On October 11, GTLAWYERS participated as a sponsor in the Latin America Forum organized by Business France and by the Senate in Paris. This event was a valuable opportunity to showcase the economic potential of Brazil, as a dynamic market full of opportunities.
We’ve had the chance to meet numerous companies seeking guidance to develop their activities in Brazil. Our discussions allowed us to explore investment challenges and opportunities, as well as strategies to effectively navigate this market.
Durante uma semana de visita à Paris, Tamy Tanzilli, Anne-Catherine Brunschwig, Carolina Moresco e Cécile Verdeaux tiveram a oportunidade de organizar, no último dia 10 de outubro, na Embaixada do Brasil em Paris, uma conferência sobre investimentos estrangeiros no Brasil, em colaboração com a Pramex International e a Velours International.
Palestrantes da Conferência:
- Pramex International, com Jérôme Dupas, que compartilhou perspectivas sobre o contexto econômico no Brasil, fusões e aquisições e a recuperação positiva em 2024.
- GTLAWYERS, representado por Tanzilli Tamy, que apresentou um panorama jurídico dos investimentos no Brasil: rumo à simplificação do quadro jurídico e regulatório.
- Velours International, com Laurent Serafini, abordou o tema: como proteger seus investimentos e ativos no Brasil?
Também tivemos o privilégio de ouvir dois testemunhos inspiradores de Jérôme Leboeuf da NOREMAT Ltda. e Stéphane Lehning dos Laboratórios Lehning, que compartilharam sua experiência de investimento no Brasil, seja por meio da criação de uma empresa ou por aquisição.
Um grande obrigado a todos os participantes por suas contribuições valiosas! Agradecemos igualmente à Câmara de Comércio do Brasil na França – CCBF, ao seu presidente Philippe Lecourtier, bem como à Rosemeire Martins pela perfeita organização desse evento.
No último dia 11 de outubro, a GTLAWYERS participou como patrocinadora do Fórum América Latina, organizado pela Business France e pelo Senado em Paris. Este evento foi uma oportunidade valiosa para destacar o potencial econômico do Brasil, um mercado dinâmico e repleto de oportunidades.
Tivemos a chance de conhecer diversas empresas interessadas em obter orientações para desenvolver suas atividades no Brasil. Nossas trocas permitiram explorar os desafios e as oportunidades de investimento, bem como estratégias para navegar de forma eficaz neste mercado.
The international transfer of personal data continues to be one of the most challenging topics in the global data protection landscape, as the flow of information across borders intensifies. Resolution CD/ANPD No. 19/2024, published by the National Data Protection Authority (ANPD), introduces detailed rules to regulate such transfers in Brazil, aiming to align with international regulations such as the European Union’s General Data Protection Regulation (GDPR) and U.S. legislation like the California Consumer Privacy Act (CCPA) and the recent EU-US Data Privacy Framework.
The new ANPD Resolution No. 19/2024 establishes criteria and mechanisms for international data transfers to comply with Brazil’s General Data Protection Law (LGPD). While it shares similarities with European and American regulations, it also presents unique nuances that shape the data protection landscape in Brazil.
Countries with Adequate Levels of Protection
ANPD Resolution No. 19/2024, like the GDPR in Europe, permits the transfer of data to countries that offer an adequate level of protection. While the European Commission has already recognized countries like Japan and the United Kingdom as adequate, ANPD, despite conducting its own adequacy analysis, has not yet formally recognized any country as adequate. This analysis takes into account factors such as the data protection laws of the receiving country, the effectiveness of regulatory authorities, the respect for data subjects’ rights, among other factors[1].
Given that no country has yet been recognized as offering adequate levels of protection in Brazil, companies wishing to transfer personal data to other countries must use one of the mechanisms provided for in Resolution No. 19/2024, such as Standard Contractual Clauses (SCCs) and Binding Corporate Rules (BCRs).
Standard Contractual Clauses (SCCs)
One of the most common mechanisms for international transfers is the Standard Contractual Clauses (SCCs). The GDPR has already consolidated these clauses as an essential tool to ensure that personal data transfers to countries outside the European Union occur safely. These SCCs specify clear obligations for data exporters and importers, ensuring that data processing practices comply with data protection principles.Similarly, the ANPD has published its own SCCs in Resolution No. 19/2024, which must be incorporated into contracts between controllers or processors in Brazil and their foreign partners. This step aligns Brazil with global practices, providing a standardized path to ensure the compliance of data transfers, regardless of the destination
One of the most important provisions of the Resolution 19 is that the SCCs must be applied without any alteration[1], as established in the Annex to the regulation. This means that companies choosing to use this mechanism cannot modify the content of the clauses unless express authorization is given by the ANPD for specific adaptations. Companies must also be prepared with a fully implemented Data Governance Program to comply with the SCCs.
Binding Corporate Rules (BCRs)
Both the European Union and Brazil, through Resolution No. 19, recognize Binding Corporate Rules (BCRs) as an efficient mechanism for intra-group transfers. Multinational companies that implement BCRs demonstrate a commitment to a uniform level of data protection, applicable to all their subsidiaries, regardless of geographical location.
For a company in Brazil with its headquarters in Europe, the main provisions of the Resolution include the requirement for adoption and approval of the BCRs by the ANPD, ensuring that these rules align with the principles of the LGPD and provide an adequate level of protection for personal data transferred between entities within the same corporate group. BCRs facilitate the safe transfer of data between subsidiaries and branches located in different countries, such as Brazil and Europe, without the need for individual compliance assessments for each transaction.
Additionally, BCRs must ensure that the rights of data subjects, such as access, correction, and deletion, are respected in all group entities, regardless of jurisdiction. Companies must establish clear and transparent mechanisms to meet these requests from data subjects, ensuring data protection throughout the entire process. The rules also outline responsibility and governance in data processing, including the appointment of a Data Protection Officer (DPO) and the creation of robust internal policies for data protection across all units of the company.
The ANPD also plays a supervisory role over BCRs, which may involve audits and requests for additional information to ensure that personal data protection is being properly implemented and monitored in all the company’s international operations.
Additional Contractual Guarantees and Transfer Mechanisms
In addition to SCCs and BCRs, both Resolution No. 19/2024 and the GDPR allow for the use of other contractual guarantees or mechanisms, such as codes of conduct or certifications, as long as these mechanisms offer equivalent protections to the rights ensured by the legislation. ANPD encourages the adoption of documented and auditable practices so that controllers and processors can demonstrate compliance with the LGPD during international data transfers.
Conclusion
Resolution CD/ANPD No. 19/2024 is a significant milestone for data protection in Brazil in the context of international transfers. The regulation seeks to balance global best practices, such as those implemented in the European Union through the GDPR, while addressing the specificities of the Brazilian context.
The Data Team at GT Lawyers is available to follow the developments of Resolution No. 19/2024 and assist companies in all aspects related to international data transfers.
See Article 11 of Resolution No. 19/2024: “The evaluation of the level of protection of personal data in a foreign country or international organization shall take into consideration: I – the general and sectoral regulations in force that impact the protection of personal data in the destination country or international organization; II – the nature of the data; III – the observance of the general principles of personal data protection and the rights of data subjects provided for in Law No. 13.709, of August 14, 2018; IV – the adoption of appropriate security measures to minimize impacts on the civil liberties and fundamental rights of the data subjects; V – the existence of judicial and institutional guarantees to respect personal data protection rights; and VI – other specific circumstances related to the transfer.”.
See Article 16 of Resolution No. 19/2024: “The validity of international data transfers, when based on the adoption of standard contractual clauses, requires the full and unaltered adoption of the text provided in Annex II, through a contractual instrument signed between the exporter and the importer.”.
Le transfert international de données personnelles reste l’un des sujets les plus complexes dans le contexte mondial de la protection des données, à mesure que les flux d’informations transfrontaliers s’intensifient. La Résolution CD/ANPD n° 19/2024, publiée par l’Autorité Nationale de Protection des Données (ANPD), introduit des règles détaillées pour réguler ces transferts au Brésil, cherchant à s’aligner sur les régulations internationales telles que le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne et les législations américaines comme le California Consumer Privacy Act (CCPA) et le récent Cadre de Protection des Données UE-USA (EU-US Data Privacy Framework).
La nouvelle Résolution de l’ANPD n° 19/2024 établit des critères et des mécanismes pour que les transferts internationaux de données respectent la Loi Générale de Protection des Données (LGPD). Bien qu’elle présente des similitudes avec les régulations européennes et américaines, elle apporte des nuances spécifiques qui façonnent le paysage de la protection des données au Brésil.
Pays avec un Niveau Adéquat de Protection
La Résolution n° 19/2024, tout comme le RGPD en Europe, autorise le transfert de données vers des pays qui offrent un niveau adéquat de protection. Tandis que la Commission Européenne a déjà reconnu des pays tels que le Japon et le Royaume-Uni comme adéquats, l’Autorité Nationale de Protection des Données (ANPD), bien qu’elle procède à sa propre analyse d’adéquation, n’a formellement reconnu aucun pays comme adéquat. Cette analyse prend en compte des aspects tels que la législation en matière de protection des données du pays récepteur, l’efficacité des autorités régulatrices, le respect des droits des titulaires, entre autres.
Étant donné qu’aujourd’hui au Brésil, aucun pays n’a encore été reconnu comme offrant des niveaux adéquats de protection, les entreprises qui souhaitent transférer des données personnelles vers d’autres pays doivent utiliser l’un des mécanismes prévus par la Résolution 19, tels que les Clauses Contractuelles Types (SCCs) et les Règles d’Entreprise Contraignantes (BCRs).
Clauses Contractuelles Types (SCCs)
L’un des mécanismes les plus courants pour les transferts internationaux sont les Clauses Contractuelles Types (SCCs). Le RGPD a déjà consolidé ces clauses comme un outil essentiel pour garantir que les transferts de données personnelles vers des pays hors de l’Union Européenne se fassent de manière sécurisée. Ces SCCs spécifient des obligations claires pour les exportateurs et les importateurs de données, assurant que les pratiques de traitement des données soient conformes aux principes de protection des données.De manière similaire, l’ANPD a publié ses propres SCCs dans la Résolution n° 19, qui doivent être intégrées aux contrats conclus entre responsables ou sous-traitants au Brésil et leurs partenaires
étrangers. Cette mesure aligne le Brésil sur les pratiques mondiales, offrant une voie standardisée pour garantir la conformité du transfert de données, quel que soit la destination.
Une des dispositions les plus importantes de la résolution est que les Clauses Contractuelles Types (SCCs) doivent être appliquées sans aucune modification, conformément à l’annexe de la norme. Cela signifie que les entreprises qui choisissent d’utiliser ce mécanisme ne peuvent pas modifier le contenu des clauses, sauf si une autorisation expresse de l’ANPD est accordée pour des adaptations spécifiques, et elles doivent être préparées et avoir un Programme de Gouvernance des données personnelles mis en place pour être en mesure de respecter les SCCs.
Règles d’Entreprise Contraignantes (Binding Corporate Rules – BCRs)
Tant l’Union Européenne que le Brésil, avec la Résolution n° 19, reconnaissent les Règles d’Entreprise Contraignantes (BCRs) comme un mécanisme efficace pour les transferts intragroupe. Les multinationales qui mettent en œuvre des BCRs démontrent un engagement envers un niveau uniforme de protection des données, applicable à toutes leurs filiales, quel que soit leur emplacement géographique.
Pour une entreprise au Brésil ayant son siège en Europe, les principales dispositions de la Résolution incluent la nécessité d’adoption et d’approbation des BCRs par l’ANPD, garantissant que ces règles sont alignées avec les principes de la LGPD et offrent un niveau adéquat de protection des données personnelles transférées entre entités du même groupe. Les BCRs facilitent le transfert sécurisé de données entre filiales et succursales situées dans différents pays, comme le Brésil et l’Europe, sans nécessiter d’évaluation de conformité pour chaque transaction individuelle.
De plus, les BCRs doivent garantir que les droits des titulaires de données, tels que l’accès, la rectification et la suppression, soient respectés dans toutes les entités du groupe, quel que soit la juridiction. Les entreprises doivent mettre en place des mécanismes clairs et transparents pour répondre à ces demandes des titulaires, assurant la protection des données tout au long du processus. Les règles déterminent également la responsabilité et la gouvernance du traitement des données, y compris la désignation d’un Délégué à la Protection des Données (DPO) et la création de politiques internes solides pour la protection des données dans toutes les unités de l’entreprise.
L’ANPD joue également un rôle de supervision des BCRs, pouvant exiger des audits et des demandes d’informations supplémentaires pour garantir que la protection des données personnelles est correctement mise en œuvre et surveillée dans toutes les opérations internationales de l’entreprise.
Garanties Contractuelles Supplémentaires et Mécanismes de Transfert
En plus des SCCs et BCRs, la Résolution n° 19 ainsi que le RGPD permettent l’utilisation d’autres garanties contractuelles ou mécanismes, tels que des codes de conduite ou des certifications, à condition que ces mécanismes offrent des protections équivalentes aux droits assurés par la législation. L’ANPD encourage l’adoption de pratiques documentées et auditables afin que les responsables du traitement et les sous-traitants puissent démontrer leur conformité à la LGPD lors des transferts internationaux de données.
Conclusion
La Résolution CD/ANPD n° 19/2024 constitue une étape importante pour la protection des données au Brésil dans le cadre des transferts internationaux. La réglementation cherche à équilibrer les meilleures pratiques mondiales, telles que celles mises en œuvre dans l’Union Européenne via le RGPD, tout en répondant aux spécificités du contexte brésilien.
L’équipe Data de GT Lawyers est à disposition pour suivre les évolutions de la Résolution CD/ANPD n° 19/2024 et assister les entreprises dans tous les aspects liés aux transferts internationaux de données.
Voir l’article 11 de la Résolution CD/ANPD n° 19/2024: « L’évaluation du niveau de protection des données personnelles d’un pays étranger ou d’un organisme international prendra en considération : I – les normes générales et sectorielles en vigueur ayant un impact sur la protection des données personnelles dans le pays de destination ou l’organisme international ; II – la nature des données ; III – le respect des principes généraux de protection des données personnelles et des droits des titulaires prévus par la Loi n° 13.709 du 14 août 2018 ; IV – l’adoption de mesures de sécurité adéquates pour minimiser les impacts sur les libertés civiles et les droits fondamentaux des titulaires ; V – l’existence de garanties judiciaires et institutionnelles pour le respect des droits de protection des données personnelles ; et VI – d’autres circonstances spécifiques liées au transfert. ».
Voir l’article 16 de la Résolution CD/ANPD n° 19/2024: « La validité du transfert international de données, lorsqu’elle est fondée sur l’adoption des clauses standard, suppose l’adoption intégrale et sans modification du texte fourni en Annexe II, au moyen d’un instrument contractuel signé entre l’exportateur et l’importateur. ».
A transferência internacional de dados pessoais continua sendo um dos temas mais desafiadores no cenário global da proteção de dados, à medida que o fluxo de informações entre fronteiras se intensifica. A Resolução CD/ANPD nº 19/2024, publicada pela Autoridade Nacional de Proteção de Dados (ANPD), introduz regras detalhadas para regular essas transferências no Brasil, buscando compatibilizar-se com regulamentos internacionais como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia e as legislações dos Estados Unidos, como o California Consumer Privacy Act (CCPA) e o recente EU-US Data Privacy Framework.
A nova Resolução da ANPD nº 19/2024 estabelece critérios e mecanismos para que as transferências internacionais de dados respeitem a Lei Geral de Proteção de Dados (LGPD). Embora tenha semelhanças com as regulamentações europeias e americanas, apresenta nuances próprias que moldam o cenário de proteção de dados no Brasil.
Países com Nível Adequado de Proteção
A Resolução nº 19/2024, assim como o GDPR na Europa, permite a transferência de dados para países que oferecem um nível adequado de proteção. Enquanto a Comissão Europeia já reconheceu países como Japão e Reino Unido como adequados, a ANPD, apesar de realizar sua própria análise de adequação, não reconheceu formalmente nenhum país como adequado. Essa análise considera aspectos como a legislação de proteção de dados do país receptor, a eficácia das autoridades reguladoras, o respeito aos direitos dos titulares, dentre outros[1].
Considerando que hoje no Brasil, ainda não houve nenhum reconhecimento de país oferecendo níveis adequados, as empresas que desejam transferir dados pessoais para outros países precisam utilizar um dos mecanismos previstos na Resolução 19, como cláusulas contratuais padrão (SCCs) e Regras Corporativas Globais (RGCs).
Cláusulas Contratuais Padrão (SCCs)
Um dos mecanismos mais comuns para transferências internacionais são as Cláusulas Contratuais Padrão (SCCs). O GDPR já consolidou essas cláusulas como uma ferramenta essencial para garantir que as transferências de dados pessoais para países fora da União Europeia ocorram de forma segura. Essas SCCs especificam obrigações claras para exportadores e importadores de dados, assegurando que as práticas de tratamento de dados estejam em conformidade com os princípios de proteção de dados.De maneira semelhante, a ANPD publicou as suas próprias SCCs na Resolução nº 19, que devem ser incorporadas aos contratos celebrados entre controladores ou operadores no Brasil e seus parceiros estrangeiros. Este passo alinha o Brasil às práticas globais, proporcionando um caminho padronizado para garantir a conformidade da transferência de dados, independentemente do destino.
Uma das disposições mais importantes da Resolução é que as SCCs devem ser aplicadas sem qualquer alteração[1], conforme estabelecido no anexo da norma. Isso significa que as empresas que optarem por utilizar esse mecanismo não podem modificar o conteúdo das cláusulas, salvo quando houver autorização expressa da ANPD para adaptações específicas e devem estar preparadas e com Programe de Governança dos dados pessoais implementados para poder cumprir com as SCCs.
Regras Corporativas Globais (Binding Corporate Rules – BCRs)
Tanto a União Europeia quanto o Brasil, com a Resolução nº 19, reconhecem as Regras Corporativas Globais (BCRs) como um mecanismo eficiente para transferências intragrupo. Empresas multinacionais que implementam BCRs demonstram um compromisso com um nível uniforme de proteção de dados, aplicável a todas as suas subsidiárias, independentemente da localização geográfica.
Para uma empresa no Brasil com sede na Europa, as principais disposições da Resolução incluem a necessidade de adoção e aprovação das BCRs pela ANPD, garantindo que essas regras estejam alinhadas com os princípios da LGPD e proporcionem um nível adequado de proteção aos dados pessoais transferidos entre entidades do mesmo grupo empresarial. As BCRs facilitam a transferência segura de dados entre filiais e subsidiárias localizadas em diferentes países, como Brasil e Europa, sem a necessidade de avaliações de conformidade para cada transação individual.
Além disso, as BCRs devem assegurar que os direitos dos titulares de dados, como acesso, correção e exclusão, sejam respeitados em todas as entidades do grupo, independentemente da jurisdição. As empresas devem estabelecer mecanismos claros e transparentes para atender a essas demandas dos titulares, garantindo a proteção dos dados ao longo de todo o processo. As regras também determinam a responsabilidade e governança no tratamento dos dados, incluindo a implementação de um encarregado pelo tratamento de dados (DPO) e a criação de políticas internas robustas para proteção de dados em todas as unidades da empresa.
A ANPD também desempenha um papel de supervisão das BCRs, podendo exigir auditorias e solicitações de informações adicionais para garantir que a proteção dos dados pessoais esteja sendo devidamente implementada e monitorada em todas as operações internacionais da empresa.
Garantias Contratuais Adicionais e Mecanismos de Transferência
Além das SCCs e BCRs, tanto a Resolução nº 19 quanto o GDPR permitem o uso de outras garantias contratuais ou mecanismos, como códigos de conduta ou certificações, desde que esses mecanismos ofereçam proteções equivalentes aos direitos assegurados pela legislação. A ANPD incentiva a adoção de práticas documentadas e auditáveis, para que os controladores e operadores possam demonstrar conformidade com a LGPD durante as transferências internacionais de dados.
ConclusãoA Resolução CD/ANPD nº 19/2024 é um marco importante para a proteção de dados no Brasil no contexto de transferências internacionais. A regulamentação busca equilibrar as melhores
práticas globais, como as implementadas na União Europeia por meio do GDPR, ao mesmo tempo em que responde às especificidades do cenário brasileiro.
O Data Team do GT Lawyers está à disposição para acompanhar os desdobramentos da Resolução nº 19/2024 e auxiliar as empresas em todos os aspectos relacionados às transferências internacionais de dados.
Vide art. 11 da Resolução n. 19/2024: “A avaliação do nível de proteção de dados pessoais de país estrangeiro ou de organismo internacional levará em consideração: I – as normas gerais e setoriais em vigor com impactos sobre a proteção de dados pessoais no país de destino ou no organismo internacional; II – a natureza dos dados; III – a observância dos princípios gerais de proteção de dados pessoais e dos direitos dos titulares previstos na Lei nº 13.709, de 14 de agosto de 2018; IV – a adoção de medidas de segurança adequadas para minimizar impactos às liberdades civis e aos direitos fundamentais dos titulares; V – a existência de garantias judiciais e institucionais para o respeito aos direitos de proteção de dados pessoais; e VI – outras circunstâncias específicas relativas à transferência.”
Vide art. 16 da Resolução n. 19/2024: “A validade da transferência internacional de dados, quando amparada na adoção das cláusulas-padrão, pressupõe a adoção integral e sem alteração do texto disponibilizado no Anexo II, mediante instrumento contratual firmado entre o exportador e o importador.”
A l’occasion d’une semaine en déplacement à Paris, Tanzilli Tamy, Anne-Catherine Brunschwig, Carolina Moresco et Cécile Verdeaux ont eu l’opportunité d’organiser à l’Ambassade du Brésil à Paris une conférence sur les investissements étrangers au Brésil, en collaboration avec Pramex International et VELOURS INTERNATIONAL.
Intervenants de la Conférence
1. Pramex International avec Jerome Dupas, qui a partagé des perspectives sur le Contexte économique au Brésil, M&A et reprise positive en 2024.
2. GTLawyers représenté par Tanzilli Tamy, qui a présenté un Panorama juridique des investissements au Brésil : vers une simplification du cadre juridique et réglementaire.
3. VELOURS INTERNATIONAL, avec Laurent SERAFINI, a abordé le sujet : Comment protéger ses investissements et ses actifs au Brésil ?
Nous avons également eu le privilège d’écouter deux témoignages inspirants de Jerome Leboeuf de NOREMAT Ltda. et Stephane Lehning des Laboratoires Lehning, qui ont partagé leur expérience d’investissement au Brésil, que ce soit par la création d’une société ou par acquisition.
Un grand merci à tous les participants pour leurs contributions précieuses ! Nous tenons également à remercier la Chambre de Commerce du Brésil en France – CCBF, son président Philippe Lecourtier, ainsi que Rosemeire Martins pour l’organisation parfaite de cet événement.
Le 11 octobre dernier, GTLAWYERS a participé comme sponsor au Forum Amérique Latine organisé par Business France et le Sénat à Paris. Cet événement a été une occasion précieuse de mettre en avant le potentiel économique du Brésil, un marché dynamique et plein d’opportunités.
Nous avons eu la chance de rencontrer de nombreuses entreprises désireuses d’obtenir des orientations pour développer leurs activités au Brésil. Nos échanges ont permis d’explorer les enjeux et les opportunités d’investissement, ainsi que les stratégies pour naviguer efficacement dans ce marché.
Compte tenu du panorama actuelle des lois brésiliennes et européennes en matière de confidentialité et face aux risques croissants de fuite de données et d’attaques intrusives telles que le ransomware, les entreprises doivent prendre des mesures adéquates pour protéger leurs actifs et respecter les exigences de réglementation sur la confidentialité, afin de réduire les risques, les coûts potentiels, les litiges, les dommages à la réputation et les sanctions légales, parmi d’autres conséquences possibles.
En 2018, le gouvernement brésilien a adopté la Loi n° 13.709, couramment appelée Loi Générale de Protection des Données (« LGPD »). Cette législation, inspirée par le Règlement Général sur la Protection des Données (« RGPD ») de l’Union Européenne, adopté en 2016, impose des obligations et des devoirs aux entreprises brésiliennes et aux entités étrangères exerçant des activités au Brésil.
Bien que ces législations présentent de nombreuses similitudes, il existe des différences dans les sanctions auxquelles une entreprise peut être exposée au Brésil et en Europe.
Dans les deux juridictions, les autorités administratives ont le pouvoir d’imposer des avertissements, des amendes, des mesures correctives, des inspections et des sanctions. Cependant, par exemple, le RGPD[1]prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’exercice précédent (le montant le plus élevé étant retenu) par infraction, selon la gravité de la violation. En vertu de la LGPD, les amendes peuvent atteindre jusqu’à 2 % des revenus de l’entreprise, du groupe ou du conglomérat de l’année précédant l’enquête, hors taxes, avec un maximum de 50 millions de R$ par infraction.
De plus, la LGPD prévoit deux types d’amendes pécuniaires – une amende simple et une amende journalière[2] – applicables uniquement aux entités privées. En revanche, le RGPD établit une seule catégorie d’amendes administratives applicables tant aux organisations privées qu’aux entités gouvernementales.
Pour mieux distinguer les différences, nous avons comparé ci-dessous les principales sanctions administratives imposées par le RGPD et la LGPD :
En outre, les individus victimes d’usurpation d’identité ou d’accès non autorisé à leurs comptes suite à une fuite de données, par exemple, peuvent, dans les deux juridictions, demander la responsabilité civile des entreprises devant les tribunaux pour réclamer des indemnités.
En résumé, tant la LGPD au Brésil que le RGPD en Europe prévoient une série de sanctions et de pénalités pour garantir la conformité avec les lois de protection des données et protéger les droits des individus en matière de confidentialité et de protection des données.
Des pays européens, comme la France, l’Allemagne, le Royaume-Uni, l’Italie et l’Irlande, sont réputés pour leur application rigoureuse des lois de protection des données. L’autorité française (CNIL), par exemple, est connue pour imposer des sanctions sévères et significatives, avec des cas notables comme les lourdes amendes infligées à Google et Amazon pour violations du consentement et de l’utilisation des cookies[4]. Au Brésil, malgré la création plus récente de l’ANPD, un engagement rigoureux dans l’application de la LGPD est également observé.
Enfin, il est important de noter l’obligation de double conformité, à la fois avec la LGPD et le RGPD, pour une entreprise établie en France, par exemple, et ayant des filiales au Brésil.Aborder les spécificités de la LGPD nécessite donc une approche de conformité adaptée, au-delà d’une simple duplication du RGPD. S’associer à l’équipe DataTeam de GT Lawyers est un atout contre les coûts de compensation et les sanctions potentiellement mentionnés, tant au niveau administratif qu’en cas de contentieux.
[1] Contrairement à la LGPD, le RGPD prévoit deux niveaux d’amendes : (i) des amendes administratives pour les infractions moins graves, pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), et (ii) des amendes pour infractions plus graves, pouvant s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu). La détermination du type et du montant de l’amende prend en compte des facteurs tels que la nature, la gravité et la durée de la violation, le degré de coopération avec les autorités de contrôle, l’impact sur les droits des personnes concernées, ainsi que les mesures prises pour atténuer la violation.
[2] L’« amende simple » est une pénalité unique appliquée pour une violation spécifique de la LGPD, tandis que l’ « amende journalière » est une sanction imposée de manière continue jusqu’à ce que l’entreprise se conforme à la décision de l’autorité. Bien que le RGPD ne mentionne pas explicitement une « amende journalière », il autorise les autorités à appliquer des sanctions répétées en cas de non-conformité persistante, jouant ainsi, en pratique, un rôle similaire à celui d’une « amende journalière ».
[3] La publicité de la violation, une fois dûment investiguée et confirmée par l’autorité, n’est pas une sanction applicable en vertu du RGPD, comme le prévoit la LGPD. Par exemple, l’Autorité Brésilienne (ANPD) peut exiger que la décision soit publiée sur le site internet de l’entreprise en infraction, dans des journaux à large diffusion ou par d’autres moyens pertinents, en fonction de la portée nécessaire pour assurer une publicité adéquate de la condamnation. Cependant, tant la LGPD que le RGPD soulignent l’importance de la transparence et de la sensibilisation du public en matière de protection des droits à la vie privée et des données personnelles. Dans ce sens, ces lois exigent que les individus soient informés en cas de certaines violations de données.
[4] Disponible sur : https://www.cnil.fr/en/cookies-council-state-confirms-2020-sanction-imposed-cnil-against-amazon et https://privacyinternational.org/news-analysis/4347/cnil-fines-google-and-amazon-unlawful-use-cookies.
In view of the current landscape of Brazilian and European privacy laws, and given the increasing risks of data leaks and invasive attacks such as ransomware, companies must take certain measures to protect their assets and comply with privacy regulation requirements in order to mitigate risks, potential costs, lawsuits, reputational damage, and legal sanctions, among other possible consequences.
In 2018, the Brazilian Government adopted Law No. 13,709, commonly referred to as the General Data Protection Law (“LGPD”). This legislation, inspired by the European Union’s General Data Protection Regulation (“GDPR”), was enacted in 2016, imposing obligations and duties on Brazilian companies as well as foreign entities doing business in Brazil.
Although these regulations share several similarities, there are differences in the possible sanctions a company could be subject to in Brazil and in Europe.
Both jurisdictions grant administrative authorities the power to impose warnings, fines, corrective measures, enforcement, and penalties. However, under the GDPR [1], for instance, fines may reach up to 20 million euros or 4% of the total global annual turnover from the previous fiscal year (whichever is higher) per violation, depending on the severity of the breach. Under the LGPD, fines may be up to 2% of the revenue of the company, group, or conglomerate earned in the year prior to the investigation, excluding taxes, with a maximum of R$ 50,000,000 per violation.
In addition, the LGPD establishes two types of monetary fines – the simple fine and the daily fine [2] – applicable only to private entities. The GDPR, on the other hand, establishes a single category of administrative fines, applicable to both private organizations and government bodies.
To clarify the distinctions, we compare below the main administrative sanctions imposed by the GDPR and the LGPD:
In addition to the administrative sanctions mentioned above, individuals affected by identity theft or unauthorized access to their accounts following a data breach, for example, may, in both jurisdictions, seek civil liability from companies in court, requesting compensation.
In summary, both the LGPD in Brazil and the GDPR in Europe provide for a range of sanctions and penalties to ensure compliance with data protection laws and to defend individuals’ rights to privacy and data protection.
European countries, such as France, Germany, the United Kingdom, Italy, and Ireland, are known for their strict enforcement of data protection laws. The French authority (CNIL), for example, is renowned for imposing severe and significant sanctions, with notable cases such as the heavy fines imposed on Google and Amazon for violations of consent and cookie [4] usage. In Brazil, despite the more recent establishment and consolidation of the ANPD, there is also a strong commitment to enforcing the LGPD.
Finally, it is important to highlight the dual compliance obligation with both the LGPD and the GDPR for a company incorporated in France, for example, that has subsidiaries in Brazil.
Addressing the specific nuances of the LGPD therefore requires a tailored compliance approach, beyond a mere replication of the GDPR. Partnering with GT Lawyers’ DataTeam serves as a safeguard against potential compensation costs and sanctions mentioned above, whether at the administrative level or in legal proceedings.
[1] Unlike the LGPD, the GDPR has two levels of fines: (i) administrative fines for less serious violations, which can reach up to €10 million or 2% of global annual turnover (whichever is higher), and (ii) fines for more serious violations, which can reach up to €20 million or 4% of global annual turnover (whichever is higher). The determination of the type and amount of the fine takes into account factors such as the nature, severity, and duration of the violation, the degree of cooperation with supervisory authorities, the impact on the rights of the affected individuals, and any measures taken to mitigate the violation.
[2] The simple fine is a one-time penalty for a specific violation of the LGPD, while the daily fine is applied continuously until the authority’s determination is complied with by the company. Although the GDPR does not explicitly mention a ‘daily fine,’ it allows authorities to impose sanctions repeatedly in cases of ongoing non-compliance, effectively serving a similar role to that of a ‘daily fine.
[3] The publicity of the breach, once properly investigated and confirmed by the authority, is not one of the sanctions under the GDPR, as it is under the LGPD. For example, the Brazilian authority (ANPD) may require that the decision be published on the violating company’s website, in widely circulated newspapers, or through other relevant channels, depending on the extent needed to ensure appropriate publicity of the penalty. However, both the LGPD and the GDPR emphasize the importance of transparency and public awareness when it comes to protecting privacy and personal data rights. In this regard, both laws require that individuals be notified in the event of certain data breaches.
[4] Available at: https://www.cnil.fr/en/cookies-council-state-confirms-2020-sanction-imposed-cnil-against-amazon e https://privacyinternational.org/news-analysis/4347/cnil-fines-google-and-amazon-unlawful-use-cookies.
