GDPR - A Lei de Proteção de Dados e Estratégias para se Proteger Dela

Ícone de Relógio
27 min
Publicado em:
19/12/2022
Última Atualização em:
26/1/23
Article Background Image
Article Background Image
Article Background Image
Temas Abordados Neste Artigo

Você conhece a lei GDPR?

Em 25 de maio de 2018, a lei que enfureceu os empreendedores online foi aprovada, o GDPR.

Por detrás dessas quatro letras se esconde o nome o ‘Regulamento Geral sobre Proteção de Dados’ da UE que foi aprovada alguns anos atrás, mas que entrou em vigor legalmente em 25 de maio de 2018.

A realidade é que mesmo após a onda inicial de histeria, durante a qual muitas empresas tentaram adaptar seus processos e websites, poucos empresários estão de fato preparados para o GDPR. Em face dessa situação, os únicos que estão felizes são aqueles que formam a indústria de advogados que se dedicam a enviar solicitações e ameaças para esse tipo de infração.

É claro, há muitos artigos que explicam como essa nova lei de proteção de dados funciona e o que você precisa fazer para estar em conformidade com ela. Entretanto, o objetivo deste guia não é explicar como aplicar corretamente o GDPR, mas o que fazer para evitar ser sancionado, o que chamamos de arbitragem regulatória.

Arbitragem regulatória consiste em encontrar e tirar proveito de brechas em leis e regulamentações. Cada regulamentação tem um ponto fraco, um ponto que é geralmente removido por outra regulamentação adicional.

É claro, nenhum regulador entende que isso cria uma espiral regulatória sem fim que, à medida que termina com um ponto fraco, dá vida a um novo.

Regulamentações em si mesmas não precisam ser más. O que às vezes precisa ser questionado nas regulamentações não é o ‘quê’, mas o 'que'. Quem regulamenta os regulamentadores e garante que eles agem em prol do interesse público?

O GDPR, assim como a maioria das iniciativas da UE, dá a impressão de que existem interesses escondidos (sim, sabemos que isso soa como uma teoria da conspiração, mas não encontramos outra forma de descrever isso).

Parece que essa lei foi impulsionada por poderes socialistas antieconômicos, escrita pelo setor de advogados online e depois diluída para não prejudicar muito as grandes corporações americanas. Como se a UE quisesse lucrar com as muitas multas que viriam – a famosa indústria da multa.

É costume em nossa jurisdição que as leis sejam as mesmas para todos. Mas nós realmente queremos forçar donos de pequenos e médios negócios (assim como os autônomos) a obedecer às mesmas leis destinadas às grandes empresas americanas?

Quando o regulador falha é, na nossa opinião, legítimo optar pela arbitragem regulatória. Em relação ao GDPR, o maior objetivo da arbitragem regulatória é minimizar os riscos e evitar a penalidades draconianas anunciadas em caso de não-conformidade com o GDPR.

É óbvio que essas multas extorsivas, entre 10 e 20 milhões de euros e 2 a 4% do volume de negócios do ano anterior, não fazem sentido para proprietários de negócios online "normais".

Logicamente, só deveria ser possível aplicá-las a empresas como Google, Amazon, Apple e similares. Por outro lado, essas empresas são as que menos têm com o que se preocupar.

Minimizar o risco apresentado pelo Regulamento Geral de Proteção de Dados envolve vários fatores. As bandeiras típicas da Teoria das Bandeiras desempenham um papel crucial aqui.

Ainda que o GDPR também afete empresas de fora da UE, elas estão muito mais protegidas do que os negócios na UE. Além disso, existem grandes diferenças em como o GDPR é aplicado mesmo dentro da UE, como podemos ver no exemplo mais recente da Áustria, um país que optou por flexibilizar a lei.

Conformidade parcial com o GDPR

Se sua residência pessoal e o escritório principal da empresa estão localizados em um país da UE, você não conseguirá evitar a conformidade com o regulamento de proteção de dados, ao menos parcialmente.

Minimizar os riscos aqui visa se tornar uma presa menos visível e difícil, caso alguém esteja pensando em "caçá-lo" e lucrar com você.

De forma geral, a ameaça vem de 5 fontes diferentes:

  • Advogados especializados em proteção de dados
  • Associações de proteção ao consumidor com advogados especializados em proteção de dados
  • Sua concorrência
  • Seus clientes
  • O país ou a UE

Em princípio, como um pequeno empreendedor online você provavelmente nunca será pego no holofote das autoridades de proteção de dados da UE.

Esse grupo não vai gastar seus recursos indo atrás de donos de pequenos negócios. Além disso, uma sanção muito grande que poderia comprometer a existência do negócio (ou mesmo da economia pessoal) causaria muita publicidade negativa.

Em última análise, o perigo não vem tanto dos órgãos públicos, mas sim do setor privado. A solução aqui, portanto, consiste em se tornar uma presa ruim, de forma que não valha o esforço. Isso pode ser alcançado com relativa facilidade.

Ao cumprir parcialmente o GDPR você terá se armado efetivamente contra sua concorrência e advogados.

Não devemos esquecer nossos próprios clientes aqui, que podem ser uma fonte de sustos e problemas. Isso não é simplesmente porque eles podem nos processar, mas porque eles podem decidir que não querem nada com uma empresa que não respeita nem um pouco sua privacidade.

Alguns dos pontos importantes da conformidade parcial são coisas que podem ser identificadas superficialmente em uma página da web:

  • Confirmação de endereço de e-mail quando você assina um newsletter ou algo parecido (também chamado de opt-in duplo)
  • Registro claro e voluntário no newsletter (sem esconder a caixa para cancelar ou sem usar o truque da caixa pré-marcada)
  • Conseguir o e-mail através de algum tipo de isca com presente (brinde)
  • Informação sobre a política de cookies
  • Pixels de rastreamento
  • Atualização da política de privacidade

Muitos proprietários de negócios online desejam, com razão, evitar apenas alguns desses pontos (especialmente o do brinde).

Seguindo as estratégias das quais falamos neste artigo, isso também é possível. No entanto, nesses casos, você terá que ter criado uma estrutura que torne difícil encontrar o infrator e custoso processá-lo.

Para além do cumprimento dos pontos anteriores, as empresas devem elaborar protocolos internos de processos e fichas técnicas, documentos de que possam necessitar em caso de controle por parte das autoridades de proteção de dados.

É importante ter isso em mente porque isso pode complementar as estratégias que explicamos nesse artigo. Por mais que você tenha uma holding para seus sites e domínios, a empresa não existe apenas na Internet, mas também na vida real. A lei também obriga você, neste caso, a cuidar da forma como você coleta e armazena dados (de clientes, fornecedores e funcionários, por exemplo).

Todo empresário deve elaborar um documento que sirva de guia para os processos e que possa ser mostrado a qualquer autoridade, funcionário ou cliente que o solicitar. Este guia não é difícil de ser criado; duas ou três horas devem ser suficientes. 

O que as autoridades de proteção de dados querem saber no final das contas, especialmente no caso de pequenas empresas, é que algum tempo foi reservado para refletir em como os dados de outras pessoas estão sendo processados.

Não queremos entrar em detalhes sobre o diretório de processamento a ser preparado com as chamadas medidas de controle (medidas técnico-administrativas) Existem muitos exemplos disso em inúmeras fontes online. Ou você pode contratar um advogado especialista para garantir maior segurança jurídica.

Como dizíamos, o que queremos demonstrar nesse artigo é como você pode minimizar o risco do GDPR se tornar um problema para você, não como estar em conformidade com ele.

Alcançaremos nosso objetivo seguindo quatro princípios fundamentais que um bom turista perpétuo sempre tem em mente:

Arbitragem regulatória no GDPR

Um dos pontos chaves da arbitragem regulatória relativos ao GDPR tem a ver com o mercado, ou seja, o lugar onde estão seus clientes.

Os reguladores descobriram que é realmente inteligente que os novos regulamentos de proteção de dados não se aplicam apenas às empresas da UE, mas a todas as empresas em todo o mundo que têm clientes na UE.

Isso significa que, quase sem exceção, todas as empresas suíças, por exemplo, serão afetadas pelo GDPR, porque além de ter clientes suíços, eles também têm clientes austríacos, alemães, italianos ou franceses.

Entretanto, o GDPR não se aplicará se a empresa (suíça ou não) vender apenas para clientes suíços. Aqui, poderíamos cair no escopo da lei de proteção de dados muito mais flexível da Suíça, que quase não se aplica a empresas estrangeiras.

Então, em termos do GDPR, o que aconteceria se vendêssemos apenas na Suíça?

É claro, nenhuma empresa vai decidir excluir mercados importantes para evitar o GDPR. Entretanto, vale a pena colocar em seu website que a Suíça é seu mercado alvo e não a Alemanha ou a Áustria. Ou os EUA ao invés de Malta. Ou a Argentina ao invés da Espanha.

Só por usar um domínio apropriado, mostrar preços em dólares, mencionar canadenses e australianos em seus artigos ou mesmo colocar um aviso legal apenas para clientes americanos, dá a impressão superficial de que o GDPR não é relevante para você porque seus clientes não parecem estar na UE.

Com apenas isso você poderia escapar do primeiro olhar superficial de advogados em busca de presas fáceis, que teriam que demonstrar o contrário investigando em profundidade o seu negócio (o que, novamente, não vale a pena dada a quantidade de presas fáceis que sem dúvida eles possuem).

Mesmo que seus clientes estejam dentro da UE, nem todos os países aplicam essa regra igualmente. Em última análise, o GDPR dá às autoridades estaduais locais amplo espaço de manobra na interpretação e aplicação do GDPR. Muitos países, incluindo recentemente a Áustria, flexibilizaram a regulamentação em alguns pontos.

Alguns países da UE duvidam que seja realmente de seu interesse estar em conformidade com o GDPR. Nesse caso, podemos falar sobre a Irlanda, um país onde muitas grandes corporações americanas têm sua sede e cujas autoridades de aplicação da proteção de dados já têm mais do que o suficiente para lidar com elas.

Essas empresas não estão lá por acaso. Assim como por razões fiscais, elas também o fazem devido à regulamentação local. A flexibilidade da legislação de proteção de dados também é uma vantagem.

Como uma pequena empresa, você sem dúvida ficará invisível ao lado de um gigante devorador de dados. Portanto, aparentar segmentar apenas clientes irlandeses (se você estiver no mercado de língua inglesa) pode ser uma excelente opção se você também registrou uma Irish Limited Foundation (sobre a qual falaremos mais tarde).

As autoridades nos países do leste europeu também não causarão muitos problemas para seus empreendedores.

Em todo caso, em países como a Espanha, França ou Alemanha, as coisas funcionam de forma diferente. Abaixo explicamos como você pode minimizar riscos usando estratégias para aqueles que não atendem aos requisitos.

Como evitar o GDPR: Não-conformidade

Aqueles que não desejam aderir ao Regulamento Geral de Proteção de Dados, ou aqueles que apenas querem fazê-lo parcialmente, devem voltar-se para o anonimato completo da estrutura do seu website.

Como foi dito, o GDPR também se aplica a países que não fazem parte da UE com clientes na UE. Entretanto, o escopo para a ação contra as empresas de fora da UE é claramente mais limitado.

Assim, tornar os proprietários anônimos ou separar o negócio operacional da parte online interpondo uma empresa com domínios registrados em seu nome e hospedagem pode ajudar muito.

Se você decidir não cumprir com o GDPR, você terá que prestar muita atenção a alguns pontos:

  • Isso não é possível para donos de website cujos negócios estejam ligados a uma marca pessoal ou onde a pessoa por detrás é claramente identificável (treinadores, coaches, influencers etc.). Nesses casos, sempre haverá o risco da chamada desconsideração da personalidade jurídica, ou seja, a entidade legal distinta é revogada e o dono é processado.
  • Se você usa seu nome no website, mas deseja minimizar os riscos você terá que viver fora da UE. Entretanto, mesmo nesse caso você poderia ter problemas ao entrar na UE dependendo dos crimes dos quais você é acusado. Em casos em que não é possível encontrar a pessoa, os requisitos são geralmente comunicados aos controles de entrada e saída da UE.

A estratégia a seguir aqui é, portanto, não ser dono de um domínio ou site que não esteja em conformidade com o regulamento de proteção de dados. Para evitar problemas, uma fundação, uma associação ou um terceiro pode ser usado como dono. Desconsiderar a personalidade jurídica é impossível nesse caso, pois não há um dono (ou é um terceiro).

Alguns modelos de negócios não funcionarão com essa estratégia de separar a estrutura do website do negócio operacional.

  • Isso se aplica especialmente a muitas plataformas para produtos digitais e marketing de afiliados, em que a empresa afiliada deve cumprir certas regras para ser aceita como uma afiliada (avisos legais, proteção de dados etc.).
  • É claro, dependendo da intensidade da inspeção, você pode ‘trapacear’ (mudar os avisos legais novamente uma vez que você tenha se registrado como um afiliado).
  • Entretanto, você deve ter em mente que você está violando os termos e condições e que se alguém reclamar e isso for revisado, você poderá ser bloqueado.

Não é absolutamente necessário separar a infraestrutura do website do negócio operacional, mas é geralmente recomendado para espanhóis, alemães, franceses, portugueses, austríacos e suíços devido às regras estritas que dificultam o controle de empresas estrangeiras. O anonimato pode ser garantido através do uso de fiduciários.

  • A forma mais segura de deixar a Receita Federal para trás no país de origem é criar substância no exterior. Se você opera na UE, se pretende obter um anonimato maior, é aconselhável procurar uma localização para a empresa fora da Europa, uma vez que na UE a tendência é criar um registro comum de beneficiários.
  • Do ponto de vista fiscal, deveria haver um acordo de não-bitributação para que esse local fosse reconhecido. Países típicos para isso são os Emirados Árabes Unidos, Singapura, Hong Kong e os EUA.
  • Qualquer um que resida em um país com baixos ou zero impostos pode geralmente agir com empresas offshore anônimas que não estão em conformidade com o GDPR, contanto que a pessoa por trás da marca não seja nomeada abertamente (marca pessoal). Nesse caso, recomendamos ao menos uma conformidade parcial e uma fundação (veja acima).
  • Deve-se observar que muitos provedores de serviços e plataformas exigem ou pelo menos esperam que seus clientes cumpram o GDPR, de modo que a não conformidade pode fazer com que esses provedores não queiram trabalhar com empresas que não cumpram (especialmente se os clientes reclamarem). Portanto, é aconselhável cumprir as leis de proteção de dados, pelo menos superficialmente. 

A variável mais segura, sempre que possível, é a criação de uma holding fora da UE. Estamos falando sobre criar uma empresa que age como uma holding de toda a infraestrutura do website. Uma holding não tem receita e, portanto, não terá problemas com as regras de CFC ou com a gestão efetiva mesmo que seja apenas uma empresa-fantasma.

Você deve ser cuidadoso com 2 aspectos importantes para a holding:

  • Alcançar o maior nível de anonimato possível para a estrutura da empresa
  • Alcançar o maior nível de anonimato possível para a estrutura do website

Separando o website e o negócio operacional usando uma holding

Nós explicamos abaixo a variável mais aconselhável, onde possível: separando os websites do negócio operacional com a relocação de domínios em uma ‘holding dedicada’.

Imagem de um teclado com uma tecla de para as compras

A cobrança continuaria a ser feita através da empresa original, uma empresa que é praticamente ‘inexistente’ na internet e, portanto, seria um alvo muito difícil. Só é preciso cumprir o regulamento interno da lei de proteção de dados, caso haja fiscalização (referimo-nos aqui à compilação do registro). 

A Opção Ilhas Marshall

As holdings mais seguras estão na estrutura de uma empresa offshore ou fundação nas Ilhas Marshall. As Ilhas Marshall é um território americano sob administração especial no Pacífico. É uma localização extremamente inconveniente para qualquer um procurar processar negócios locais, já que a jornada até lá é muito longa.

As Ilhas Marshall estão sob o protetorado dos Estados Unidos (como você deve saber, o GDPR nos Estados Unidos não foi recebido de maneira particularmente calorosa), mas são, em termos jurídicos, totalmente autônomas e não reconhecem as sentenças de outros países.

Para a administração nas Ilhas Marshall decidir identificar o dono de uma empresa local, é necessário haver a condenação por um juiz local.

Em qualquer caso, você nem descobrirá que tipo de empresa está por trás do website (a menos, é claro, que você reporte o nome da empresa no aviso legal) até que tenha passado pela proteção oferecida por plataformas de hospedagem anônima (isto é explicado abaixo). 

Seja como for, nossa holding não tem receita operacional e, portanto, não exige conta em banco. Você apenas tem que pagar pelos seus domínios e servidores, o que pode ser feito usando criptomoeda, especialmente se você escolher uma das plataformas de hospedagem anônima recomendadas.

Concluindo, a empresa nas Ilhas Marshall seria a melhor maneira de proteger seu site de ações judiciais, liminares e sanções.

Uma empresa nas Ilhas Marshall não é muito cara e pode ser constituída com um custo de constituição de 1900€ e um pagamento de 900€ a partir do segundo ano. Passaporte, contas, serviços públicos e referência bancária são exigidos apenas por motivos de conformidade com os padrões internacionais de procedimentos KYC (verificação do cliente).

Jurisdições Offshores além das Ilhas Marshall

Claro, você não precisa necessariamente ir para essa opção. Qualquer jurisdição offshore sem registros públicos de negócios oferecerá a você um alto nível de segurança, especialmente se você usar testas de ferro. O denunciante deve, portanto, primeiro obter acesso ao registro privado e, em seguida, aos verdadeiros proprietários por trás dos frontmen.

Praticamente nenhum estado, empresa, indivíduo ou advogado investirá muito tempo e dinheiro para uma mera violação do GDPR.

Se você deseja ter uma empresa em uma jurisdição mais estabelecida que as Ilhas Marshall, você pode fundar uma LLC no Novo México por cerca de US$4000. O Novo México é o estado que oferece o maior anonimato nos EUA e não compartilha informação sobre os donos da empresa.

Jurisdições offshore proeminentes, como Nevis ou as Ilhas Cook, que são conhecidas por sua proteção de ativos, também são recomendadas. Elas oferecem uma legislação igualmente vantajosa ao regime das Ilhas Marshall quando se trata de ações judiciais do exterior. Por exemplo:

  • Para entrar com um processo em Nevis, você terá que depositar US$100.000 em dinheiro no tribunal, pagar os advogados desde o início (o que também é muito caro) e arcar com todos os custos do tribunal e dos advogados da outra parte no provável caso de perda.
  • Outra forma de se proteger é através de empresas com ações móveis ao portador – atualmente, a única existente ainda é Honduras, que já exploramos em outro artigo. Basicamente, nesse tipo de empresa o beneficiário é completamente desconhecido e portanto improcessável.
  • Outra estratégia que você pode seguir consiste em separar a empresa de você. Em teoria, você nem precisa de uma empresa. Você pode obter o domínio ou servidor diretamente usando uma fundação ou associação. As três estruturas (empresa offshore, fundação ou associação) são ótimas opções para se proteger.

Assim que houver um mínimo de dois proprietários, pode ser interessante criar uma associação suíça não registrada (nicht eingetragenen Schweizer Verein) como uma empresa holding. Isso é quase gratuito. Tudo que você precisa é de um endereço físico na Suíça para registrar a associação. Em vez de permitir que a associação tenha os próprios domínios, você também pode, é claro, fazer com que a associação participe de empresas offshore.

Uma alternativa é criar uma fundação familiar, mas mesmo no país mais barato, que é o Panamá, ela custa mais de US$2.500. Mais baratos ainda são os trustes típicos em países do common law (O Reino Unido e suas antigas colônias).

No entanto, você deve ter em mente que um truste não é uma entidade legal independente, mas um contrato pelo qual ativos, como empresas, são transferidos para um terceiro. Isso geralmente fornece proteção legal e tributária ao proprietário original e faz com que o administrador não cumpra o GDPR. 

No entanto, como os administradores geralmente vivem em paraísos fiscais, a probabilidade de processá-los com sucesso é mínima. Opções quando não é possível ter uma holding para domínios e websites.

Até agora, falamos sobre a separação estrita entre uma empresa de gerenciamento de sites e o negócio operacional. Por razões comerciais, nem sempre isso será possível, então outras estratégias terão que ser usadas. Por exemplo, muitas plataformas de marketing de afiliados ou vendas de produtos exigem que a empresa apareça no site com as mesmas informações que aparecem em suas faturas, conta bancária e assim por diante.

Uma separação pode ser tentada, embora você corra o risco de violar as condições de uso. Em muitas jurisdições offshore onde faz sentido ter sua holding, você pode escolher livremente adicionar as siglas de outras formas jurídicas. 

Por exemplo, você pode ter um IBC em Nevis com a sigla SL, LTD ou GmBH e alugar um espaço de escritório virtual na França, México, Reino Unido ou Alemanha. Assim, parecerá ser uma empresa "normal", mas sem estar listada no registro comercial, é claro.

A chamada 'Incompatibilidade de Nomes' é uma estratégia comum, por isso muitas vezes é esquecida. Em muitos casos, será suficiente que a holding tenha o mesmo nome da empresa operacional. Por exemplo;

  • alguém que abra uma empresa nas em Nevis e que por alguma razão não consiga uma conta bancária, 
  • pode simplesmente fundar uma segunda empresa nas Ilhas Marshall com uma conta com o mesmo nome, mas com uma pequena mudança. O 'L' minúsculo e 'I' maiúsculo são virtualmente idênticos, assim como 0 (zero) e o 'O' maiúsculo, ou 'nn' e 'm', são difíceis de distinguir.

Em qualquer caso, é obviamente melhor vincular a proteção contra o GDPR à otimização tributária e é disso que falaremos a seguir.

Neste caso, dado que a empresa é usada operacionalmente (ela irá cobrar os clientes), aspectos anti-evasão fiscal entram em jogo, pelo menos se a administração ou os sócios tiverem residência em um país com impostos elevados (como o Portugal, Espanha, Brasil, etc.).

Nem os turistas perpétuos nem os que residem em um país com tributação territorial ou zero tributação terão problemas com essas leis e, a princípio, não precisarão continuar lendo o que explicamos nesta seção, a titularidade do domínio de que falamos antes será suficiente para eles, eles simplesmente terão que usá-lo de forma operacional.

Para quem ainda reside fiscalmente em um país com alta tributação, há duas opções (na parte fiscal):

  • Criar uma empresa no exterior que construa substância;
  • Criar uma empresa no exterior que opere anonimamente.

A segunda opção envolve evasão fiscal, que é um crime, por isso não falaremos mais sobre.

Em última instância, o proprietário da empresa deve decidir se deseja tentar que sua empresa estrangeira seja reconhecida ou se prefere pagar o imposto como se fosse uma empresa nacional (regime de transparência tributária internacional). 

Devido às regulamentações estritas sobre empresas estrangeiras em alguns países, tentar ter as vantagens fiscais da residência de empresas estrangeiras reconhecidas só vale a pena com um certo benefício entre um faturamento de 70.000€ e 100.000€ por ano.

A Bulgária é atraente porque, além do baixo imposto corporativo de 10%, é um dos países mais baratos da UE para a construção de uma substância empresarial. Afinal, os custos de instalação, diretor e funcionários locais são muito baixos.

No entanto, devido ao provável Registro do Proprietário Beneficiário, poderia ser melhor (em termos de proteção contra o GDPR) abrir uma empresa fora da UE. Neste caso, deve-se atentar para a existência de um acordo de dupla tributação com o país de residência, pois isso torna os requisitos para a substância empresarial mais fáceis de cumprir em comparação com o que ocorre sem tal acordo.

Países fora da UE com acordos de não-bitributação com o bloco

Os países típicos são, novamente, os EUA, assim como a Suíça, Liechtenstein, Singapura, Hong Kong, Geórgia, ou uma empresa na zona franca dos Emirados Árabes Unidos, onde o anonimato pode ser amplamente garantido com testas de ferro.

Não tenha nada, controle tudo.

Dentro da holding do domínio, já discutimos a possibilidade de trustes, fundações e associações. Gostaríamos de reiterar isso mais uma vez. Em última análise, essas estruturas geralmente são completamente ignoradas. Além do slogan da Teoria da Bandeiras "Vá aonde te tratam melhor", também temos o slogan de proteção de ativos, "Não tenha nada, controle tudo", que é igualmente importante.

Embora os ricos do mundo tenham vivido sob esse lema por séculos, as classes médias desenvolveram um orgulho exorbitante pela "propriedade" e de forma alguma deseja transferi-la para terceiros (muito menos nos países latino-americanos).

No entanto, essa atitude deve ser reconsiderada, especialmente no caso do alto risco representado por regulamentações como o GDPR, as novas regulamentações relativas a criptomoedas, impostos sobre fortunas, imposto de saída e assim por diante.

Como descrevemos antes, em alguns casos, a limitação da responsabilidade pode caducar e um crime pode ser atribuído aos proprietários da empresa (‘desconsideração da personalidade jurídica’).

Como dissemos, essa desconsideração de personalidade ocorrerá especialmente se o negócio tiver uma marca pessoal, ou seja, o website não pode ser feito anonimamente (o negócio típico de coaching).

Estruturas alternativas: Fundações ou associações

Algumas estruturas, como fundações ou associações, são uma ótima solução nesse caso, porque elas são propriedades delas mesmas. Não há um dono sobre o qual um crime possa ser atribuído.

Em vez de terceirizar a propriedade do seu site para uma holding de domínio, você pode fazer o contrário: você retira todos os seus ativos e os deixa em fundações e fundos que você controla.

O Christoph, nosso CSO, por exemplo, trabalha com uma fundação familiar no Panamá e não tem nada além de uma bagagem de mão. Nesse caso, você pode manter os domínios em seu nome ou em nome da empresa, porque não há nada para ser tomado de qualquer maneira. No pior cenário, a empresa vai à falência ou você pode declarar falência pessoal.

Isso nem requer fundações. Se você não tem nenhum dinheiro, não há nada para ser tomado. É claro, você também poderia registrar seus domínios em nome de pessoas sem ativos, que receberam uma pequena compensação por qualquer risco de inconveniência.

Essas pessoas podem ser localizadas em qualquer lugar do mundo, elas apenas precisam escolher bem o domínio. Aqui você pode encontrar possibilidades facilmente através dos portais de emprego online mais comuns. Dessa forma, o risco de não conformidade com o GDPR é reduzido drasticamente.

Você está, é claro, teoricamente cedendo a propriedade do domínio, que é provavelmente valioso, mas você pode arrumar tudo de forma que você ainda possa controlar o domínio e transferi-lo a qualquer momento, especialmente se você estiver lidando com alguém que não sabe como o domínio funciona.

Você pode, por exemplo, fundar uma associação alemã com outros empresários para usar como uma holding de domínio com o único propósito de gerenciar sites e domínios. A responsabilidade dos membros da associação está excluída. Apenas uma pessoa "sem um tostão" deve ser nomeada como administrador, pois em caso de dúvida, ela pode ser responsabilizada.

Como mencionado anteriormente, quando não é possível optar por uma holding de domínio, o dono do negócio sempre pode proteger sua riqueza privada usando associações ou fundações.

Uma alternativa mais aconselhável é a empresa operadora de propriedade da associação ou fundação. Uma opção interessante em países de língua alemã é a Limited por garantidor. Graças à legislação da UE, uma fundação limitada irlandesa pode, teoricamente, também pode ser inscrita no registro comercial alemão.

Em casos em que você precisa aparecer publicamente em seus websites ou você precisar ser público por certas razões, você pode agir relativamente seguro com o GDPR. Já que uma fundação limitada é proprietária de si mesma e, portanto, não pode ser apreendida.

Em termos fiscais, ela é tratada como uma empresa nacional, mas em termos de direito societário aplica-se a legislação irlandesa ou inglesa.

No entanto, dado que este tipo de base operacional não existe no direito alemão, muitos cartórios agora rejeitam a inscrição no registro comercial alemão, o que, na verdade, é legal sob o direito da UE. As contas comerciais também são difíceis de abrir.

A operação de fundações e associações pode ser bastante complicada. Entretanto, se você as usar apenas para manter um website, as considerações fiscais e de leis das fundações são totalmente secundárias. Ainda assim, é claro que você deve permitir que um especialista nessa área o aconselhe no momento da criação.

Resumo das opções para evitar o GDPR

Resumo das opções para alguém que não pode ou não deseja estar em conformidade com a nova lei de proteção dos dados (GDPR).

Vamos agora resumir brevemente as possibilidades disponíveis para você com base em sua situação pessoal:

  • Residente da UE, pessoa pública: uso de fundações ou associações.
  • Residente da UE, anônimo, holding de domínio: registro de empresa offshore.
  • Residente da UE, anônimo, negócio operacional sem substância: empresa estrangeira que é taxada como se fosse um negócio local.
  • Residente da UE, anônimo, negócio operacional com substância: criação de uma substância de negócio na UE ou em países com acordo de dupla tributação.
  • Não residente da UE, pessoa pública: uso de trustes, fundações ou associações.
  • Não residente da UE, anônimo, holding de domínio: criação de uma empresa offshore.
  • Não residente da UE, anônimo, e negócio operacional: geralmente, quaisquer empresas que não são da UE. Maior anonimato usando testas de ferro.

Nos melhores casos, essas opções podem ser combinadas se for possível pagar pela criação de uma estrutura de fundações e diversas empresas, algo que é possível apenas com a residência pessoal adequada. Dessa forma, você pode desenvolver uma estrutura legalmente inquebrável.

Você deve ter em mente que, com cada pequeno passo ou proteção que adicionamos, nós estamos aumentando muito o custo para a parte denunciante, tanto que, em última instância, nos tornamos uma presa difícil demais que simplesmente não vale a pena ir atrás.

Fornecedores de registro anônimo de domínio e holding

Se você está usando uma estrutura apropriada você não terá de se preocupar. Tendo uma empresa com ações móveis ao portador em Honduras, por exemplo, torna-se impossível achar o dono da empresa.

Imagem de uma cidade conectada por uma rede de usuários online

Tornar o domínio e o servidor anônimos é, assim, apenas mais uma medida para complicar as coisas, ainda mais para qualquer um que deseje processar você por não conformidade com a lei de proteção de dados europeia.

Criar uma infraestrutura anônima para esse website é muito mais importante para aqueles que, por quaisquer razões, desejam prescindir das possibilidades mencionadas acima.

Não será suficiente tornar o domínio anônimo pela proteção com o protocolo TCP WHOIS e o servidor pelo sistema DNS. Esta é, sem dúvida, uma medida aconselhável para aumentar os custos de identificação do operador do site, mas não para uma proteção total.

Os fornecedores europeus muitas vezes cedem os dados dos proprietários quando confrontados com ameaças de advogados, no mais tardar quando confrontados com uma decisão judicial. 

Por este motivo, é aconselhável que os seus sites sejam alojados em países que garantam o maior anonimato possível e que não revelem os seus dados, mesmo que sejam solicitados por autoridades estrangeiras.

A melhor opção é hospedar o website em países nórdicos:

  • Islândia, 
  • Noruega, 
  • e Rússia ainda são bastante aconselháveis.

Se possível, também é interessante usar o domínio de vários pequenos países. Por exemplo, .to (Tonga), .io (Território Britânico do Oceano Índico), .tv (Tuvalu) ou também .is (Islândia), são todos bem conhecidos. É claro, usar esses domínios têm desvantagens (em termos de SEO ou da confiança que seu website transmite).

Bloquear esses domínios é muito mais difícil do que com um domínio da UE, por exemplo. O domínio suíço, .ch, também é interessante porque a Suíça não faz parte do GDPR.

Ao registrar seus domínios, você pode usar serviços fiduciários como o nja.la. Nesse caso, você assina um contrato com eles que garante a você o controle total do domínio a despeito de estar no nome de Njala. O que você deve levar em conta ao tornar seus websites anônimos é manter o fluxo de pagamentos em ordem.

Não adianta nada ter toda a estrutura da sua empresa anônima se seus dados privados podem ser rastreados através de pagamentos de cartão de crédito.

Portanto, você precisa pagar os fornecedores correspondentes usando Bitcoin, Paysafecard ou outros meios anônimos, nunca com um cartão de crédito pessoal ou uma operadora de cartão de crédito. Se sua holding não aceitar criptomoedas, você talvez deva procurar por outra.

Para concluir, você deve ter em mente os quatro princípios centrais para minimizar o perigo de se tornar uma vítima dos Regulamentos Gerais sobre Proteção de Dados. Esses quatro princípios são: 

Ainda tem dúvidas?

De forma ideal, você deve primeiro registrar uma empresa na jurisdição que oferece maior anonimato e vantagens (Teoria das Bandeiras), gerenciada por uma estrutura que pertence a ela (proteção de ativos), e que atende pelo menos parte das diretrizes do GDPR (arbitragem regulatória), além de esconder o máximo possível quem está por trás (o que os olhos não veem...). 

Se você incorporar os quatro princípios em sua estratégia anti-GDPR, não terá muito com que se preocupar.

Entretanto, se você aplicar apenas um dos princípios mencionados, você já terá feito bastante, os custos para qualquer um que deseje processar ou ameaçar você aumentarão consideravelmente, tanto que não valerá a pena e será deixado de lado.

Se após ler esse artigo você ainda tiver dúvidas, você pode agendar uma consultoria pessoal na qual estudaremos seu caso e buscaremos a melhor opção. É claro, você também pode entrar em contato conosco para registrar através de nossos parceiros uma empresa nas Ilhas Marshall, Honduras ou uma fundação no Panamá.

Porque a sua vida te pertence!

Curtiu este artigo? Compartilhe!
Logo da Settee

Settee

Consultoria de Internacionalização

A Settee é uma equipe global de empresários, nômades digitais e consultores especializados em estratégias de internacionalização. Agende já sua chamada introdutória.

Últimos artigos

Ver todos os artigos
Thumbnail do Artigo
26/1/2023

Como Solicitar um Reembolso do IVA

Neste artigo, te apresentamos como solicitar um reembolso do IVA com exemplos práticos, além de expor algumas exceções à regra sobre os processos e passos necessários a serem considerados a fim de recuperar seu IVA.

Ler mais
Thumbnail do Artigo
23/1/2023

Ilha da Madeira: Uma Cidade Livre Portuguesa?

Neste artigo apresentamos a Ilha da Madeira, artigo este, originalmente publicado pela Free Cities Foundation em inglês. O objetivo é discutir com mais detalhes a Ilha da Madeira. Além disso, apresentar o conceito de cidades livres aos leitores.‍

Ler mais