Quanto vale a conformidade com a LGPD nas aquisições?

Como divulgado na imprensa, o Information Comissioner´s Office (ICO), que é a autoridade encarregada de fiscalização e regulação de dados da Inglaterra, aplicou no grupo hoteleiro Marriott International Inc. uma multa de aproximadamente 99 milhões de libras, ou 123 milhões de dólares, por infração ao General Data Protection Regulation (GDPR) em razão do grupo ter deixado vulneráveis a hackers as informações pessoais de 339 milhões de clientes.

Segundo o ICO, as informações roubadas dos clientes se relacionavam a nomes, endereços, números de telefones, passaportes, número de identificação de milhagens, números de cartão de crédito codificados, entre outros dados pessoais que compunham a base de dados atacada.

Os ataques iniciaram em 2014, dentro da base de dados do Starwood Hotels que foi adquirido pelo Marriott em 2016, cuja vulnerabilidade de informações somente foi descoberta em 2018. A investigação do ICO constatou que o Marriott falhou quando procedeu a due diligence para aquisição por não ter detectado a falha de segurança.

Aqui no Brasil, a venda da Netshoes para o Magazine Luiza anunciada em junho de 2019 foi precedida pelo pagamento de multa de R$ 500 mil pela Netshoes para evitar ação coletiva a ser proposta pelo Ministério Público diante dos vazamentos de dados ocorridos em 2017 e 2018. É provável que no momento da celebração do acordo com o MP a Netshoes já estivesse em processo de venda, sendo avaliada pelos possíveis compradores, entretanto devido aos acordos de confidencialidade não se tem notícias sobre a detecção ou mesmo precificação das possíveis consequências do vazamento.

O certo é que a conformidade com a Lei Geral de Proteção de Dados passa definitivamente a compor os elementos de avaliação em processos de fusões e aquisições tendo em vista o real risco de penalização pela existência de inconformidades passadas capazes de gerar passivos financeiros e à imagem das organizações. Em outras palavras, a conformidade com a LGPD se transformou em ativo perante os interessados.

O Novo RIR e a alíquota aplicável ao ganho de capital decorrente de doações e heranças.

O novo regulamento do imposto sobre a renda (RIR) foi publicado em 23 de novembro de 2018, sob o número 9.580, tendo entrado em vigor na mesma data.

Seu artigo 130 prevê que na transferência de direito de propriedade por sucessão, nas hipóteses de herança, legado ou doação em adiantamento da legítima, os bens e os direitos poderão ser avaliados a valor de mercado ou pelo valor apresentado na declaração de bens do de cujus ou do doador. Prevê ainda que se a transferência for efetuada a valor de mercado, a diferença a maior entre o referido valor e o valor pelo qual constavam da declaração de bens do de cujus ou do doador ficará sujeita à apuração do ganho de capital e à incidência de imposto sobre a renda.

Por sua vez, o artigo 153 estabelece que as alíquotas aplicáveis para esta forma de ganho de capital são as alíquotas progressivas – de 15% a 22,5% – contempladas na Lei 13.259/2016.

No entanto, a previsão da alíquota aplicável aos ganhos de capital decorrentes de doações ou heranças foram previstas pelo artigo 23 da Lei 9.532/97, o qual não foi alterado pela Lei 13.259/2016.

E a alíquota prevista pelo artigo 23 da Lei 9.532/97 é a alíquota única de 15%.

Ao que tudo indica, o regulamento do imposto sobre a renda, nesta parte, é ilegal, pois não houve revogação expressa, pela Lei 13.259/2016, do artigo 23 da Lei 9.532/97, o qual contém previsão específica da alíquota de 15%.

A chamada revogação genérica – “revogam-se as disposições em contrário” – em tese não tem aplicação a esta circunstância, diante da especificidade da previsão de alíquota única.

Eis mais uma hipótese de futuros litígios tributários a serem resolvidos pelo poder judiciário.

Esclarecimentos sobre a Lei Geral de Proteção de Dados

Abaixo um esclarecimento com os principais tópicos que todos devem saber sobre a Lei Geral de Proteção de Dados Pessoais (LGPD – Lei 13.709/18) que afetará praticamente todas as empresas.

O QUE É A LGPD?

É uma lei geral que tem por objetivo a proteção dos dados pessoais para evitar que outras pessoas físicas ou jurídicas coletem, usem, armazenem, processem ou repassem tais dados, sem o conhecimento ou prévia autorização do titular dos dados. Como em algum momento todos sem exceção terão dados em meios eletrônicos, a sua proteção é uma necessidade e um direito no cenário digital atual.

PARA QUE SERVE A LGPD?

Para proteção da privacidade e dos dados pessoais das pessoas físicas. O uso indevido e indiscriminado dos dados passa a ser protegido pela lei, que concede ao titular instrumentos para questionar a sua utilização e aos órgãos governamentais (ANPD, Ministério Público, PROCON, etc.) meios de fiscalizar e punir os abusos.

QUAIS DADOS DEVEM SER PROTEGIDOS?

A lei protege os dados pessoais, assim entendidos aqueles que se relacionam a uma pessoa natural (física) identificada ou identificável. Portanto, qualquer dado isolado ou dentro de um conjunto que permita identificar uma pessoa é um dado pessoal. Dentre os dados pessoais se encontram os dados sensíveis que são aqueles que tratam da origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Estes dados merecem tratamento especial e exclusivo determinado pela lei. Também os dados relativos a crianças e adolescentes merecem tratamento específico. Portanto, instituições de ensino e empresas da área médica (hospitais, clinicas, laboratórios, óticas, etc.) devem ficar muito atentas.

POR QUE DEVO ME ADAPTAR À LEI?

Em primeiro lugar para não ser penalizado eis que a Lei prevê pesadas multas para quem usa indevidamente os dados. Por outro lado, como a LGPD está ligada ao compliance da empresa, implica em reorganização interna proporcionando maior controle e organização dos dados internos. O mercado irá se adaptar a esta nova tendência de proteção de dados valorizando as empresas que protegem os dados de seus colaboradores e clientes. Do mesmo modo, o cliente buscará cada vez mais as empresas que respeitam a sua privacidade e protegem os seus dados.

QUEM DEVE SE ADAPTAR?

Todas as pessoas físicas e jurídicas que realizem operações com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Ou seja, praticamente todas as empresas em algum grau tratam dados pessoais, seus ou de terceiros.

Em especial, devem ser objeto de atenção:

  • instituições de ensino (faculdades, colégios, cursos de línguas, etc.);
  • empresas da área médica (hospitais, clínicas, consultórios odontológicos, laboratórios, óticas, etc.);
  • hotéis;
  • contadores;
  • produtoras de software e hardware;
  • empresas de e-mail marketing ou envio de informações;
  • condomínios;
  • bancos;
  • empresas que se utilizam de equipamentos de biometria e reconhecimento facial;

QUAL O PROCESSO DE ADAPTAÇÃO À LEI?

Primeiro é necessário um mapeamento dos dados pessoais existentes na empresa que devem ser protegidos, tais como dados pessoais de clientes, colaboradores e fornecedores. Após este levantamento deverá se proceder a adaptação de contratos e procedimentos que respeitem a lei no momento da sua coleta, processamento, armazenamento e descarte em todos os setores da empresa, mediante a criação de regras para o ciclo de dados dentro do negócio. Este processo em geral demora meses dependendo do segmento e do tamanho da empresa.

QUAIS AS CONSEQUÊNCIAS SE NÃO ME ADAPTAR?

Diversas são as consequências. Em caso de fiscalização e constatação do uso ou processamento indevido de dados pessoais haverá a aplicação de multas que podem alcançar 50 milhões de reais ou 2% do faturamento da empresa a serem aplicadas pela Agência fiscalizadora. Podem também os titulares dos dados promover ações individuais de ressarcimento quando houver prejuízo decorrente do mau uso. Ainda os órgãos relacionados á defesa do consumidor (MP, Idec, Procons) podem mover ações coletivas de indenização em caso de dano difuso. Por outro lado, ao longo de curto período o mercado irá valorizar as empresas que protegem os dados de seus clientes e colaboradores, e consequentemente desvalorizar as velhas práticas.

 

A Lei Geral de Proteção de Dados e Você

O primeiro passo é definir quem é você para a Lei Geral de Proteção de Dados.

Se você é a pessoa física que tem suas informações inseridas em qualquer sistema, dentro ou fora da internet, você é o titular dos dados e também o titular do direito de privacidade em relação a eles. Em outras palavras, você é a pessoa a ser protegida do uso indevido dos seus dados.

Se você é a pessoa jurídica que coleta, processa ou armazena os dados das pessoas físicas, você é o controlador ou processador dos dados. É em relação a você que as obrigações da lei serão aplicadas para evitar que os dados sejam indevidamente utilizados. Neste caso você terá que ter motivos específicos para que justifiquem que você obtenha estes dados pessoais, os processe e os armazene.

Muito simplificadamente, você pessoa jurídica poderá deter estes dados para cumprimento de um contrato (contrato de trabalho), por obrigação legal (CPF para emissão de nota fiscal), exercício de direito na esfera judicial, para proteção do crédito (cadastro positivo). Ainda o Governo e órgãos de pesquisa podem deter dados pessoais para estudo e políticas públicas. Uma vez enquadrada a motivação para que você colete e processe os dados, eles devem ser utilizados exclusivamente com a finalidade para que foram obtidos. Qualquer desvio da finalidade ou motivação (adequação) na obtenção e uso dos dados será penalizado pelos órgãos de controle (Agência Nacional de Proteção de Dados) ou ainda poderá ser objeto de processos promovidos pelos titulares dos dados, Ministério Público ou órgãos de defesa do consumidor baseados nesta lei. Nos próximos artigos aprofundaremos tópicos específicos.

Para maiores informações sobre o tema entre em contato conosco:contato@ped.adv.br ou visite nossas mídias sociais.

Royalties – Dedutibilidade – Mesmo Grupo Econômico

Recentemente, por meio da Solução de Consulta 182/2019, a Receita Federal esclareceu uma importante dúvida sobre a dedutibilidade de royalties pagos aos chamados controladores indiretos.

Assim concluiu o órgão: “O fato dos pagamentos a título de royalties pelo direito de distribuição/comercialização de softwares serem realizados a controladores indiretos pertencentes ao mesmo grupo econômico, não implica, por si, a indedutibilidade prevista na alínea “d” do parágrafo único do art. 71 da Lei nº 4.506, de 1964.”