Por Iara Coimbra Teixeira e Amanda Clara Moniz Carvalho
A Lei Geral de Proteção de Dados, inspirada na General Data Protection Regulation (GDPR) do direito europeu, foi sancionada em 14 de agosto de 2018, e tornou-se efetiva em 1º de agosto de 2021, passado o período de vacatio legis.
Com o objetivo de oferecer à pessoa natural maior segurança em relação ao tratamento de seus dados identificados ou identificáveis, além de promover desenvolvimento tecnológico às empresas brasileiras, tal lei é uma referência jurídica inédita no ordenamento brasileiro, de forma que é aplicável tanto em instituições públicas e privadas quanto para pessoas físicas ou jurídicas.
Em relação à quem se aplica, a LGPD vincula pessoas físicas ou jurídicas que realizam tratamentos de dados no território nacional, com dados coletados no território nacional ou através da oferta de bens e serviços para indivíduos localizados no Brasil. A lei, porém, dispensa o enquadramento de pessoas físicas que compartilham dados para fins particulares e não econômicos, ou pessoas físicas e jurídicas que tratam dados para fins jornalísticos, artísticos, acadêmicos, segurança pública ou defesa nacional.
Considera-se a lei em questão como principiológica, visto que é norteada, principalmente, pelos seguintes princípios: a) finalidade; b) adequação; c) necessidade; d) livre acesso; e) transparência; f) segurança; g) prevenção; h) não discriminação; i) qualidade dos dados; j) responsabilidade e prestação de contas.
Sob a ótica empresarial, as instituições devem se atentar principalmente às questões relacionadas ao consentimento do titular de dados, ou seja, é necessário que o cliente permita, explicitamente, que a empresa tenha acesso e realize o tratamento de seus dados pessoais. Além disso, a finalidade do tratamento dos dados também deve ser legítima, específica, explícita e informada ao titular. Não é permitido à empresa alterar a finalidade das informações sem que haja consentimento do titular. Também é devido se atentar aos direitos dos clientes, sendo eles: o acesso fácil e imediato aos dados compartilhados, a possibilidade de correção, exclusão ou anonimização desses, entre outros.
Resumidamente, para que uma empresa implemente a LGPD no seu ambiente interno, é necessário a) o mapeamento dos dados, ou seja, saber quais dados são necessários para funcionamento da empresa e quais já estão em seu domínio; b) a reformulação de contratos de forma que os tornem mais objetivos e transparentes; c) reformulação das políticas internas aliadas à governança em privacidade; d) adoção de medidas de segurança, tais quais criptografia, barreiras virtuais, backups, atualização periódica de senhas; e) a conscientização dos colaboradores em relação à nova cultura de privacidade; f) a designação de um responsável pela proteção dos dados e para a implementação da lei.
O advento da LGPD no ordenamento jurídico brasileiro, em especial no âmbito tributário das grandes empresas, serviu de instrumento disponível aos contribuintes para exigirem que seus dados sejam tratados com responsabilidade e segurança.
As informações compartilhadas entre as empresas e o Fisco, sobretudo aquelas que desnudam o contribuinte, são requeridas de forma detalhada, além de serem transmitidas em tempo real e por meio eletrônico, através de sites e aplicativos. Essa característica moderna de conexão coloca o contribuinte vulnerável caso seja feita de forma deliberada e com excesso de “transparência”. Isso pôde ser percebido quando o Supremo Tribunal Federal foi influenciado por esse novo ambiente de transparência que mitigou, em muitos casos, a privacidade dos usuários. A título de exemplo, a Lei Complementar nº 105, em 2001, permitiu o compartilhamento de informação bancária dos contribuintes com a Receita Federal, sem ressalvas e critérios de proteção.
Mesmo antes da vigência da LGPD, o artigo 37 da Constituição Federal, em seu inciso XXII, estabelecia que as administrações tributárias da União, dos Estados, do Distrito Federal e dos Municípios, terão recursos prioritários para a realização de suas atividades e atuarão de forma integrada, inclusive com o compartilhamento de cadastros e informações fiscais, na forma da lei ou convênio, obedecendo aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência.
O Código Nacional Tributário, por sua vez, por meio de seu artigo 199, relativizou o sigilo fiscal ao estabelecer que a Fazenda Nacional da União, dos Estados, do Distrito Federal e dos Municípios, prestarão mutuamente assistência para a fiscalização dos tributos respectivos e permuta de informações, em caráter geral ou específico, por lei ou convênio.
Com a promulgação da LGPD, a legislação tributária teve impactos inegáveis. Sob a ótica do Fisco, ele, enquanto autoridade fazendária e responsável pela manutenção do pagamento de impostos em todas as esferas tributárias do país, com respaldo desse novo instrumento, pode coletar e tratar dados pessoais sem a prerrogativa de consentimento do titular. Contudo, isso não significa que o Fisco poderá agir como bem entender. A empresa, titular da obrigação tributária, por sua vez, tem o direito de obter o acesso, a retificação e a eliminação de seus dados pessoais, bem como adotar medidas de segurança para a proteção de seus dados pessoais.
Isso significa que o cuidado aumentou expressivamente na prestação de informações fiscais a serem disponibilizadas à Receita Federal. Por outro lado, é dever do contribuinte fornecer informações sobre ele próprio, sobre seus parceiros comerciais e sobre negócios jurídicos por ele celebrados, com o objetivo de permitir ao Fisco que faça apuração e fiscalização dos tributos.
Tal obrigatoriedade de fornecer informações elencadas não preserva o contribuinte de estabelecer e disseminar, no âmbito interno de sua organização, métodos para assegurar que a coleta, utilização e descarte de dados seja realizado adequada e seguramente, nos termos da LGPD.
A Receita Federal entende que o sigilo fiscal já protege os dados obtidos de contribuintes e terceiros. Para o Fisco, a LGPD, dificilmente, pode impactar negativamente a atividade do órgão. Para o contribuinte, ela pode servir como instrumento para questionar obrigações acessórias que contenham informações alheias ao interesse do Fisco.
Vale lembrar que, na redação da lei que protege os dados, está previsto que haja justificativa sobre o motivo daquela base de dados ser solicitada. Ainda que, como visto anteriormente, o Fisco não necessita do consentimento do contribuinte para coletar e tratar dos dados deste, ele deve explicar o porquê de solicitar as informações que ele julga serem necessárias ao deslinde da tributação.
O compartilhamento de informações e o uso de dados devem ser realizados seguindo a boa-fé, a necessidade e harmonia entre o sigilo fiscal prestigiado pela LGPD com a transparência do Fisco.