD deverá ser realizada pelo controlador, por meio do encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação. Em caráter excepcional, caso o controlador não tenha as informações completas a respeito do incidente ou não conseguir notificar os titulares no prazo recomendada, pode ser apresentada comunicação complementar no prazo de 20 dias úteis.        Ao avaliar a gravidade do incidente, a Autoridade levará em consideração as práticas adotadas pelo agente de tratamento para mitigar os riscos e minimizar os efeitos dos danos ocorridos. Caso entenda necessário, a ANPD tem poderes para determinar a abertura de processo administrativo sancionador para apurar violação à LGPD, que poderá culminar em aplicação das sanções de advertência, publicização da infração, suspensão do exercício da atividade de tratamento dos dados pessoais, podendo chegar a multas 50 milhões de reais por infração.        Além disso, o controlador deverá

Incidente de segurança com dados pessoais: espécies e plano de respostas Read More »

Wi-fi público – segurança e privacidade

Direito Digital /

     A existência de redes sem fio de acesso à Internet disponíveis em restaurantes, aeroportos, cafés, parques, shoppings e outros, têm promovido praticidade e conveniência a diversos usuários diariamente. Essas redes são extremamente úteis quando é necessário acessar a Internet fora de casa e por algum motivo não se tem a possibilidade de usar dados móveis.      Apesar da sua utilidade, há riscos associados ao acesso a Wi-Fi público que muitas vezes passam despercebidos pelos usuários e por aqueles que a oferecem. Nesse tipo de conexão Wi-Fi, é desafiador estabelecer a identidade dos dispositivos ou dos usuários conectados, o que a torna vulnerável a possíveis ameaças de cibercriminosos. Eles podem explorá-la para violar a privacidade e acessar ilegalmente os dados dos usuários, a menos que as empresas que oferecem essa conexão gratuita e seus usuários tomem medidas específicas de segurança.       É de extrema importância que as empresas que oferecem Wi-Fi público estabeleçam regras claras e uma política de utilização bem definida para regular o uso da rede de internet. Isso é essencial para prevenir riscos legais às operações da empresa e proteger a reputação contra eventuais danos.       Um dos pontos fundamentais é que o cliente apenas possa utilizar a rede após  conhecer e concordar com  a Política de Uso de WiFi Gratuito e com a Política de Privacidade. É fundamental estabelecer os deveres dos usuários da rede, além da responsabilidade que cabe a eles em adotar medidas para proteger seus equipamentos, sistemas e arquivos contra a atuação indevida e invasões não autorizadas de outros usuários de Internet, dentre os deveres devem constar:  Não utilizar a rede wi-fi para a realização de qualquer atividade que viole a legislação aplicável; Não propagar qualquer tipo de vírus, worms, cavalos de tróia, ou programas de controle de outros computadores; Não realizar o download de programas de entretenimento ou jogos. Não disponibilizar a mesma rede da empresa para o trabalho, pois a expõe a alto risco de segurança.       É importante informar que ao utilizar a rede WiFi o usuário concorda e reconhece que dados de IP poderão ser coletados do seu dispositivo eletrônico. Estes dados ficarão retidos pelo prazo necessário para cumprimento de obrigações legais e exercício de direitos da empresa, em juízo e fora dele.       Os usuários poderão ainda usar uma VPN, antivírus, limitar o compartilhamento de arquivos e evitar o envio de dados confidenciais enquanto estiverem usando a rede de internet pública, como forma de protegerem suas informações e dispositivos de agentes mal intencionados.        Diante disso, o uso e fornecimento de rede wi-fi gratuita requer cuidados específicos tanto dos usuários quanto das empresas que a fornecem, a fim de mitigar danos que poderão ser desde violações de dados até a reputação do seu fornecedor.   Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.  

Wi-fi público – segurança e privacidade Read More »

Contratos eletrônicos: modalidades e segurança jurídica

Direito Digital /

            O avanço da tecnologia e a evolução dos meios de comunicação envolvem toda a sociedade e geram novas oportunidades de negócio.        A importância dos contratos realizados por meio eletrônico popularizou a expressão “contratos eletrônicos”. Eles dispensam, na maioria dos casos, a necessidade de interação presencial ou verbal entre os envolvidos na negociação, que se torna mais ágil e tem menor custo.             Os marketplaces e as lojas virtuais operam por meio de contratos eletrônicos. Saiba mais sobre Comércio eletrônico          Os contratos eletrônicos podem ser usados na compra e venda de bens e na prestação de diversos tipos de serviços. Vejamos alguns aspectos sobre a sua validade e a segurança do seu uso.             Eles abrangem as mais diversas relações empresariais, sendo aplicáveis a ele, entre outras leis, o Código Civil.          Independentemente do meio utilizado – e-mails, sites, serviços online – a negociação pode ocorrer por meio eletrônico, sendo a mercadoria ou serviço entregue por meio físico.             De outro lado, temos os smart contracts, garantindo a execução automática e irreversível dos termos acordados, sem a possibilidade de que qualquer uma das partes descumpra o acordo estabelecido. Saiba mais em SMART CONTRACTS: O presente e o futuro das relações negociais            Assinatura digital. É recomendável utilizar a assinatura digital, a fim de garantir a autenticidade e a integridade dos contratos. Ela permite verificar a identidade de quem assina e impede que o contrato seja alterado após as assinaturas.           A Medida Provisória nº 2.200-2/2001, que regulamenta a assinatura dos documentos assinados eletronicamente, prevê que se presumem verdadeiros os documentos assinados com a utilização de processo de certificação disponibilizado pela ICP-Brasil. Mas são válidos outros meios de comprovação da autoria e integridade de documentos em formato eletrônico, desde que todas as partes os aceitem.            Código do Consumidor. Nas relações de consumo, o adquirente da mercadoria ou serviço será protegido pelo Código de Defesa do Consumidor, mas o Superior Tribunal de Justiça, em decisão recente, decidiu que os sites de classificados não são responsáveis por discrepâncias nos preços e condições de pagamento informadas por seus usuários nos anúncios. Além disso, não estão obrigados a exigir que tais informações sejam apresentadas conforme as diretrizes estipuladas por esse Código.            Execução do contrato. O documento particular constituído ou certificado eletronicamente, com o uso de qualquer forma de assinatura eletrônica permitida por lei, será considerado título executivo, dispensando a assinatura de testemunhas (Lei nº 14.620/2023). Isso possibilita sua utilização direta para iniciar processos judiciais de execução, facilitando a cobrança de valores devidos ou o cumprimento de obrigações previamente acordadas entre as partes envolvidas. Este artigo foi preparado com propósito meramente informativo; e não se destina a substituir a consulta a um profissional especializado e as informações nele contidas não devem ser seguidas sem orientação profissional. Saiba mais em A FORÇA EXECUTIVA DOS CONTRATOS ELETRÔNICOS

Contratos eletrônicos: modalidades e segurança jurídica Read More »

Compliance e gestão de riscos corporativos

Direito Empresarial /

        A atuação responsável das empresas em relação a leis, administração, colaboradores e consumidores é fundamental para o desenvolvimento e consolidação de uma empresa perante o mercado. Nesse sentido, tem-se a expressão compliance que representa a  adoção de medidas visando atender a legislação vigente, normas de autoridades reguladoras e as boas práticas de mercado.       Como forma de reforçar a adoção de tais práticas no ambiente corporativo, a Lei nº 12.846, chamada de Lei anticorrupção, visa combater as práticas de corrupção no setor empresarial brasileiro, dispondo sobre “a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, e dá outras providências”.       A lei determina que nos casos em que for constatado a prática de atos contra a Administração Pública a empresa poderá arcar com sanções no âmbito administrativo e civil, podendo ser estas: multa, publicação extraordinária da decisão sancionadora, suspensão ou interdição parcial de suas atividades, dissolução compulsória da pessoa jurídica, perda dos bens, direitos ou valores que representem vantagem ou proveito direta ou indiretamente obtidos da infração e proibição de receber incentivos, subsídios, subvenções, doações ou empréstimos de órgãos ou entidades públicas e de instituições financeiras públicas ou controladas pelo poder público, pelo prazo mínimo de 1 e máximo de 5 anos. Saiba mais sobre Compliance: aspectos da Lei Anticorrupção         Diante disso, o artigo 7º  do dispositivo determina que sejam levados em consideração na aplicação das sanções nela previstas a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica. Desse modo, as multas aplicadas às empresas envolvidas em corrupção podem ser diminuídas caso elas possuam um programa de integridade efetivo e estejam devidamente implementadas, conforme estabelecido no artigo 7º, parágrafo único.        Neste contexto, ganhou força nas organizações brasileiras a adoção de Programas de Compliance, que consiste na adoção de um conjunto de políticas e procedimentos internos para garantir a conformidade contínua das atividades corporativas.         A simples existência de regras a serem cumpridas não faz com que as empresas estejam seguras de eventuais sanções, uma vez que, caso negligenciadas, a própria instituição e seus gestores estarão vulneráveis a investigações na esfera criminal, multas e penalidades administrativas. Em razão disso, as empresas e seus funcionários devem orientar suas ações de acordo com objetivos e condutas definidos previamente e alinhar seu crescimento econômico de forma sustentável, promovendo benefícios não só à organização, mas para seus funcionários e a sociedade. De tal modo, um programa de compliance é baseado em três pilares fundamentais: prevenção, monitoramento e remediação. Prevenção         Esse pilar tem como objetivo evitar possíveis litígios e comportamentos inadequados por parte dos colaboradores e gestores, ao mesmo tempo em que busca promover a transparência na administração dos negócios. Nesse sentido, fundamenta-se na elaboração de políticas, procedimentos e processos e também nas etapas a seguir elencadas: Identificação e análise de riscos com base no segmento de atividade da organização; Due diligence em relação a parceiros de negócio; Estabelecimento de controles internos de riscos; Treinamento e comunicação com colaboradores. Monitoramento         O monitoramento é essencial para a efetividade do Programa de Compliance. Neste momento, é importante que os processos da empresa sejam devidamente mapeados, estabelecendo controles internos para a identificação de riscos, seguindo, portanto, as etapas abaixo: Realização de auditorias internas periódicas; Implementação de controles internos com objetivo de verificar observância de Políticas, procedimentos e processos (por ex., canal de denúncias); Definir responsável para atuar como compliance officer, ou seja, uma pessoa com autonomia suficientes para prevenir, detectar e recomendar a aplicação de penalidades previstas nas normas internas. Remediação         O terceiro pilar fundamental é a remediação para lidar com situações em que a conduta inadequada em relação ao regimento interno e Políticas da empresa foi praticada, tendo como principal objetivo estabelecer a responsabilização e a penalidade aplicável à violação ocorrida e por isso ocorre nas seguintes etapas: Investigação em caso  de indícios de violações de normas internas e/ou denúncias; Aplicação de penalidades para pessoas que violarem as normas internas estabelecidas em Políticas, procedimentos e processos      De tal modo, a estruturação de um Programa de Compliance é fundamental para o crescimento da empresa, uma vez que promove o engajamento dos colaboradores com o propósito da instituição, reduz a incidência de fraudes e  auxilia no ganho de investimentos e parcerias, dado que contribui para a solidificação de uma imagem positiva da empresa. Investir em compliance é investir na consolidação de uma imagem corporativa positiva e na sustentabilidade dos negócios.         Nosso sócio Fernando Netto Boiteux, examina esse tema no artigo Corrupção e empresa: aspectos da Lei anticorrupção das pessoas jurídicas. In: DE CICCO, Maria Cristina. (Org.). Corruzione Brasile – Italia: problematiche a confronto. Camerino-IT: Editoriale Scientifica, 2019, p. 119-146. Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Compliance e gestão de riscos corporativos Read More »

Novas regras de atualização monetária e juros

Direito Empresarial /

     A Lei nº 14.905, sancionada em 28 de junho de 2024, modifica o Código Civil para definir novas regras de atualização monetária e juros, além de flexibilizar as limitações da Lei da Usura. Nos casos em que não houver previsão legal específica ou estipulação em contrato, o IPCA será o índice padrão para correção monetária, e a Taxa Selic será aplicada aos juros em contratos civis. A Lei nº 14.905 também permite maior flexibilidade na capitalização de juros e exclui a aplicação da Lei da Usura para certos contratos, especialmente entre pessoas jurídicas.       A nova regra pode incentivar o financiamento e captação de recursos fora do sistema financeiro.       A metodologia de cálculo dos juros entrou em vigor em 1º de julho de 2024, e os demais dispositivos em 1º de setembro de 2024. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Novas regras de atualização monetária e juros Read More »

Compliance: aspectos da Lei Anticorrupção

Direito Empresarial /

        Em diversos países, a ligação entre a ética e a gestão pública é objeto de maior atenção nas últimas décadas. No Brasil, a Lei Anticorrupção completa 10 (dez) anos e representa um marco significativo na relação entre empresas privadas e agentes públicos. A legislação estabelece penalidades específicas para empresas que se envolvem em práticas de corrupção, além de incentivar a implementação de programas de compliance.        As atividades da Administração Pública estão diretamente ligadas ao interesse público. Qualquer desvio de suas funções não apenas contraria os princípios jurídicos, mas também reduz a eficiência dos gastos governamentais e tem um impacto negativo na infraestrutura e economia do país.         Neste cenário, a corrupção se manifesta principalmente através da apropriação indevida de recursos públicos, o que pode provocar distorções nas atividades econômicas e enfraquecer a estabilidade política. Essa preocupação crescente demonstra a necessidade de práticas éticas e transparentes no governo, assegurando o bem-estar social e o funcionamento adequado das instituições públicas.        A amplitude dos interesses prejudicados pela corrupção é notável: ela afeta os direitos humanos, na medida em que desagrega o sistema político; afeta a economia, na medida em que desvia recursos públicos da sua verdadeira finalidade; desvia as empresas corruptoras de sua função social e afeta a concorrência, na medida em que as empresas corruptoras obtêm vantagens indevidas do setor público; portanto, essas questões passaram a ser examinadas por vários ramos do direito, como o empresarial. Além disso, a corrupção gera consequências nos direitos individuais, resultando em danos sociais.         Neste cenário, a Lei Anticorrupção das pessoas jurídicas impõe sanções administrativas – mais eficazes e mais céleres no Brasil que a punição prevista nas normas penais – às empresas que praticam atos de corrupção. Essa lei tem a finalidade de compartilhar com a iniciativa privada parte da responsabilidade do Estado pela vigilância sobre atos de corrupção.         O objetivo da Lei Anticorrupção das Pessoas Jurídicas é proteger tanto a Administração Pública brasileira quanto a estrangeira e não se destina apenas a punir, mas também a assegurar a probidade administrativa. Sanções       A lei estabelece que a empresa pode sofrer sanções tanto no âmbito administrativo quanto civil. As sanções administrativas incluem multa e publicação extraordinária da decisão condenatória. Na esfera civil, as sanções previstas são: suspensão ou interdição parcial de suas atividades, dissolução compulsória da pessoa jurídica, perda dos bens, direitos ou valores que representem vantagem ou proveito direta ou indiretamente obtidos da infração e proibição de receber incentivos, subsídios, subvenções, doações ou empréstimos de órgãos ou entidades públicas e de instituições financeiras públicas ou controladas pelo poder público, pelo prazo mínimo de 1 e máximo de 5 anos. Quem pode ser penalizado?         As sanções podem ser aplicadas às: sociedades empresárias e sociedades simples que exercem atividade empresarial; cooperativas, que são sociedades simples por força de lei ainda que exerçam atividade empresarial; sociedades personificadas ou não, independentemente da forma de organização ou modelo societário adotado; empresas estatais com atividade econômica; quaisquer fundações que exerçam atividade econômica; associações de entidades ou pessoas, como é o caso dos consórcios, que não têm personalidade jurídica nem, em regra geral, constituem sociedades; sociedades estrangeiras, que tenham sede, filial ou representação no território brasileiro, constituídas de fato ou de direito, ainda que temporariamente; o patrimônio das sociedades estrangeiras no Brasil responde pelas sanções legais a ela impostas.         Ademais, a lei não distingue as sociedades em razão dos seus fins, de maneira que ela abrange aquelas com fins sociais, políticos, filantrópicos, assistenciais e associativos, desde que elas recebam isenções ou patrocínio do setor público em decorrência das diversas formas de colaboração entre pessoas jurídicas de fins não-lucrativos e entidades públicas e se apropriem indevidamente desses recursos.          No âmbito das empresas estatais com atividade econômica, estas podem ser sujeito ativo de atos de corrupção na relação com outras entidades estatais sujeitas ao regime exclusivo de direito público (sujeitos passivos), estando sujeitas às sanções previstas em lei. Pessoas físicas e a responsabilidade individual         O dispositivo prevê punições diretas apenas às empresas que praticarem atos de corrupção contra a Administração Pública, não alcançando as pessoas físicas envolvidas individualmente em tais condutas, entretanto, estas poderão ser responsabilizadas por meio da desconsideração da personalidade jurídica. Nesse caso, atribui-se à pessoa física apenas um registro para efeitos fiscais, isso significa que sua atividade empresarial passa a ser tributada como se fosse uma empresa, com suas obrigações e responsabilidades correspondentes.         Por fim, a responsabilização das pessoas jurídicas não exclui a responsabilidade individual de seus dirigentes ou administradores ou de qualquer pessoa natural, autora, coautora ou partícipe do ato ilícito, mesmo que estes não estejam sujeitos às sanções administrativas. Nesse caso, todos os participantes respondem por eles, no âmbito administrativo e civil; eventual responsabilidade penal será apurada pelo Ministério Público, após a conclusão do procedimento administrativo.           O Estado não apenas aplica punições à corrupção, busca ampliar a adoção de padrões éticos na atividade empresarial, destinando-se o compliance a auxiliar as empresas a se adequarem às normas e legislações vigentes. Portanto, ele contribui para a promoção de uma cultura organizacional que previne, detecta e remedia casos de corrupção e outras irregularidades.            Nosso sócio Fernando Netto Boiteux, examina esse tema no artigo Corrupção e empresa: aspectos da Lei anticorrupção das pessoas jurídicas. In: DE CICCO, Maria Cristina. (Org.). Corruzione Brasile – Italia: problematiche a confronto. Camerino-IT: Editoriale Scientifica, 2019, p. 119-146. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Compliance: aspectos da Lei Anticorrupção Read More »

Acordo de proteção de dados no comércio eletrônico

Lei Geral de Proteção de Dados - LGPD /

        A operação do comércio eletrônico demanda a atuação conjunta de diferentes atores. Mesmo nos casos em que toda a operação é gerida pelo proprietário da loja virtual, os dados pessoais de clientes podem ser compartilhados com terceiros para diferentes finalidades, como, por exemplo, operadoras de cartão de crédito para efetivação das compras. Nos casos em que há terceirização das atividades do e-commerce, o compartilhamento de dados muitas vezes é indispensável, como pode ocorrer no caso de contratação de transportadoras, entregadores, dentre outros.        O compartilhamento de dados pessoais é ainda mais evidente no modelo de marketplace na medida em que ele atua como intermediário da relação entre vendedor e cliente.          Nos casos em que dois ou mais agentes realizam o tratamento de dados pessoais de pessoas físicas, é indispensável celebrar o acordo de proteção de dados para estabelecer: a relação das partes em relação ao tratamento de dados, que pode ser controlador-operador, controladoria conjunto, ou controlador-controlador de forma independente; descrever os dados pessoais tratados, a sua finalidade, forma de tratamento, prazo de tratamento; a responsabilidade e forma de atendimento ao titular de dados; medidas a serem adotadas em caso de notificação da ANPD; prever critérios de segurança e plano de ação em caso de incidente de segurança; responsabilidade por penalidades administrativas e por indenização aos titulares de dados.         Muitas empresas adotam cláusula contratual padrão/modelo para proteção de dados visando facilitar a gestão de grande volume de contratos. Ocorre que é necessário repensar a adoção de documentos padronizados nos casos mais estratégicos e de maior risco, visto que pode ser necessário impor obrigações mais específicas de segurança, multas, responsabilidade contratual, dentre outras obrigações.           O acordo de proteção de dados é essencial para estabelecer diretrizes sobre como os dados serão compartilhados, a fim de que seja feito de forma segura e em conformidade com a Lei Geral de Proteção de Dados. Isso não apenas protege os direitos dos clientes, assegurando sua privacidade, mas também é essencial para reduzir os riscos de sofrer sanções ou penalidades, além de construir uma relação de confiança com seus consumidores. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. Saiba mais: Comércio eletrônico e direitos do consumidor Saiba mais: LGPD no comércio eletrônico Saiba mais: Organização societária do comércio eletrônico

Acordo de proteção de dados no comércio eletrônico Read More »

LGPD no comércio eletrônico

Lei Geral de Proteção de Dados - LGPD /

       No comércio eletrônico, é comum que as empresas coletem dados pessoais dos clientes, como nome, endereço, CPF, e-mail e informações de pagamento. As empresas que operam no comércio eletrônico têm a responsabilidade de garantir a segurança dos dados pessoais dos clientes e de cumprir rigorosamente as exigências da Lei Geral de Proteção de Dados.       A LGPD está em vigor desde setembro de 2020, prevendo direitos e garantias aos titulares de dados para o tratamento dos dados pessoais. As sanções administrativas em caso de violação preveem multa de até 50 milhões de reais por infração.         A Autoridade Nacional de Proteção de Dados – ANPD que tem competência para a fiscalização, regulamentação e educação sobre proteção de dados, iniciou em 2003 a fiscalização do cumprimento da LGPD.        O proprietário do comércio eletrônico é considerado pela LGPD o controlador dos dados pessoais utilizados na sua operação na medida em que é o responsável por tomar as decisões referentes ao tratamento dos dados pessoais. É dever do Controlador realizar o inventário de todas as suas atividades de tratamento de dados pessoais, analisar a base legal de cada tratamento, os princípios aplicáveis e adotar as medidas necessárias para mitigar os riscos mapeados. Ainda que as atividades sejam integralmente terceirizadas para empresas contratadas, o proprietário continua sendo o controlador e, portanto, legalmente responsável pela legalidade e segurança do tratamento dos dados pessoais. Política de Privacidade             Todo controlador tem o dever de publicar a Política de Privacidade no seu website, que deve descrever: Identificação do controlador, incluindo o seu endereço e canal de contato Nome e contato do Encarregado de Proteção de Dados (DPO) Descrição das formas de coleta de dados pessoais, dos tratamentos realizados e da respectiva finalidade e base legal de forma clara e simplificada Informação sobre operadores de tratamento de dados pessoais, controladoria conjunta e transferência internacional de dados Informação sobre os direitos dos titulares, incluindo canal de atendimento para exercer os seus direitos        A Política de Privacidade é o produto da análise pormenorizada das atividades do controlador e do ciclo de vida dos dados pessoais no contexto da sua operação. Trata-se de documento a ser elaborado por consultoria jurídica especializada após análise dos procedimentos do comércio eletrônico. Essa Política deverá ser revisada regularmente para refletir as mudanças nas operações e eventuais atualizações nas leis de proteção de dados, assegurando assim uma proteção contínua e eficaz dos dados pessoais dos clientes. Política de Cookies e gestão do consentimento          O comércio eletrônico normalmente utiliza cookies em seu website para viabilizar o seu funcionamento e para aprimorar a experiência de compras do cliente. De acordo com o Guia Orientativo sobre Cookies da ANPD, a Política de Cookies deve descrever todos os cookies coletados, o seu proprietário, a sua finalidade e o prazo de armazenamento.         Ademais, ao acessar o website ou aplicativo, o cliente deve ser avisado sobre a coleta de cookies e ter a possibilidade de selecionar os cookies que autoriza a coleta. Newsletter e outras comunicações de marketing          A loja virtual pode ter diferentes meios de comunicação com o cliente visando informá-lo sobre produtos e serviços que possam ser do seu interesse, seja por e-mail ou outras formas de comunicação, como as mensagens de SMS ou via WhatsApp. Para essa finalidade, deve haver consentimento do titular de dados e serem observados os seguintes requisitos: consentimento informado: o cliente deve ser previamente informado sobre a finalidade da coleta dos seus dados para fins de comunicação de marketing consentimento expresso: o seu fornecimento deve decorrer de uma ação afirmativa do cliente, como, por exemplo, a seleção de check-box; consentimento livre: não pode estar condicionado à aquisição de determinado produto ou serviço comercializado consentimento revogável: o cliente deve ter a opção de revogar o consentimento a qualquer tempo e de forma facilitada.          É ônus do controlador demonstrar que o consentimento foi coletado de maneira informada, expressa e livre.        A conformidade com a LGPD não só protege a privacidade dos consumidores, mas também evita penalidades legais e fortalece a relação do cliente com a empresa. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. Saiba mais:  Comércio eletrônico e direitos do consumidor Saiba mais:  Acordo de proteção de dados no comércio eletrônico Saiba mais:  Organização societária do comércio eletrônico

LGPD no comércio eletrônico Read More »

A tributação da renda das sociedades empresárias

Direito Empresarial /

    .Os regimes tributários regulamentam a atividade tributária de uma pessoa jurídica, definindo a forma de arrecadação dos seus impostos, influenciando diretamente a carga tributária e a gestão financeira da empresa.         Os empresários podem optar por três diferentes regimes de tributação da renda: o Simples, o Lucro Presumido e o Lucro Real.        A escolha de cada um desses regimes dependerá, entre outros pontos, da previsão de faturamento da empresa durante o ano, pois só é possível trocar o regime de tributação no início de cada ano. Além disso, é importante considerar a natureza das atividades realizadas pela empresa, os custos operacionais e as obrigações acessórias associadas a cada regime. O regime Simples Nacional         A opção pelo Simples Nacional irá influir sobre a tributação pelo ICMS, mas ela também é relevante para a apuração do Imposto de Renda.      Nesse regime, aplicável às empresas que faturam até R$ 4,8 milhões ao ano, as alíquotas aplicáveis ao recolhimento dos tributos irão variar, conforme a atividade exercida e a receita bruta apurada ao longo de 12 meses. O regime do Lucro Presumido        Chama-se esse regime de lucro presumido porque, ao invés de apurar o lucro efetivamente obtido pela empresa o Fisco presume qual seria ele por meio da aplicação de percentuais, pré-determinados de acordo com a sua atividade, sobre a receita bruta, auferida em cada período.          Ele representa uma faculdade do contribuinte e possui um sistema mais simples de apuração do imposto sobre a renda, evitando eventual contencioso sobre as despesas dedutíveis e as receitas que devem ser excluídas da apuração.         Esse regime se aplica às empresas que não estão obrigadas à apuração do imposto pela sistemática do lucro real, e cuja receita bruta total no ano-calendário anterior tenha sido igual ou inferior a R$ 78 milhões.       ..A base de cálculo do imposto e as alíquotas aplicáveis irão variar conforme a atividade exercida por elas. Na hipótese de atividades diversificadas, será aplicado o percentual correspondente a cada atividade. O regime do Lucro Real          No regime do lucro real, os tributos são calculados sobre o lucro líquido efetivamente apurado. Ele se aplica às empresas com faturamento anual acima de R$ 78 milhões, sendo proporcional ao número de meses do período, quando inferior a 12 (doze) meses.          Saber qual regime de tributação é mais adequado para seu negócio é essencial para não comprometer a conformidade e bom desempenho da área fiscal de uma pessoa jurídica. A escolha correta mitiga os problemas com o fisco, reduz a carga tributária dentro dos limites legais, e aperfeiçoa a gestão financeira da empresa. Este artigo foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional. Saiba mais: Organização societária do comércio eletrônico

A tributação da renda das sociedades empresárias Read More »