Estar em conformidade com a lei geral de proteção de dados – Lei 13.709/2018 – é fundamental para todas as empresas. Trata-se de uma imposição legal. Parcialmente em vigor desde agosto/2020, restam ainda pendentes de vigência para agosto/2021 tão somente os artigos referentes às sanções administrativas.
A lei visa criar mecanismos de controle e proteção à utilização de dados pessoais, tendo como fundamento, dentre outros, a autodeterminação informativa com base no conhecimento e consentimento dos titulares.
Seja como um diferencial competitivo ou para evitar prejuízos à imagem ou às finanças empresariais – que podem decorrer de impactos tanto no âmbito administrativo, civil, consumidor e/ou penal – o foco no programa de integridade à proteção dos dados pessoais deve ser priorizado.
A função da LGPD mostra-se cada vez mais importante, ainda mais diante dos diversos mega vazamentos de dados noticiados recentemente, que exponencializam as possibilidades de casos de fraude digital.
Dentre os princípios destacam-se o da finalidade, que garante ao titular de dados o tratamento com propósitos legítimos, específicos, explícitos e informados, o da necessidade, que limita o tratamento ao mínimo necessário, de forma proporcional e não excessiva, para atingir a finalidade a que se destina, e da transparência que garante ao titular ter acesso a informações claras e precisas sobre o tratamento conferido aos seus dados.
Assim, em síntese, o titular de dados pessoais tem o direito de saber o motivo da solicitação de determinado dado, quem o solicita, com quem ele será compartilhado e como será utilizado.
E para as empresas surgem, em decorrência, diversas obrigações, dentre as quais a de garantir ao titular o livre acesso aos dados coletados, que deverão ser mantidos em sua qualidade e integridade, de forma segura e preventiva – pelo emprego de medidas aptas a coibir acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão dos dados pessoais tratados. Devendo prestar contas das medidas adotadas e de sua eficácia, sob pena de responsabilização.
Por sua vez, a lei também cria regras ao tratamento de dados pessoais pelo poder público, que deverá sempre observar a finalidade e o interesse públicos, podendo inclusive lhes ser impostas medidas para fazer cessar uma eventual violação. E nesse contexto também estão abrangidos os órgãos da administração tributária, como a SRF, a PGFN e o CARF.
Assim, pode-se afirmar que a lei geral de proteção de dados interfere no direito tributário em várias frentes.
Sigilo fiscal e a proteção dos dados pessoais
O Fisco tem autorização para tratar dados pessoais, sem consentimento do titular, ainda que deva fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e práticas utilizadas para a execução das atividades de tratamento dos dados pessoais.
Contudo, abusos quanto a utilização dos dados, tal como o tratamento indevido, excessivo, com desvio de finalidade e sem amparo em base legal, acesso a um volume muito grande e desproporcional de dados, facilitação da utilização dos dados para outra finalidade que não a informada ou para cruzamentos com outros objetivos que não os expostos ao titular, poderão ser objeto de contestação perante a administração pública, com aplicação de sanções e responsabilização.
Em relação à atividade de fiscalização, o Fisco vem exigindo cada vez mais dados do contribuinte e de terceiros, em obrigações acessórias cada vez mais completas, tais como ECF, ECD, Speds e notas eletrônicas (eventualmente tratando dados alheios ao interesse da própria fiscalização).
Nesse sentido, a lei vem para impor à administração fazendária o dever de garantir o sigilo ainda mais amplo sobre os dados por ela tratados do contribuinte e de terceiros. O tratamento dos dados deve estar alinhado com o interesse público e com a finalidade do órgão, sob pena de responsabilização, inclusive pessoal do agente, e possível indenização.
Protegidos pela lei geral de proteção de dados pessoais contribuintes eventualmente poderão se negar a apresentar e compartilhar dados à fiscalização que não justifiquem a pertinência daquela exigência. Exemplo do processo de adequação da Receita Federal às exigências da Lei Geral de Proteção de Dados (LGPD) são as alterações efetuadas na Portaria RFB nº 2.189/2017, revogando a autorização para disponibilização de acesso por terceiros ao conjunto de dados e informações relativos à Nota Fiscal Eletrônica (NF-e).
Nos tribunais e sessões de julgamento a divulgação de dados tem sido cada vez mais ampla, uma vez que são transmitidas em tempo real e são abertas ao público. E isso mesmo nos casos em que há informações relevantes dos contribuintes sendo relatadas, tais como operações com cartão de crédito, declarações de serviços médicos, nomes de pacientes e estágio de doenças. Acórdãos dos processos com dados estratégicos, sigilosos ou sensíveis dos contribuintes tem sido de livre acesso.
Sob esse enfoque a expectativa da LGPD é de que os processos eletrônicos garantam o sigilo de dados pessoais, sensíveis e estratégicos, inclusive por ocasião do julgamento, prolação de decisões, sentenças e acórdão e as suas publicizações.
Investimentos no programa de adequação
Para as empresas, a organização de um bom programa de adequação impõe investimentos relevantes, podendo gerar gastos significativos e custos elevados.
Nesse aspecto há a possibilidade de se pleitear o aproveitamento de créditos de PIS e COFINS na sistemática de apuração não cumulativa dessas contribuições. Seja dentro dos critérios de insumos aferidos à luz da essencialidade e relevância – imprescindibilidade ou importância de determinado bem ou serviço – para o desenvolvimento da atividade econômica desempenhada (REsp n° 1.221.170, STJ), seja por imposição legal, por analogia a diversos casos em que a própria Receita Federal já reconheceu a possibilidade de que gastos do contribuinte com itens que, uma vez suprimidos, podem causar danos à coletividade e, sobretudo, gerar sanções à empresa, sejam entendidos como insumos para fins de crédito de PIS/COFINS não cumulativo.
Casos de fraude digital
Em relação aos casos de fraudes digitais, relevante destacar os seus efeitos fiscais e das perdas por chargeback. A operação que aparentemente é uma transação comercial válida, posteriormente é identificada como uma fraude digital, vício que invalida o negócio jurídico e que poderá ter tratamento de abatimento da receita.
A invalidade do negócio traz prejuízos para diversos elos da cadeia comercial, gerando, em especial, para as empresas o cancelamento da compra com prejuízos financeiros e fiscais, uma vez que cada elo da transação normalmente já reconheceu uma receita operacional prévia e a ofereceu à tributação, segundo o critério de competência, a depender da sistemática de tributação adotada. Minimizar esses prejuízos é possível mediante trabalho de análise e categorização material criteriosa do tipo de perda, a fim de que seja realizado da forma juridicamente mais segura e com mecanismos de prova para futura evidenciação – sob risco de representar um contingente relevante.
Desafio
E os que nos espera? O desafio que estamos enfrentando está em harmonizar a irreversível utilização de big data voltado, dentre outros, para o desenvolvimento da política tributária; com a observância e respeito ao sigilo fiscal e às garantias e responsabilidades reforçadas pela lei geral de proteção de dados pessoais; com a transparência característica e necessária dos atos públicos; e o cumprimento das inexoráveis obrigações legais, nos âmbitos fiscal e de privacidade e proteção de dados pessoais, pelos empresários. Certamente será uma “nova era” para o direito tributário.
Publicado em https://juristas.com.br/2021/11/01/breves-consideracoes-sobre-a-interface-da-lei-geral-de-protecao-de-dados-com-o-direito-tributario/
