Ana Aline Dantas*
A Lei n.º 13.709 de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD) – tem por finalidade estabelecer a forma sobre como as pessoas físicas e jurídicas poderão utilizar, tratar e realizar a coleta de dados pessoais no Brasil, além de estruturar os direitos individuais aos titulares dos dados pessoais.
Segundo o art. 5º da LGPD, caracteriza-se dado pessoal toda informação vinculada à pessoa natural identificada ou identificável. Classifica-se ainda como “sensível” o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Os dados pessoais considerados como sensíveis são alvo de proteção ainda mais rígida pela referida lei, uma vez que podem ocasionar discriminação de alguma natureza em relação ao seu titular.
Através dessa diferenciação definida entre dados pessoais e dados pessoais sensíveis, a legislação estabelece diversas premissas para que o tratamento desses elementos seja apropriado, passando pela admissão de fundamentos e princípios (respeito à privacidade, inviolabilidade da intimidade, honra e imagem, finalidade, adequação, dentre outros), fixação de requisitos para a sua coleta (por exemplo, o consentimento no caso de tratamento de dados pessoais sensíveis) e, ainda, aplicação de sanções em caso do descabido uso das informações coletadas, como vazamentos e descarte inadequado.
Coleta de dados por entes públicos
Outrossim, em se tratando de órgãos da Administração Pública, o acesso aos dados pessoais, sensíveis ou não, detém amplitude muito maior, considerando que, nos termos da própria LGPD, o tratamento por esses usufrui de compartilhamento entre entes públicos e cooperação internacional.
Compartilhamento de cadastros e de informações fiscais
No que se refere às disposições legais relativas à matéria tributária e a utilização de dados, o art. 37 da Constituição Federal determina que as administrações tributárias da União, dos Estados, do Distrito Federal e dos Municípios, atuarão de forma integrada, inclusive com o compartilhamento de cadastros e de informações fiscais, na forma da lei ou convênio.
Por seu turno, o art. 199 do Código Tributário Nacional (CTN) flexibiliza o dever de sigilo fiscal ao autorizar que as Administrações Tributárias da União, dos Estados, do Distrito Federal e dos Municípios troquem entre si informações protegidas ou não por sigilo fiscal, desde que haja previsão em tratados, acordos ou convênio.
Com amparo na Lei Geral de Proteção de Dados Pessoais (LGPD) que o Fisco, como autoridade fazendária e responsável pelo controle de pagamento de impostos em todas as esferas tributárias do país, pode realizar a coleta de dados pessoais e o tratamento sem a necessidade do consentimento do titular.
Não obstante, se faz necessário relembrar que a desnecessidade de consentimento não configura passe livre para agir como quiser. Entre as obrigações postas estão o dever de transparência, o direito do titular de obter o acesso, retificação e eliminação de seus dados pessoais e a obrigação de adotar medidas de segurança, organizacionais e técnicas para proteção das informações pessoais.
Impacto no direito tributário
Desse modo, para o direito tributário, a legislação também exerce um impacto inegável, pois detém o objetivo do tratamento adequado das informações de cunho pessoal, especialmente aquelas que podem acarretar discriminação do titular de alguma forma, ou seja, as novas regras contagiam diretamente processos relativos aos contribuintes como um todo.
Diante desse cenário, a prestação de informações fiscais passou a ser realizada em um nível extremamente analítico, permitindo a formação de banco de dados sem precedentes, o que se faz a partir do conjunto de informações que devem ser consignadas em arquivos disponibilizados pela Receita Federal do Brasil.
No que se refere ao cumprimento das obrigações acessórias, a legislação compele ao contribuinte a obrigação de fornecer uma gama de informações relativas a ele próprio, aos seus parceiros comerciais ou a negócios jurídicos por ele praticados, com o intuito de permitir a apuração e fiscalização dos tributos.
Objetivando ilustrar algumas situações em que a coleta de dados pessoais, sensíveis ou não, poderá ocorrer no âmbito tributário, pode-se destacar:
- A Nota Fiscal do Consumidor eletrônica (NFC-e)
Documento fiscal no qual se registram operações mercantis destinadas a consumidor final, poderá constar a discriminação não apenas do CPF do consumidor, como também quais produtos foram adquiridos, data de aquisição, valor pago e o estabelecimento onde foi adquirido.
- Na Escrituração Fiscal Digital
Para apuração do ICMS e do IPI, há informações sobre dados pessoais dos fornecedores ou adquirentes – pessoas físicas ou jurídicas.
- A Escrituração Contábil Fiscal (ECF) e o Registro Y600 (“Identificação e Remuneração de Sócios, Titulares, Dirigentes e Conselheiros”)
Contém informações sobre os sócios, dirigentes e conselheiros ou dos titulares que tenham recebido maiores remunerações no período da ECF, como CPF, participação social, função.
- eSocial
Além disso, há informações relativas a direitos trabalhistas e previdenciários constantes no eSocial.
A obrigatoriedade do fornecimento das informações em questão não isenta o contribuinte de implementar, no âmbito de sua organização, mecanismos para assegurar que o processo de coleta, utilização e descarte de dados pessoais – sensíveis ou não – seja efetivado de maneira adequada e segura, dentro dos termos da Lei Geral de Proteção de Dados Pessoais (LGPD).
Nesse contexto, a adoção de políticas de compliance tributário surge como solução para prevenir e remediar eventuais situações de exposição indevida de dados, protegendo, assim, tanto os titulares dos dados pessoais quanto os operadores e encarregados de seu tratamento.
São exemplos de políticas eficientes: a contratação de sistemas adequados para gestão e descarte de dados, geridos por pessoal encarregado do tratamento de tais informações, mitigação do acesso às informações no âmbito da organização e a confecção periódica de relatórios de conformidade e gestão de riscos, para mapeamento e neutralização de ameaças.
Ana Aline Dantas: Profissional de TI, membro da ANPPD e advogada integrante da Comissão de Privacidade e Proteção de Dados da OAB PE, especializada em Segurança da Informação, voltado para área de gestão estratégica em controles de segurança orientado pelas normas ISO/IEC 27001, 27002, 27005, 27701. Profissional focada na Privacidade e Proteção de Dados Pessoais, com conhecimentos aprofundados em LGPD (Lei 13.703/2018) e GDPR (Regulamento Europeu), atuando na adequação de normas de privacidade, garantindo a proteção dos dados pessoais e direitos dos titulares.
