Durante uma semana de visita à Paris, Tamy Tanzilli, Anne-Catherine Brunschwig, Carolina Moresco e Cécile Verdeaux tiveram a oportunidade de organizar, no último dia 10 de outubro, na Embaixada do Brasil em Paris, uma conferência sobre investimentos estrangeiros no Brasil, em colaboração com a Pramex International e a Velours International.
Palestrantes da Conferência:
- Pramex International, com Jérôme Dupas, que compartilhou perspectivas sobre o contexto econômico no Brasil, fusões e aquisições e a recuperação positiva em 2024.
- GTLAWYERS, representado por Tanzilli Tamy, que apresentou um panorama jurídico dos investimentos no Brasil: rumo à simplificação do quadro jurídico e regulatório.
- Velours International, com Laurent Serafini, abordou o tema: como proteger seus investimentos e ativos no Brasil?
Também tivemos o privilégio de ouvir dois testemunhos inspiradores de Jérôme Leboeuf da NOREMAT Ltda. e Stéphane Lehning dos Laboratórios Lehning, que compartilharam sua experiência de investimento no Brasil, seja por meio da criação de uma empresa ou por aquisição.
Um grande obrigado a todos os participantes por suas contribuições valiosas! Agradecemos igualmente à Câmara de Comércio do Brasil na França – CCBF, ao seu presidente Philippe Lecourtier, bem como à Rosemeire Martins pela perfeita organização desse evento.
No último dia 11 de outubro, a GTLAWYERS participou como patrocinadora do Fórum América Latina, organizado pela Business France e pelo Senado em Paris. Este evento foi uma oportunidade valiosa para destacar o potencial econômico do Brasil, um mercado dinâmico e repleto de oportunidades.
Tivemos a chance de conhecer diversas empresas interessadas em obter orientações para desenvolver suas atividades no Brasil. Nossas trocas permitiram explorar os desafios e as oportunidades de investimento, bem como estratégias para navegar de forma eficaz neste mercado.
The international transfer of personal data continues to be one of the most challenging topics in the global data protection landscape, as the flow of information across borders intensifies. Resolution CD/ANPD No. 19/2024, published by the National Data Protection Authority (ANPD), introduces detailed rules to regulate such transfers in Brazil, aiming to align with international regulations such as the European Union’s General Data Protection Regulation (GDPR) and U.S. legislation like the California Consumer Privacy Act (CCPA) and the recent EU-US Data Privacy Framework.
The new ANPD Resolution No. 19/2024 establishes criteria and mechanisms for international data transfers to comply with Brazil’s General Data Protection Law (LGPD). While it shares similarities with European and American regulations, it also presents unique nuances that shape the data protection landscape in Brazil.
Countries with Adequate Levels of Protection
ANPD Resolution No. 19/2024, like the GDPR in Europe, permits the transfer of data to countries that offer an adequate level of protection. While the European Commission has already recognized countries like Japan and the United Kingdom as adequate, ANPD, despite conducting its own adequacy analysis, has not yet formally recognized any country as adequate. This analysis takes into account factors such as the data protection laws of the receiving country, the effectiveness of regulatory authorities, the respect for data subjects’ rights, among other factors[1].
Given that no country has yet been recognized as offering adequate levels of protection in Brazil, companies wishing to transfer personal data to other countries must use one of the mechanisms provided for in Resolution No. 19/2024, such as Standard Contractual Clauses (SCCs) and Binding Corporate Rules (BCRs).
Standard Contractual Clauses (SCCs)
One of the most common mechanisms for international transfers is the Standard Contractual Clauses (SCCs). The GDPR has already consolidated these clauses as an essential tool to ensure that personal data transfers to countries outside the European Union occur safely. These SCCs specify clear obligations for data exporters and importers, ensuring that data processing practices comply with data protection principles.Similarly, the ANPD has published its own SCCs in Resolution No. 19/2024, which must be incorporated into contracts between controllers or processors in Brazil and their foreign partners. This step aligns Brazil with global practices, providing a standardized path to ensure the compliance of data transfers, regardless of the destination
See Article 11 of Resolution No. 19/2024: “The evaluation of the level of protection of personal data in a foreign country or international organization shall take into consideration: I – the general and sectoral regulations in force that impact the protection of personal data in the destination country or international organization; II – the nature of the data; III – the observance of the general principles of personal data protection and the rights of data subjects provided for in Law No. 13.709, of August 14, 2018; IV – the adoption of appropriate security measures to minimize impacts on the civil liberties and fundamental rights of the data subjects; V – the existence of judicial and institutional guarantees to respect personal data protection rights; and VI – other specific circumstances related to the transfer.”.
One of the most important provisions of the Resolution 19 is that the SCCs must be applied without any alteration[1], as established in the Annex to the regulation. This means that companies choosing to use this mechanism cannot modify the content of the clauses unless express authorization is given by the ANPD for specific adaptations. Companies must also be prepared with a fully implemented Data Governance Program to comply with the SCCs.
Binding Corporate Rules (BCRs)
Both the European Union and Brazil, through Resolution No. 19, recognize Binding Corporate Rules (BCRs) as an efficient mechanism for intra-group transfers. Multinational companies that implement BCRs demonstrate a commitment to a uniform level of data protection, applicable to all their subsidiaries, regardless of geographical location.
For a company in Brazil with its headquarters in Europe, the main provisions of the Resolution include the requirement for adoption and approval of the BCRs by the ANPD, ensuring that these rules align with the principles of the LGPD and provide an adequate level of protection for personal data transferred between entities within the same corporate group. BCRs facilitate the safe transfer of data between subsidiaries and branches located in different countries, such as Brazil and Europe, without the need for individual compliance assessments for each transaction.
Additionally, BCRs must ensure that the rights of data subjects, such as access, correction, and deletion, are respected in all group entities, regardless of jurisdiction. Companies must establish clear and transparent mechanisms to meet these requests from data subjects, ensuring data protection throughout the entire process. The rules also outline responsibility and governance in data processing, including the appointment of a Data Protection Officer (DPO) and the creation of robust internal policies for data protection across all units of the company.
The ANPD also plays a supervisory role over BCRs, which may involve audits and requests for additional information to ensure that personal data protection is being properly implemented and monitored in all the company’s international operations.
Additional Contractual Guarantees and Transfer Mechanisms
In addition to SCCs and BCRs, both Resolution No. 19/2024 and the GDPR allow for the use of other contractual guarantees or mechanisms, such as codes of conduct or certifications, as long as these mechanisms offer equivalent protections to the rights ensured by the legislation. ANPD encourages the adoption of documented and auditable practices so that controllers and processors can demonstrate compliance with the LGPD during international data transfers.
Conclusion
Resolution CD/ANPD No. 19/2024 is a significant milestone for data protection in Brazil in the context of international transfers. The regulation seeks to balance global best practices, such as those implemented in the European Union through the GDPR, while addressing the specificities of the Brazilian context.
The Data Team at GT Lawyers is available to follow the developments of Resolution No. 19/2024 and assist companies in all aspects related to international data transfers.
See Article 16 of Resolution No. 19/2024: “The validity of international data transfers, when based on the adoption of standard contractual clauses, requires the full and unaltered adoption of the text provided in Annex II, through a contractual instrument signed between the exporter and the importer.”.
Le transfert international de données personnelles reste l’un des sujets les plus complexes dans le contexte mondial de la protection des données, à mesure que les flux d’informations transfrontaliers s’intensifient. La Résolution CD/ANPD n° 19/2024, publiée par l’Autorité Nationale de Protection des Données (ANPD), introduit des règles détaillées pour réguler ces transferts au Brésil, cherchant à s’aligner sur les régulations internationales telles que le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne et les législations américaines comme le California Consumer Privacy Act (CCPA) et le récent Cadre de Protection des Données UE-USA (EU-US Data Privacy Framework).
La nouvelle Résolution de l’ANPD n° 19/2024 établit des critères et des mécanismes pour que les transferts internationaux de données respectent la Loi Générale de Protection des Données (LGPD). Bien qu’elle présente des similitudes avec les régulations européennes et américaines, elle apporte des nuances spécifiques qui façonnent le paysage de la protection des données au Brésil.
Pays avec un Niveau Adéquat de Protection
La Résolution n° 19/2024, tout comme le RGPD en Europe, autorise le transfert de données vers des pays qui offrent un niveau adéquat de protection. Tandis que la Commission Européenne a déjà reconnu des pays tels que le Japon et le Royaume-Uni comme adéquats, l’Autorité Nationale de Protection des Données (ANPD), bien qu’elle procède à sa propre analyse d’adéquation, n’a formellement reconnu aucun pays comme adéquat. Cette analyse prend en compte des aspects tels que la législation en matière de protection des données du pays récepteur, l’efficacité des autorités régulatrices, le respect des droits des titulaires, entre autres.
Étant donné qu’aujourd’hui au Brésil, aucun pays n’a encore été reconnu comme offrant des niveaux adéquats de protection, les entreprises qui souhaitent transférer des données personnelles vers d’autres pays doivent utiliser l’un des mécanismes prévus par la Résolution 19, tels que les Clauses Contractuelles Types (SCCs) et les Règles d’Entreprise Contraignantes (BCRs).
Clauses Contractuelles Types (SCCs)
L’un des mécanismes les plus courants pour les transferts internationaux sont les Clauses Contractuelles Types (SCCs). Le RGPD a déjà consolidé ces clauses comme un outil essentiel pour garantir que les transferts de données personnelles vers des pays hors de l’Union Européenne se fassent de manière sécurisée. Ces SCCs spécifient des obligations claires pour les exportateurs et les importateurs de données, assurant que les pratiques de traitement des données soient conformes aux principes de protection des données.De manière similaire, l’ANPD a publié ses propres SCCs dans la Résolution n° 19, qui doivent être intégrées aux contrats conclus entre responsables ou sous-traitants au Brésil et leurs partenaires
Voir l’article 11 de la Résolution CD/ANPD n° 19/2024: « L’évaluation du niveau de protection des données personnelles d’un pays étranger ou d’un organisme international prendra en considération : I – les normes générales et sectorielles en vigueur ayant un impact sur la protection des données personnelles dans le pays de destination ou l’organisme international ; II – la nature des données ; III – le respect des principes généraux de protection des données personnelles et des droits des titulaires prévus par la Loi n° 13.709 du 14 août 2018 ; IV – l’adoption de mesures de sécurité adéquates pour minimiser les impacts sur les libertés civiles et les droits fondamentaux des titulaires ; V – l’existence de garanties judiciaires et institutionnelles pour le respect des droits de protection des données personnelles ; et VI – d’autres circonstances spécifiques liées au transfert. ».
étrangers. Cette mesure aligne le Brésil sur les pratiques mondiales, offrant une voie standardisée pour garantir la conformité du transfert de données, quel que soit la destination.
Une des dispositions les plus importantes de la résolution est que les Clauses Contractuelles Types (SCCs) doivent être appliquées sans aucune modification, conformément à l’annexe de la norme. Cela signifie que les entreprises qui choisissent d’utiliser ce mécanisme ne peuvent pas modifier le contenu des clauses, sauf si une autorisation expresse de l’ANPD est accordée pour des adaptations spécifiques, et elles doivent être préparées et avoir un Programme de Gouvernance des données personnelles mis en place pour être en mesure de respecter les SCCs.
Règles d’Entreprise Contraignantes (Binding Corporate Rules – BCRs)
Tant l’Union Européenne que le Brésil, avec la Résolution n° 19, reconnaissent les Règles d’Entreprise Contraignantes (BCRs) comme un mécanisme efficace pour les transferts intragroupe. Les multinationales qui mettent en œuvre des BCRs démontrent un engagement envers un niveau uniforme de protection des données, applicable à toutes leurs filiales, quel que soit leur emplacement géographique.
Pour une entreprise au Brésil ayant son siège en Europe, les principales dispositions de la Résolution incluent la nécessité d’adoption et d’approbation des BCRs par l’ANPD, garantissant que ces règles sont alignées avec les principes de la LGPD et offrent un niveau adéquat de protection des données personnelles transférées entre entités du même groupe. Les BCRs facilitent le transfert sécurisé de données entre filiales et succursales situées dans différents pays, comme le Brésil et l’Europe, sans nécessiter d’évaluation de conformité pour chaque transaction individuelle.
De plus, les BCRs doivent garantir que les droits des titulaires de données, tels que l’accès, la rectification et la suppression, soient respectés dans toutes les entités du groupe, quel que soit la juridiction. Les entreprises doivent mettre en place des mécanismes clairs et transparents pour répondre à ces demandes des titulaires, assurant la protection des données tout au long du processus. Les règles déterminent également la responsabilité et la gouvernance du traitement des données, y compris la désignation d’un Délégué à la Protection des Données (DPO) et la création de politiques internes solides pour la protection des données dans toutes les unités de l’entreprise.
L’ANPD joue également un rôle de supervision des BCRs, pouvant exiger des audits et des demandes d’informations supplémentaires pour garantir que la protection des données personnelles est correctement mise en œuvre et surveillée dans toutes les opérations internationales de l’entreprise.
Garanties Contractuelles Supplémentaires et Mécanismes de Transfert
En plus des SCCs et BCRs, la Résolution n° 19 ainsi que le RGPD permettent l’utilisation d’autres garanties contractuelles ou mécanismes, tels que des codes de conduite ou des certifications, à condition que ces mécanismes offrent des protections équivalentes aux droits assurés par la législation. L’ANPD encourage l’adoption de pratiques documentées et auditables afin que les responsables du traitement et les sous-traitants puissent démontrer leur conformité à la LGPD lors des transferts internationaux de données.
Voir l’article 16 de la Résolution CD/ANPD n° 19/2024: « La validité du transfert international de données, lorsqu’elle est fondée sur l’adoption des clauses standard, suppose l’adoption intégrale et sans modification du texte fourni en Annexe II, au moyen d’un instrument contractuel signé entre l’exportateur et l’importateur. ».
Conclusion
La Résolution CD/ANPD n° 19/2024 constitue une étape importante pour la protection des données au Brésil dans le cadre des transferts internationaux. La réglementation cherche à équilibrer les meilleures pratiques mondiales, telles que celles mises en œuvre dans l’Union Européenne via le RGPD, tout en répondant aux spécificités du contexte brésilien.
L’équipe Data de GT Lawyers est à disposition pour suivre les évolutions de la Résolution CD/ANPD n° 19/2024 et assister les entreprises dans tous les aspects liés aux transferts internationaux de données.
A transferência internacional de dados pessoais continua sendo um dos temas mais desafiadores no cenário global da proteção de dados, à medida que o fluxo de informações entre fronteiras se intensifica. A Resolução CD/ANPD nº 19/2024, publicada pela Autoridade Nacional de Proteção de Dados (ANPD), introduz regras detalhadas para regular essas transferências no Brasil, buscando compatibilizar-se com regulamentos internacionais como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e as legislações dos Estados Unidos, como o California Consumer Privacy Act (CCPA) e o recente EU-US Data Privacy Framework.
A nova Resolução da ANPD nº 19/2024 estabelece critérios e mecanismos para que as transferências internacionais de dados respeitem a Lei Geral de Proteção de Dados (LGPD). Embora tenha semelhanças com as regulamentações europeias e americanas, apresenta nuances próprias que moldam o cenário de proteção de dados no Brasil.
Países com Nível Adequado de Proteção
A Resolução nº 19/2024, assim como o GDPR na Europa, permite a transferência de dados para países que oferecem um nível adequado de proteção. Enquanto a Comissão Europeia já reconheceu países como Japão e Reino Unido como adequados, a ANPD, apesar de realizar sua própria análise de adequação, não reconheceu formalmente nenhum país como adequado. Essa análise considera aspectos como a legislação de proteção de dados do país receptor, a eficácia das autoridades reguladoras, o respeito aos direitos dos titulares, dentre outros[1].
Considerando que hoje no Brasil, ainda não houve nenhum reconhecimento de país oferecendo níveis adequados, as empresas que desejam transferir dados pessoais para outros países precisam utilizar um dos mecanismos previstos na Resolução 19, como cláusulas contratuais padrão (SCCs) e Regras Corporativas Globais (RGCs).
Cláusulas Contratuais Padrão (SCCs)
Um dos mecanismos mais comuns para transferências internacionais são as Cláusulas Contratuais Padrão (SCCs). O GDPR já consolidou essas cláusulas como uma ferramenta essencial para garantir que as transferências de dados pessoais para países fora da União Europeia ocorram de forma segura. Essas SCCs especificam obrigações claras para exportadores e importadores de dados, assegurando que as práticas de tratamento de dados estejam em conformidade com os princípios de proteção de dados.De maneira semelhante, a ANPD publicou as suas próprias SCCs na Resolução nº 19, que devem ser incorporadas aos contratos celebrados entre controladores ou operadores no Brasil e seus parceiros estrangeiros. Este passo alinha o Brasil às práticas globais, proporcionando um caminho padronizado para garantir a conformidade da transferência de dados, independentemente do destino.
Vide art. 11 da Resolução n. 19/2024: “A avaliação do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional levará em consideração: I – as normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional; II – a natureza dos dados; III – a observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares previstos na Lei nº 13.709, de 14 de agosto de 2018; IV – a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares; V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e VI – outras circunstâncias específicas relativas à transferência.”
Uma das disposições mais importantes da Resolução é que as SCCs devem ser aplicadas sem qualquer alteração[1], conforme estabelecido no anexo da norma. Isso significa que as empresas que optarem por utilizar esse mecanismo não podem modificar o conteúdo das cláusulas, salvo quando houver autorização expressa da ANPD para adaptações específicas e devem estar preparadas e com Programe de Governança dos dados pessoais implementados para poder cumprir com as SCCs.
Regras Corporativas Globais (Binding Corporate Rules – BCRs)
Tanto a União Europeia quanto o Brasil, com a Resolução nº 19, reconhecem as Regras Corporativas Globais (BCRs) como um mecanismo eficiente para transferências intragrupo. Empresas multinacionais que implementam BCRs demonstram um compromisso com um nível uniforme de proteção de dados, aplicável a todas as suas subsidiárias, independentemente da localização geográfica.
Para uma empresa no Brasil com sede na Europa, as principais disposições da Resolução incluem a necessidade de adoção e aprovação das BCRs pela ANPD, garantindo que essas regras estejam alinhadas com os princípios da LGPD e proporcionem um nível adequado de proteção aos dados pessoais transferidos entre entidades do mesmo grupo empresarial. As BCRs facilitam a transferência segura de dados entre filiais e subsidiárias localizadas em diferentes países, como Brasil e Europa, sem a necessidade de avaliações de conformidade para cada transação individual.
Além disso, as BCRs devem assegurar que os direitos dos titulares de dados, como acesso, correção e exclusão, sejam respeitados em todas as entidades do grupo, independentemente da jurisdição. As empresas devem estabelecer mecanismos claros e transparentes para atender a essas demandas dos titulares, garantindo a proteção dos dados ao longo de todo o processo. As regras também determinam a responsabilidade e governança no tratamento dos dados, incluindo a implementação de um encarregado pelo tratamento de dados (DPO) e a criação de políticas internas robustas para proteção de dados em todas as unidades da empresa.
A ANPD também desempenha um papel de supervisão das BCRs, podendo exigir auditorias e solicitações de informações adicionais para garantir que a proteção dos dados pessoais esteja sendo devidamente implementada e monitorada em todas as operações internacionais da empresa.
Garantias Contratuais Adicionais e Mecanismos de Transferência
Além das SCCs e BCRs, tanto a Resolução nº 19 quanto o GDPR permitem o uso de outras garantias contratuais ou mecanismos, como códigos de conduta ou certificações, desde que esses mecanismos ofereçam proteções equivalentes aos direitos assegurados pela legislação. A ANPD incentiva a adoção de práticas documentadas e auditáveis, para que os controladores e operadores possam demonstrar conformidade com a LGPD durante as transferências internacionais de dados.
ConclusãoA Resolução CD/ANPD nº 19/2024 é um marco importante para a proteção de dados no Brasil no contexto de transferências internacionais. A regulamentação busca equilibrar as melhores
Vide art. 16 da Resolução n. 19/2024: “A validade da transferência internacional de dados, quando amparada na adoção das cláusulas-padrão, pressupõe a adoção integral e sem alteração do texto disponibilizado no Anexo II, mediante instrumento contratual firmado entre o exportador e o importador.”
práticas globais, como as implementadas na União Europeia por meio do GDPR, ao mesmo tempo em que responde às especificidades do cenário brasileiro.
O Data Team do GT Lawyers está à disposição para acompanhar os desdobramentos da Resolução nº 19/2024 e auxiliar as empresas em todos os aspectos relacionados às transferências internacionais de dados.
A l’occasion d’une semaine en déplacement à Paris, Tanzilli Tamy, Anne-Catherine Brunschwig, Carolina Moresco et Cécile Verdeaux ont eu l’opportunité d’organiser à l’Ambassade du Brésil à Paris une conférence sur les investissements étrangers au Brésil, en collaboration avec Pramex International et VELOURS INTERNATIONAL.
Intervenants de la Conférence
1. Pramex International avec Jerome Dupas, qui a partagé des perspectives sur le Contexte économique au Brésil, M&A et reprise positive en 2024.
2. GTLawyers représenté par Tanzilli Tamy, qui a présenté un Panorama juridique des investissements au Brésil : vers une simplification du cadre juridique et réglementaire.
3. VELOURS INTERNATIONAL, avec Laurent SERAFINI, a abordé le sujet : Comment protéger ses investissements et ses actifs au Brésil ?
Nous avons également eu le privilège d’écouter deux témoignages inspirants de Jerome Leboeuf de NOREMAT Ltda. et Stephane Lehning des Laboratoires Lehning, qui ont partagé leur expérience d’investissement au Brésil, que ce soit par la création d’une société ou par acquisition.
Un grand merci à tous les participants pour leurs contributions précieuses ! Nous tenons également à remercier la Chambre de Commerce du Brésil en France – CCBF, son président Philippe Lecourtier, ainsi que Rosemeire Martins pour l’organisation parfaite de cet événement.
Le 11 octobre dernier, GTLAWYERS a participé comme sponsor au Forum Amérique Latine organisé par Business France et le Sénat à Paris. Cet événement a été une occasion précieuse de mettre en avant le potentiel économique du Brésil, un marché dynamique et plein d’opportunités.
Nous avons eu la chance de rencontrer de nombreuses entreprises désireuses d’obtenir des orientations pour développer leurs activités au Brésil. Nos échanges ont permis d’explorer les enjeux et les opportunités d’investissement, ainsi que les stratégies pour naviguer efficacement dans ce marché.
Compte tenu du pannorama actuel des lois sur la protection de la vie privée au Brésil et en Europe, et des risques croissants de fuites de données et d’attaques invasives telles que les ransomwares, les entreprises doivent prendre des mesures pour protéger leur patrimoine et accomplir les exigences des réglementations en matière de confidentialité afin d’atténuer les risques, les coûts potentiels, les poursuites judiciaires, les dommages à la réputation et les sanctions légales, entre autres conséquences possibles.
En 2018, le gouvernement brésilien a adopté la loi n° 13.709, communément appelée Loi Générale sur la Protection des Données (« LGPD »). Cette législation, inspirée sur le Règlement Général sur la Protection des Données (RGPD), a été promulguée dans l’Union Européenne en 2016, imposant des obligations aux entreprises brésiliennes et aux entités étrangères opérant au Brésil.
Par conséquent, une entreprise constituée en France qui a des filiales au Brésil devra se conformer à la fois aux cadres de la LGPD et du RGPD.
Bien que ces réglementations partagent plusieurs similitudes, il existe des différences dans les sanctions possibles auxquelles une entreprise peut être soumise au Brésil et en Europe.
Les deux juridictions habilitent les autorités administratives à imposer des avertissements, des amendes, des mesures correctives, des actions coercitives et des sanctions. Par exemple, le RGPD[1] peut imposer des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent (selon le montant le plus élevé), en fonction de la gravité de la violation. Quant à la LGPD, les amendes peuvent atteindre 2 % du chiffre d’affaires de l’entité juridique, du groupe ou du conglomérat au Brésil, réalisé pendant l’année précédant l’enquête, hors taxes, avec un plafond de R$ 50.000.000,00 par infraction.
Selon le RGPD, il existe deux niveaux d’amendes : des amendes administratives pour les violations moins graves et des amendes pour les infractions plus graves. Les amendes administratives peuvent atteindre jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), tandis que les amendes pour infractions graves peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).
De plus, alors que le RGPD prévoit une seule catégorie d’amendes administratives, la LGPD introduit deux types d’amendes financières — l’amende simple et l’amende journalière[1]. En outre, selon la LGPD, bien que les entités privées soient soumises à des amendes, les agences gouvernementales sont exemptées des amendes administratives.
En outre, dans les deux juridictions, les tribunaux peuvent responsabiliser les entreprises, et les individus peuvent ainsi demander une indemnisation pour les dommages matériels et immatériels, y compris la détresse psychologique ou les troubles causés par le vol d’identité ou l’accès non autorisé à leurs comptes après une fuite de données, par exemple.
Pour faciliter la compréhension, nous avons préparé un tableau comparant les principales sanctions administratives imposées par les deux réglementations :
Une amende simple est une sanction unique pour une violation spécifique de la LGPD, tandis que l’amende journalière est appliquée de manière continue jusqu’à ce que la détermination de l’autorité soit respectée par l’entreprise.
En résumé, tant la LGPD au Brésil que le RGPD en Europe prévoient une série de sanctions et de pénalités pour garantir le respect des lois sur la protection des données et défendre les droits des individus à la confidentialité et à la protection des données.
Des pays européens tels que la France, l’Allemagne, le Royaume-Uni, l’Italie et l’Irlande sont connus pour leur application stricte des lois sur la protection des données. L’autorité française (CNIL), par exemple, est reconnue pour appliquer des sanctions strictes et significatives, avec des cas notables tels que les lourdes amendes imposées à Google et Amazon pour des violations liées au consentement et à l’utilisation des cookies. Au Brésil, malgré la création récente et la consolidation de l’ANPD – par rapport au stade de maturité de l’Europe – il a été démontré qu’elle sera rigoureuse dans l’application de la LGPD. La sanction de la publication de la condamnation et l’imposition de lourdes amendes sont des indications que l’ANPD adoptera également une position stricte.La LGPD brésilienne et le RGPD de l’Union européenne établissent tous deux des normes rigoureuses pour la protection des données personnelles, soulignant l’importance de la
La LGPD brésilienne et le RGPD de l’Union européenne établissent tous deux des normes rigoureuses pour la protection des données personnelles, soulignant l’importance de la
La publicité de la violation, après avoir été dûment enquêtée et confirmée par l’autorité, n’est pas l’une des sanctions applicables en vertu du RGPD, comme cela est prévu par la LGPD. En revanche, l’autorité brésilienne (ANPD) peut exiger que la décision soit publiée sur le site internet de l’entreprise incriminée ou dans des journaux à grande diffusion ou d’autres médias pertinents, selon l’étendue nécessaire pour garantir une publicité adéquate de la condamnation. Cependant, tant la LGPD que le RGPD soulignent l’importance de la transparence et de la sensibilisation du public en matière de protection des droits à la vie privée et de protection des données personnelles. Par exemple, ces lois exigent que les individus soient informés en cas de certaines violations de données. De plus, bien qu’il n’y ait aucune obligation légale de rendre publiques toutes les décisions et amendes imposées par les autorités brésiliennes et européennes, les deux juridictions s’efforcent de trouver un équilibre entre la transparence, les préoccupations en matière de vie privée et les limites légales à travers leurs lois et règlements. 4o
conformité afin d’éviter de graves conséquences juridiques et financières. Pour les entreprises opérant à la fois au Brésil et en Europe, il est crucial d’exercer une vigilance renforcée, car une violation dans une juridiction peut affecter l’ensemble du groupe d’entreprises.
Avec le renforcement de l’application des règles au Brésil par l’ANPD, les entreprises doivent aligner leurs pratiques sur les deux réglementations lorsqu’elles opèrent à l’international. Le focus croissant sur la conformité et le risque de dommages à la réputation soulignent la nécessité de stratégies efficaces de protection des données. Les entreprises doivent reconnaître que des violations dans une juridiction peuvent avoir de vastes répercussions, nécessitant une approche de conformité adaptée pour répondre aux nuances de chaque loi. Chez GT Lawyers, nous nous engageons à aider nos clients à développer des programmes de conformité robustes pour atténuer les risques et naviguer dans les complexités des réglementations sur la protection des données de façon efficace.
Anne Brunschwig
abrunschwig@gtlawyers.com.br
In view of the current landscape of Brazilian and European privacy laws and given the increasing risks of data leaks and invasive attacks such as ransomware, companies should take some measure to protect their patrimony and comply with privacy regulations requirements in order to mitigate risks, potential costs, lawsuits, reputational damage, and legal penalties among other possible consequences.
In 2018, the Brazilian Government adopted Law n° 13.709, commonly referred to as the General Data Protection Law(“LGPD”). This legislation, inspired by the General Data Protection Regulation (GDPR), was enacted in the European Union in 2016, imposing obligations and duties on Brazilian companies and foreign entities conducting business in Brazil.
Consequently, a company incorporated in France that has subsidiaries in Brazil will have to comply to both LGPD and GDPR frameworks.
Even though these regulations share several similarities, there are differences in the possible sanctions a company could be subject to in Brazil and in Europe.
Both jurisdictions empower administrative authorities to impose warnings, fines, corrective measures, enforcement, and penalties. For instance, the GDPR[1] can impose fines up to 20 million euros or up to 4% of the global annual turnover of the preceding fiscal year (whichever is higher), depending on the severity of the violation. As for the LGPD, fines are up to 2% of the legal entity’s, group’s, or conglomerate’s revenue in Brazil earned during the year prior to the investigation, excluding taxes, with a maximum of BRL 50,000,000 per infraction.
Moreover, while the GDPR prescribes a single category of administrative fines, the LGPD introduces two types of monetary fines — the simple and the daily[2] one. In addition, under the LGPD, while private entities are subject to fines, government agencies are exempt from administrative fines.
Additionally, in both jurisdictions, the Courts may hold companies accountable and thus, individuals may seek compensation for both monetary and non-monetary damages, including psychological distress or disturbance due to identity theft or unauthorized access to their accounts after a data leak for instance.
To facilitate understanding, we prepared a chart to compare the administrative key sanctions imposed by the two regulations:
According to GDPR, there are two tiers of fines: administrative fines for less serious breaches, and fines for more serious infringements. Administrative fines can reach up to €10 million or 2% of global annual turnover (whichever is higher), while fines for serious infringements can be as high as €20 million or 4% of global annual turnover (whichever is higher).
A simple fine is a one-time penalty for a specific violation of the LGPD, while the daily fine is applied continuously until a determination from the authority is fulfilled by the company.
The publicity of the violation after duly investigated and confirmed by the authority is not one of the applicable sanctions under the GDPR, as it is provided for in the LGPD. On the other hand, the Brazilian Authority (ANPD) may require that the decision be published on the offending company’s own website or in widely circulated newspapers or other relevant media, depending on the scope necessary to ensure proper publicity of the conviction. However, both LGPD and GDPR emphasize the importance of transparency and public awareness when it comes to safeguarding privacy rights and protecting personal data. For instance, these laws require that individuals be notified in the event of certain data breaches. Moreover, while there’s no legal requirement to make all decisions and fines imposed by Brazilian and European authorities publicly available, both jurisdictions strive to strike a balance between transparency, privacy concerns, and legal limitations through their laws and regulations.
In summary, both the LGPD in Brazil and the GDPR in Europe provide for a range of sanctions and penalties to ensure compliance with data protection laws and uphold individuals’ rights to privacy and data protection.
European countries such as France, Germany, UK, Italy and Ireland are known for their strict enforcement of data protection laws. The French authority (CNIL), for example, is known for applying strict and significant sanctions, with notable cases such as the large fines imposed on Google and Amazon for breaches of consent and the use of cookies[1]. In Brazil, despite the recent creation and consolidation of the ANPD – when compared to the stage of maturity of Europe – has shown that it will be rigorous in applying the LGPD. The sanction of publicizing the conviction and the imposition of large fines are indications that the ANPD will also adopt a strict stance.
Brazil’s LGPD and the European Union’s GDPR both establish rigorous standards for personal data protection, highlighting the importance of compliance to avoid serious legal and financial consequences. For companies operating across Brazil and Europe, it is crucial to exercise heightened vigilance, as a breach in one jurisdiction can affect the entire corporate group.
With Brazil strengthening enforcement through the ANPD, businesses must align their practices with both regulations when operating internationally. The growing focus on compliance and the risk of reputational damage underscore the need for effective data protection strategies. Companies should recognize that violations in one jurisdiction can have broad repercussions, requiring a tailored compliance approach to address the nuances of each law. At GT Lawyers, we are committed to assisting clients in developing robust compliance programs to mitigate risks and navigate the complexities of data protection regulations effectively.
GT Lawyers
Anne Brunschwig
abrunschwig@gtlawyers.com.br
Diante do cenário atual das leis de privacidade brasileiras e europeias e considerando os crescentes riscos de vazamento de dados e ataques cibernéticos, como ransomware, as empresas devem tomar medidas para proteger seus ativos e cumprir os requisitos das regulamentações de privacidade, a fim de mitigar riscos, potenciais custos, processos judiciais, danos à reputação e sanções legais, entre outras possíveis consequências.
Em 2018, o Governo Brasileiro sancionou a Lei nº 13.709/2018, comumente conhecida como Lei Geral de Proteção de Dados (“LGPD”). Essa legislação, inspirada no Regulamento Geral de Proteção de Dados (GDPR), foi promulgada na União Europeia em 2016, impondo obrigações e deveres às empresas brasileiras e entidades estrangeiras que realizam negócios no Brasil.
Consequentemente, uma empresa constituída na França que tenha subsidiárias no Brasil deverá cumprir tanto os marcos regulatórios da LGPD quanto do GDPR.
Embora essas regulamentações compartilhem várias semelhanças, existem diferenças nas possíveis sanções às quais uma empresa pode estar sujeita no Brasil e na Europa.
Ambas as jurisdições conferem às autoridades administrativas o poder de impor advertências, multas, medidas corretivas, fiscalização e sanções. Por exemplo, o GDPR[1] pode impor multas de até 20 milhões de euros ou até 4% do faturamento anual global do exercício fiscal anterior (o que for maior), dependendo da gravidade da violação. No caso da LGPD, as multas podem chegar a 2% da receita da pessoa jurídica, do grupo ou do conglomerado no Brasil, obtida durante o ano anterior à investigação, excluindo os impostos, com um limite máximo de R$ 50.000.000 por infração.
[1] De acordo com o GDPR, existem dois níveis de multas: multas administrativas para violações menos graves e multas para infrações mais graves. As multas administrativas podem chegar a até €10 milhões ou 2% do faturamento anual global (o que for maior), enquanto as multas para infrações graves podem chegar a €20 milhões ou 4% do faturamento anual global (o que for maior).
Embora entidades privadas estejam sujeitas a multas, órgãos governamentais são isentos de multas administrativas.
Adicionalmente, em ambas as jurisdições, os Tribunais podem responsabilizar as empresas, e, assim, indivíduos podem buscar compensação por danos monetários e não monetários, incluindo sofrimento psicológico ou perturbação devido ao roubo de identidade ou ao acesso não autorizado às suas contas após um vazamento de dados, por exemplo.
Para facilitar a compreensão, preparamos um quadro comparativo das principais sanções administrativas impostas pelos dois regulamentos:
Em resumo, tanto a LGPD no Brasil quanto o GDPR na Europa preveem uma série de sanções e penalidades para garantir a conformidade com as leis de proteção de dados e defender os direitos dos indivíduos à privacidade e à proteção de dados.
Países europeus como França, Alemanha, Reino Unido, Itália e Irlanda são conhecidos pela aplicação rigorosa das leis de proteção de dados. A autoridade francesa (CNIL), por exemplo, é reconhecida por aplicar sanções rigorosas e significativas, com casos notáveis como as grandes multas impostas ao Google e à Amazon por violações relacionadas ao consentimento e ao uso de cookies. No Brasil, apesar da criação recente e da consolidação da ANPD – quando comparada ao estágio de maturidade da Europa – já demonstrou que será rigorosa na aplicação da LGPD. A sanção de publicizar a condenação e a imposição de grandes multas são indicações de que a ANPD também adotará uma postura severa.
A LGPD do Brasil e o GDPR da União Europeia estabelecem padrões rigorosos para a proteção de dados pessoais, destacando a importância da conformidade para evitar sérias consequências legais e financeiras. Para empresas que operam tanto no Brasil quanto na Europa, é crucial adotar uma vigilância reforçada, pois uma violação em uma jurisdição pode afetar todo o grupo empresarial.Com o Brasil fortalecendo a fiscalização através da ANPD, as empresas devem alinhar suas práticas com ambas as regulamentações ao operar internacionalmente. O foco crescente na conformidade e o risco de danos reputacionais reforçam a necessidade de estratégias eficazes de proteção de dados. As empresas devem reconhecer que violações em uma jurisdição podem ter repercussões amplas, exigindo uma abordagem de conformidade adaptada para lidar com as particularidades.
A publicidade da violação, após devidamente investigada e confirmada pela autoridade, não é uma das sanções aplicáveis sob o GDPR, como está previsto na LGPD. Por outro lado, a Autoridade Brasileira (ANPD) pode exigir que a decisão seja publicada no próprio site da empresa infratora ou em jornais de grande circulação ou outros meios relevantes, dependendo do escopo necessário para garantir a devida publicidade da condenação. No entanto, tanto a LGPD quanto o GDPR enfatizam a importância da transparência e da conscientização pública no que diz respeito à proteção dos direitos de privacidade e à proteção de dados pessoais. Por exemplo, essas leis exigem que os indivíduos sejam notificados em caso de certos tipos de violação de dados. Além disso, embora não haja exigência legal de tornar públicas todas as decisões e multas impostas pelas autoridades brasileiras e europeias, ambas as jurisdições buscam equilibrar a transparência, as preocupações com a privacidade e as limitações legais por meio de suas leis e regulamentos.
de cada lei. Na GT Lawyers, estamos comprometidos em ajudar nossos clientes a desenvolver programas de conformidade robustos para mitigar riscos e navegar pelas complexidades das regulamentações de proteção de dados de maneira eficaz.
Anne Brunschwig
abrunschwig@gtlawyers.com.br