A Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/18) foi editada com a finalidade de “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, representando um importante marco para a conformidade da legislação brasileira com as melhores práticas adotadas mundo afora no manuseio da informação obtida na era digital, em especial o Regulamento Geral de Proteção de Dados da União Europeia – “GDPR”
Embora o foco de atenção neste tema tenha sido em outros aspectos empresariais (como relação de trabalho, consumidor, contratos etc.) é importante se atentar para os impactos tributários da LGPD.
Com a implementação do Projeto Sped, intensificou-se o volume de dados transmitidos e o nível de exigência em termos qualitativos dos dados entregues ao Fisco. A prestação de informações fiscais passou a ser realizada em um nível extremamente analítico, permitindo “a formação de banco de dados sem precedentes, o que se faz a partir do conjunto de informações que devem ser consignadas em arquivos disponibilizados pela Receita Federal do Brasil”, contando, ainda, com a “inclusão, sem precedentes, de informações de terceiros nas declarações transmitidas às administrações tributárias”
Em matéria tributária, mais especificamente no que se refere ao cumprimento das obrigações acessórias, a legislação impõe ao contribuinte a obrigação de fornecer uma série de informações, relativas a ele próprio, aos seus parceiros comerciais ou a negócios jurídicos por ele praticados, com o intuito de permitir a apuração e fiscalização dos tributos.
Conquanto um volume significativo dos dados que se encontram no âmbito das declarações eletrônicas do Sped se refira a informações econômicas de pessoas jurídicas, inclusive contribuintes, há situações em que dados pessoais de pessoas físicas igualmente são expostos ao Fisco, passando a compor o banco de dados da Administração Tributária. Sem pretensão de esgotar o tema, mas somente visando ilustrar algumas situações em que isso poderá ocorrer, podemos destacar: (i) na Nota Fiscal do Consumidor eletrônica (NFC-e), documento fiscal no qual se registram operações mercantis destinadas a consumidor final, poderá constar a discriminação não apenas do CPF do consumidor, como também quais produtos foram adquiridos, data de aquisição, valor pago e o estabelecimento onde foi adquirido; (ii) na Escrituração Contábil Fiscal (ECF), o Registro Y600 (“Identificação e Remuneração de Sócios, Titulares, Dirigentes e Conselheiros”) contém informações sobre os sócios, dirigentes e conselheiros ou dos titulares que tenham recebido maiores remunerações no período da ECF, como CPF, participação social, função etc.; (iii) na Escrituração Fiscal Digital para apuração do ICMS e do IPI, há informações sobre dados pessoais dos fornecedores ou adquirentes – pessoas físicas ou jurídicas – no Registro 0150 (“Tabela de Cadastro do Participante”), bem como informações sobre as operações mercantis realizadas entre o contribuinte e essas pessoas no Bloco C (“Documentos fiscais relativos a operações de circulação de mercadorias”); (iv) sem contar as informações relativas a direitos trabalhistas e previdenciários (v.g., os eventos S-2200 a S-2400) constante no eSocial; dentre outras.
Embora não seja necessário o consentimento do titular das informações para que o controlador possa realizar o tratamento dos dados obtidos de terceiros para cumprimento de suas obrigações (pois destina-se estritamente ao cumprimento de obrigação legal), deve o contribuinte, ainda assim, tendo em vista uma adequada política de compliance tributário, zelar para garantir a integridade das informações protegidas pela LGPD (dados pessoais) e de seus parceiros comerciais, garantindo a integridade de suas informações.
É verdade que muitos procedimentos e adequações já têm sido adotados pelos contribuintes, na implementação de uma política de compliance eficiente na gestão de informações fiscais. Ainda assim, há uma série de medidas para adequações no compliance digital e tributário para garantir plena aderência à LGPD, exigindo-se a adequação dos processos de governança corporativa da empresa aos procedimentos necessários para a implementação de um adequado compliance digital[3], como investimentos, por vezes significativos, em aquisição ou atualização de ferramentas de segurança da informação, revisão de procedimentos e fluxos de dados pessoais, com aplicação de mecanismos de controle e trilhas de auditoria, mudança cultural da empresa etc., tudo isso com vistas à vasta base de dados de informações fiscais hoje em posse das empresas.
Com a informatização fiscal, o volume de dados sob tratamento pelos contribuintes e entregue ao Fisco não pode ser ignorado e impõe que as empresas se adequem para conferir a mesma proteção às informações fiscais que dão para as demais informações pessoais de seus clientes e parceiros. Vivemos hoje a sociedade da informação e o custo para o acesso a essa informação é o compromisso de protegê-la, pelo cumprimento dos comandos da LGPD em sua exata dimensão. Dever que não é apenas do Fisco, mas de toda a sociedade.