Quem é o encarregado ou DPO, na LGPD?

A cada dia aproxima-se a data para a Lei Geral de Proteção de Dados (Lei 13.709/2018) entrar em vigência e muitas dúvidas a respeito de sua implementação ainda precisam ser respondidas. Dentre esses temas, se destaca as atribuições e especificidades da figura do Encarregado, também já designado de DPO (Data Protection Officer), em razão da influência europeia na lei brasileira.

A legislação brasileira define o Encarregado como a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos danos e a Autoridade Nacional de Proteção de Dados (ANPD)”, conforme art. 5, inciso VIII, da LGPD.

Assim, de imediato percebe-se a importância dada ao Encarregado na política de proteção de dados, responsável pela integração segura de todos os agentes envolvidos no tratamento de dados.

Qual a diferença entre encarregado e controlador

O Controlador – quem pratica qualquer tipo de tratamento de dados – deverá indicar o Encarregado, que poderá ser uma pessoa natural ou mesmo uma empresa que se dedique à essa atividade.

Inicialmente, na redação original da lei, haveria a exigência de que o Encarregado fosse uma pessoa natural, não havendo a possibilidade de se indicar qualquer pessoa jurídica para exercer as atribuições de encarregado. No entanto, após as modificações legislativas, consolidou-se o texto que retirava da redação o termo ‘natural’ do inciso VIII do art. 5º da LGPD, indicando a autorização para que pessoas jurídicas assumam o papel de Encarregado.

A ampliação da natureza jurídica do Encarregado é importante pois, tendo em vista a obrigatoriedade da indicação por todas as pessoas que realizem tratamento de dados pessoais (art. 41 da LGPD), faz-se necessário a ampliação das possibilidade de atuação dessa nova figura do direito brasileiro, contribuindo inclusive para o sucesso da política de dados no país.

Atividades atribuídas ao encarregado

As atividades do Encarregado encontram-se expressas no art. 41 da LGPD, consistindo em:

  • aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • receber comunicações da autoridade nacional e adotar providências;
  • orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;
  • executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Com a legislação atual, fica claro que apesar de descrita a missão do Encarregado, as atribuições e o seu modo de atuação deverão ser tratados por meio de regulamentação específica, inclusive a serem editados pela Autoridade Nacional de Proteção de Dados (artigos 41, §3º e 55-J da LGPD).

Uma vez indicado, a lei prevê que as informações de contato do Encarregado deverão ser divulgadas pelo Controlador, demonstrando mais uma vez a importância de tal figura na dinâmica de tratamento de dados.

Assim, a leitura do texto da lei nos permite inferir que as atividades do Encarregado envolverá íntima relação com o Controlador, prolongando-se no tempo, tendo em vista o constante acompanhamento e monitoramento das atividades de tratamento de dados.

Quais são os requisitos técnicos de um encarregado

Outro aspecto que tem gerado grande especulação é a respeito dos requisitos técnicos necessários ao Encarregado. No cenário europeu não foram impostas formações de áreas específicas, indicando-se tão somente que deverá ser sujeito conhecedor da legislação de proteção de dados e capaz de desempenhar as atividades impostas no regulamento.

No Brasil, o texto original da lei previa a necessidade de conhecimento jurídico regulatório, porém tal disposição foi excluída sob a justificativa de que tal requisito seria contrário ao interesse público restringindo o livre exercício profissional, de modo que, atualmente, não há exigências técnicas o Encarregado.

De toda forma, considerando as atribuições do cargo, espera-se que o Encarregado detenha conhecimentos jurídicos a respeito da legislação de proteção de dados, o que não se limita somente à LGPD, bem como conhecimentos relativos à segurança de informação. Além disso, é importante que o Encarregado também tenha conhecimentos de governança e boa capacidade de integração de pessoas, uma vez que a proteção de dados envolve diversas áreas de uma empresa, como por exemplo, área jurídica, Tecnologia da Informação (TI), Financeiro, Marketing, Comercial e Recursos Humanos.

Isso porque, o Encarregado será a principal ferramenta do controlador para garantir o efetivo cumprimento da LGPD, por meio de uma política de proteção de dados consistente, afastando eventuais responsabilizações e sanções por violação de dados pessoais.

Assim, como se percebe, a atividade do Encarregado trata-se de área nova, extremamente importante e em desenvolvimento no mercado brasileiro, essencial à execução da política de proteção de dados, cujo papel deverá ser desempenhado por profissionais com grande capacidade de adaptação, integração e conhecimento técnico.

Sua empresa está preparada para a LGPD?

A Lei Geral de Proteção dos Dados (LGPD) entrará em vigor em agosto de 2020, e vai influenciar qualquer organização que coleta ou processa dados do Brasil ou de residentes brasileiros.

Daqui até lá faltam poucos meses. Preparamos, em parceria com a BHS, uma lista rápida das questões sobre as quais você deve refletir para verificar até que ponto seu negócio está se moldando à LGPD.  Vamos lá?

1. A gerência entende a importância da LGPD?

A LGPD afeta e depende de todos na organização, motivo pelo qual a gestão precisa levá-la a sério e se responsabilizar pela conscientização e educação de todas as camadas da empresa.

A LGPD pode custar até 2% do faturamento ou R$50 milhões, a depender da infração. Além da multa, os danos causados à imagem e reputação do negócio podem ser irreversíveis, provocando até o encerramento das atividades.

2. Você sabe onde estão seus dados hoje?

O regulamento cobre todos os dados existentes previamente, bem como novos dados coletados depois que ele entrar em vigor. Então, é melhor descobrir onde todos os seus dados atuais estão hospedados, os tipos que estão sendo mantidos e os processos de acesso, armazenamento seguro, backup e controle.

Além disso, é preciso se perguntar se todos os dados armazenados pela empresa hoje são realmente necessários. É mais fácil cuidar e segurar volumes menores de dados.

3. Você tem um processo para fornecer os dados que forem pedidos?

A LGPD oferece aos usuários (titulares) o direito de exigir que os controladores (as organizações que os detêm) forneçam seus dados de volta, em formato legível por máquina. Você está pronto para responder a solicitações, coletar os dados de todas as fontes sobre os indivíduos e devolvê-los?

A nossa dica é digitalizar todos os dados existentes (como fichas de cadastro, por exemplo) e concentrá-los em um único banco de dados.

4. Você tem um processo para excluir dados se exigido?

Os titulares de dados podem exigir que seus dados sejam excluídos do seu armazenamento e o tratamento seja interrompido. Sua empresa é capaz de excluir e comprovar a exclusão dos dados tratados hoje?

Assim como no item anterior, facilita muito se todos os dados estiverem armazenados em um mesmo local.

5. Você entende as regras de consentimento?

Todos os dados armazenados e tratados pelo controlador devem ter sido coletados com consentimento expresso do usuário. Mesmo os dados coletados há muito tempo devem ter essa autorização atualizada.

Em uma auditoria, você precisa ser capaz de responder onde conseguiu os dados e como o sujeito dos dados concordou com a coleta.

6. Você sabe quais terceirizados têm acesso aos dados?

Supondo que seja um controlador de dados, você é responsável pela manutenção segura desses, independentemente de quem estiver lidando com eles. Você tem certeza de suas políticas, procedimentos e tecnologias para manter essas informações seguras?

É importante identificar os pontos de vulnerabilidade nos seus processos e, assim, definir as prioridades na hora de reforçar a segurança.

7. Tem certeza de que pode detectar violações de dados?

Você não quer ser informado de um incidente de perda de dados pelos próprios usuários ou pela autoridade de proteção. Você tem tecnologia que possa detectar violações ocorridas para investigar como os dados foram perdidos (ou alterados)?

Algumas ferramentas, como o Office 365, oferecem registro completo de usuários, que identifica quando e por quem alterações e exclusões foram feitas nos documentos.

8. Todos os processos e fluxos de dados foram documentados?

Se ocorrer uma violação ou o regulador investigar a organização, é preciso ter documentos para explicar os fluxos de dados completos. Você está pronto para responder a essas perguntas? O nível das multas levará em consideração os processos, a tecnologia e a documentação que descrevem os sistemas e o fluxo de dados.

9. Seus contratos já foram revistos?

Quando se fala em Lei Geral de Proteção de Dados, também é preciso prestar atenção em parceiros, funcionários, clientes e fornecedores. Por isso, a revisão dos contratos – inclusive os de trabalho – deve ser feita de forma a resguardar a empresa em caso de infrações de terceiros que tenham vínculo com o seu negócio.

Essas são as principais questões para refletir até que a LGPD entre em vigor. Se elas foram fáceis de responder, ótimo! Você está no caminho certo. Se não, é hora de repensar a forma como você gerencia e armazena dados pessoais.

É importante que seja realizado um planejamento para a completa adequação, evitando assim notificações e multas. A assessoria jurídica e na área de Tecnologia da Informação (TI) são fundamentais nesse processo.

Esse conteúdo foi produzido por especialistas em TI da BHS.

STJ considera crime o não pagamento do ICMS declarado

A linha tênue que divide o mero inadimplemento de tributos e a prática de crime contra a ordem tributária sempre foi tema de relevantes discussões na academia e nos tribunais brasileiros. Assim, considerar como crime o fato do contribuinte não promover o pagamento devido dos tributos sempre foi uma questão controversa, gerando grande debate na esfera do direito penal e tributário.

A discussão ganhou um capítulo importante protagonizado pelo STJ, que considerou como crime de apropriação indébita tributária o não pagamento de ICMS declarado pelas Empresas, quando o valor do tributo foi repassado à terceiro, seja o consumidor final ou substituto tributário.

O relator da 3º Seção, Ministro Rogério Schietti Cruz, considerou o tema de grande relevância econômica e social, destacando que a criminalização da prática é essencial para evitar que empresários deixem de recolher o tributo declarado, integrando o valor repassado ao substituto em sua receita e deliberadamente optando por contrair a divida fiscal.

Diante disso, a Corte superior entendeu que a pratica deve ser encarada como criminosa, pois configura verdadeira apropriação indébita, prevista no art 2º da Lei 8.137/1990, uma vez que não houve o repasse de valores efetivamente recebidos pelo contribuinte quando da substituição tributária e que de fato ingressaram em sua receita.

Contudo, o julgamento deixou grandes discussões em aberto, sendo alvo de criticas da comunidade jurídica, principalmente dos advogados que atuam por contribuinte. Nesse sentido, uma das  questões objeto de preocupações, se refere ao momento em que o crime é consumado e o contribuinte poderia ser responsabilizado, uma vez que a Corte considerou o crime ocorrido a partir do não recolhimento do tributo, ou seja, antes do transito em julgado do processo administrativo, momento no qual o crédito é de fato constituído.

Noutro giro, os contribuintes defendem ainda que a responsabilização criminal depende de uma robusta instrução probatória, uma vez que provar o dolo do empresário pelo não pagamento do tributo é primordial para aplicação de qualquer tipo de sanção.

Portanto, em que pese as preocupações dos contribuintes sobre as reais mudanças que o julgamento trará, fato é que as empresas devem buscar medidas para evitar o inadimplemento tributário, visando eliminar o risco de eventual responsabilização criminal dos seus sócios e administradores.

Para tanto, é importante buscar a assessoria jurídica para se fazer um planejamento tributário eficiente, buscando alinhar a operação da empresa com a complexa legislação tributária e a imprevisibilidade do mercado.

A importância da assessoria jurídica nos processos de fusão de empresas

Sadia e Perdigão, Azul e Trip, Itaú e Unibanco: os jornais geralmente noticiam o processo de união das empresas – fusão – com o objetivo de aumentar a perspectiva de crescimento no mercado. Essa operação deve ser feita mediante uma auditoria técnica e especializada, e a assessoria jurídica é fundamental para tanto. Veja mais sobre o assunto no presente artigo.

Merge & Acquisition

O termo Merge & Acquisition é proveniente do Direito Americano, que traduzido para o português vem sendo entendido como Fusões e Aquisições. Essas operações englobam, em termos societários, as operações de compra e venda de ações e/ou quotas; subscrição de novas ações e/ou quotas; e, as operações societárias de incorporação, fusão e cisão.

A nossa legislação, trata de forma expressa, as operações de incorporação, fusão e cisão. A incorporação e a fusão estão tratadas tanto na Lei das Sociedades Anônimas (Lei nº 6.404/76), quanto no Código Civil (Lei nº 10.406/02). Já a cisão é tratada de forma expressa apenas na Lei das Sociedades Anônimas.

Em que pese o tratamento legislativo de tais matérias, fato é que essas modalidades de operações societárias podem ser realizadas em outras pessoas jurídicas não expressamente previstas na legislação, inclusive, em associações, por exemplo.

Fusão

A fusão, de acordo com a legislação brasileira (Código Civil e Lei de Sociedades por Ações), é a operação pela qual se unem duas ou mais sociedades, que são extintas como resultado desta operação. A nova empresa gerada pela fusão sucede a empresa extinta em todos os direitos e obrigações.

Cisão

De acordo com a Lei nº 6.404/76, a cisão é a operação pela qual a companhia transfere parcelas do seu patrimônio para uma ou mais sociedades, constituídas para esse fim ou sociedades já existentes.

A cisão pode também ser total ou parcial. Se da cisão resultar a extinção da pessoa jurídica originária, o processo é chamado de cisão total. Mas se a pessoa jurídica originária continuar existindo, denomina-se cisão parcial.

Incorporação

De acordo com a Lei das S.A. e o Código Civil (arts.227 e 1.116, respectivamente) é a operação pela qual uma ou mais sociedades (incorporadas) são absorvidas por outra (incorporadora). Como resultado da incorporação, a sociedade incorporadora sucede as demais nos direitos e obrigações, inclusive aqueles de natureza fiscal e trabalhista, e as incorporadas são extintas.

Considerando a diferenciação em cada uma das modalidades de modificações societárias, notadamente a questão da assunção dos direitos e obrigações das empresas já existentes, a cisão parcial é normalmente utilizada para casos em que há necessidade de compra e venda de um segmento específico de negócio de uma empresa ou mesmo para o desenvolvimento de uma determinada área de negócios. Isso porque com a cisão parcial a sociedade que já existia continua sendo responsável pelos direitos e obrigações e aquela nova empresa criada apenas para parte do negócio não sucederá a antiga em tais passivos.

Por sua vez, como as operações de incorporação e fusão implicam na assunção de obrigações das empresas sucedidas, normalmente, estas operações são utilizadas para movimentações societárias dentro do mesmo grupo empresarial.

O processo de fusão

Para que fusão seja considerada um bom negócio, ela deverá trazer benefícios a todas as empresas e sócios envolvidos no processo e, por isso, cuidados durante todo o trâmite da negociação são necessários.

Em um primeiro momento, antes de uma empresa considerar sua entrada em um processo de fusão, ela deve realizar uma avaliação econômica financeira adequada do negócio ou da empresa que vai estar envolvida no processo juntamente com ela.

Posteriormente, após a avaliação inicial, as empresas envolvidas precisam firmar os denominados contratos preliminares. Um dos principais documentos preliminares que deve ser firmado é o acordo de confidencialidade. Será esse acordo que permitirá que as empresas tenham acesso as informações mais aprofundadas uma da outra.

Após iniciadas as conversas preliminares e celebrado o acordo de confidencialidade, as empresas podem passar a negociar a carta de intenções (ou term sheet). Esse documento também é um contrato preliminar que reflete os primeiros entendimentos das partes sobre a negociação e a definição dos pontos que serão posteriormente discutidos e negociados. O objetivo primordial desse instrumento é registrar, por escrito, os termos básicos da operação e da negociação prévia entre as partes, de forma a garantir que determinados avanços na negociação não serão novamente objeto de deliberação, evitando assim que essas definições estejam apenas no campo das negociações “verbais”. Essa carta de intenções, por se tratar de contrato preliminar, não é vinculante, nos termos do Código Civil, mas as partes podem negociar a medida dessa vinculação ou não vinculação no próprio instrumento.

Uma das cláusulas mais importantes de se constar na carta de intenções é o direito de exclusividade (no shop provision), que visa proteger a empresa investidora contra eventual assédio de terceiros à empresa alvo, durante aquele processo de negociação.

O próximo passo do processo é a realização da due diligence. Nesse processo, o advogado da empresa investidora encaminha para a empresa alvo uma lista de documentos a serem entregues. O objetivo com essa lista é identificar eventuais contingências ocultas, perdas não relatadas, ineficiências do negócio ou mesmo fatores impeditivos à operação. Essa auditoria também abrangerá aspectos técnico, financeiro e negocial.

Após a realização da auditoria e esclarecimentos dos pontos encontrados, inicia-se a fase de preparação dos documentos definitivos. Nos documentos definitivos é que as partes envolvidas poderão definir os responsáveis pelos passivos existentes e ocultos, definição das marcas que continuarão a ser utilizadas e a titularidade das mesmas, aportes de capital que serão realizados, entre outras questões importantes. É nessa fase também que deve-se avaliar a necessidade de celebração de um acordo de acionistas/quotistas para avaliar a proteção na entrada dos novos sócios.

A última fase do processo é denominada fase de fechamento. Essa fase é representada pela assinatura dos contratos, a transferência de recursos acordados entre as partes e a correspondente entrega de capital.

Os processos de fusão e a CVM

Para os processos de fusão de empresas envolvendo companhias abertas, é importante mencionar que a CVM – Comissão de Valores Imobiliários traz regras específicas sobre esse tipo de transação, que deverão ser observadas pelas partes. Uma das mais importantes regras para esse tipo de transação é o dever de sigilo e não negociação de ações, bem como a necessidade de autorização da CVM para a transferência do controle dessas companhias.

Os processos de fusão e o CADE

O CADE (Conselho Administrativo de Defesa Econômica) poderá analisar operações de fusão puderem resultar em concentração de participação no mercado relevante ou possível restrição à livre concorrência. Em suma, a ideia é proteger o consumidor que não pode vir a ser prejudicado em decorrência de operações societárias realizadas pelas empresas. 

Boas práticas para uma operação de sucesso

Uma operação de fusão bem feita é permeada por práticas que objetivam eliminar os principais riscos envolvidos no processo. Podemos citar como principais: 

  • Conduzir de forma efetiva a due diligence preliminar da operação. Apenas uma auditoria completa poderá demonstrar de forma efetiva o negócio que está sendo adquirido, inclusive, suas eventuais dificuldades de operação.
  • Uniformização da cultura organizacional. É importante que os executivos da empresa nomeados após a fusão, definam a nova cultura empresarial e deleguem equipes específicas para possibilitar a integração de todo o pessoal das empresas envolvidas.
  • Comunicar a clientes e fornecedores sobre a nova organização da empresa, inclusive, demonstrando que não haverá perdas no processo e facilitando a comunicação com a empresa que será resultado final da opetação.
  • Capacidade de gerar resultados.

A assessoria jurídica no processo de fusão

A contratação de um escritório de advocacia especializado é fundamental para o sucesso da fusão. A participação da assessoria jurídica na hora de fazer elaborar os documentos da operação é a forma mais segura de mitigar os riscos.

Há que se destacar, porém, que o auxílio profissional é importante em todas as etapas do processo, e principalmente nos seguintes casos:

  • Fazer os acordos preliminares (acordo de confidencialidade, memorando de entendimentos, opção de compra e outros);
  • Apontar as cláusulas que devem ser incluídas nos documentos: nesse momento, o advogado deve detalhar os tipos de investimento, a participação societária, as hipóteses de conflitos de interesses, a remuneração da Diretoria e do Conselho, dentre outras informações importantes.
  • Definir o momento de revelação dos segredos empresariais e das informações estratégias.

Uma operação de fusão pode propiciar grandes benefícios às sociedades envolvidas, como exemplos de benefícios podemos citar: a diversificação e promoção de mercados; o aumento da escala econômica de produção; o aumento do poder de mercado da organização;  melhora nas condições de atuação, pela integração de áreas.

De toda forma é importante esclarecer que o processo de fusão de empresas não é um processo rápido e, por isso, as partes envolvidas devem ter paciência e estar bem assessoradas.

Caso queira esclarecer outras dúvidas sobre o processo, entre em contato conosco!