Nos últimos meses, muito se tem falado sobre o impacto da Lei Geral de Proteção de Dados (LGPD) nos diferentes ramos do direito, inclusive no direito tributário. A grande preocupação que envolve o tema é sobre a necessidade de resguardar o sigilo das informações fiscais prestadas pelos contribuintes à União, aos Estados, ao Distrito Federal e aos Municípios, especialmente no âmbito do Sistema Público de Escrituração Digital (SPED).
A LGPD, Lei nº 13.709 de 2018, produziu efeitos a partir de Set/20. Ela trouxe uma nova dinâmica para tratamento dos dados pessoais, fazendo com que haja proteção, limites e acompanhamento acerca do uso de dados em si, protegendo o direito dos respectivos titulares. Isso ocorre na esfera privada e na pública.[1]
Primeiramente, é necessário entender o que significa a expressão “tratar dados”. Nas palavras da professora Patrícia Peck Pinheiro, seria “toda operação realizada com algum tipo de manuseio de dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, edição, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”[2], ou seja, qualquer manuseio de informações”. Portanto, qualquer ação ou condição relativa aos dados.
Os “dados pessoais” são qualquer informação identificada ou identificável de um indivíduo. Noutros dizeres, qualquer informação que junta ou separada seja capaz de identificar uma pessoa.
Contudo, é preciso examinar os limites da possibilidade de compartilhamento dos dados dos contribuintes no cumprimento dos chamados “deveres instrumentais”[3] – comumente conhecidos como obrigações acessórias.
Essas “obrigações acessórias” contribuem no exercício das atividades de arrecadação e fiscalização dos tributos. Por meio do cumprimento dessas “obrigações” por parte dos contribuintes, os órgãos fazendários dos entes federativos podem agrupar os dados disponibilizados para averiguação preliminar da incidência tributária e do cumprimento de todos os deveres legais.
Nesse ponto, a EC nº 42/2003, inseriu o inciso XXII ao art. 37 da CF/88. A norma determina às administrações tributárias dos entes federativos atuarem de forma integrada, inclusive com o compartilhamento de cadastros e de informações fiscais, na forma da lei ou convênio.
Tanto que o SPED foi instituído pelo Decreto nº 6.022/07, integrando o Programa de Aceleração do Crescimento do Governo Federal (PAC 2007-2010). À época, representou um avanço significativo na informatização da relação entre os fiscos e os contribuintes.
Nos termos do art. 5º desse Decreto, o SPED deve ser administrado pela Secretaria da Receita Federal (SRF) com a participação de usuários, que são os representantes indicados pelas administrações tributárias dos Estados, do Distrito Federal e dos Municípios, inclusive dos órgãos e entidades da administração pública federal direta e indireta.
Entre outras atribuições, consoante prescreve o art. 6º do Decreto em comento, compete à SRF: determinar a política de segurança e de acesso às informações armazenadas no SPED.
Ademais, importa registar que o Decreto já, de certo modo, previa, nos idos de 2007, a proteção dos dados do contribuinte, pois, em seu art. 4º prescreve que: “O acesso às informações armazenadas no Sped deverá ser compartilhado com seus usuários, no limite de suas respectivas competências e sem prejuízo da observância à legislação referente aos sigilos comercial, fiscal e bancário”.
Ainda no que concerne ao SPED, desde a sua implementação, muito se discute sobre a vulnerabilidade dos contribuintes e a modernização dos processos de escrituração contábil e fiscal, objetivando a integração dos entes federativos, o que possibilitaria a troca de informações entre os fiscos, para melhor auditar as movimentações fiscais e exigência de tributos a partir de um leiaute padrão.
Em outras palavras, ao mesmo tempo que as informações eletrônicas declaradas no âmbito do SPED trazem um aperfeiçoamento no combate à sonegação por parte dos contribuintes; essas informações também possibilitam a troca de informações entre os entes federados e isto é algo que pode deixar os contribuintes vulneráveis, uma vez que todos os seus dados, ainda que sem a sua autorização, estarão expostos à todos os entes federativos, podendo, inclusive, acontecer, a depender de como a situação caminhe, quebra de sigilo comercial, fiscal e bancário.
Além disso, em sua ânsia arrecadatória, o fisco (seja federal, estadual ou municipal) poderá se utilizar os dados dos contribuintes sem a devida e comprovada justificativa, valendo-se do “argumento” de que está usando os dados em prol de suas atribuições fiscalizatórias inerentes a sua função pública.
Desse modo, entendemos que a LGPD deveria proteger a troca de informações entre os fiscos e, por conseguinte, proteger o contribuinte. Nesse contexto, a conexão entre a LGPD e o SPED é inerente ao ambiente tributário atual. Vejamos!
O art. 23 da LGPD dispõe sobre o tratamento – até mesmo o compartilhamento – de dados pessoais pelo poder público. É nesse cenário que precisamos compreender o quanto a lei contribui para limitar a esfera de atuação da administração pública, ou, ainda, proibir determinadas ações sobre os dados pessoais.
Se partirmos da premissa trazida pelo retro dispositivo legal, há clara observância aos princípios constitucionais prescritos no art. 37 da CF/88[4]. Nas palavras do professor Miguel Reale: “Princípios são, pois verdades ou juízos fundamentais, que servem de alicerce ou de garantia de certeza a um conjunto de juízos, ordenados em um sistema de conceitos relativos à dada porção da realidade. Às vezes também se denominam princípios certas proposições, que apesar de não serem evidentes ou resultantes de evidências, são assumidas como fundantes da validez de um sistema particular de conhecimentos, como seus pressupostos necessários”[5]. Assim, não se pode negar que a administração pública, ao tratar os dados dos contribuintes, tem o dever de observar os princípios fundamentais trazidos pela norma constitucional.
Ainda nesse mesmo art. 23 da LGPD, tem-se também a obrigatoriedade de serem examinados alguns pressupostos, como: (i) atendimento à finalidade pública; (ii) persecução do interesse público; e (iii) execução, pelo interesse público, de suas competências legais ou cumprimento de suas atribuições.
Pelo raciocínio dos professores Márcio Cots e Ricardo de Oliveira, o “primeiro pressuposto depende do segundo, pois, a nosso ver, a finalidade, somente será ‘pública’ se o interesse for ‘público’, isso, logicamente, porque estamos tratando de entidades governamentais”. [6]
Quando falamos em compartilhamento de dados, importante ressaltar que a finalidade da “execução de políticas públicas”, tida como regra para legitimar o compartilhamento de dados entre entes públicos, deve respeitar os limites do princípio da finalidade.
Ainda de acordo com o art. 23 da LGPD, alguns requisitos são estabelecidos para o tratamento de dados pelos entes públicos. Primeiramente, o ente público deverá publicar (em seu site, por exemplo) de forma clara e precisa as informações relativas ao tratamento de dados, inclusive ao compartilhamento, trazendo as regras de finalidade, a previsão legal que legitima o tratamento, os procedimentos utilizados, bem como todos os requisitos do inciso I, desse mesmo artigo.
Ademais, deverá ser indicado um encarregado dos dados, conforme as regras dos art. 39 da LGPD.
Já a regra trazida pelo art. 26 é clara sobre como podem ser compartilhados os dados pessoais pelos entes públicos. Nesse cenário, é preciso haver um balanceamento com as diretrizes do art. 7º da Lei de Acesso à informação.
Nesse sentido, “a necessidade de compartilhamento não pode ser criada pelo ente receptor ou ente público desatrelada de pressupostos fáticos e lógicos que a justifique”[7].
Seguindo por essa lógica, podemos observar que não basta que o compartilhamento possua uma base legal, atenda as finalidades de execução de políticas públicas e provenha de atribuição legal do órgão ou entidade pública.[8]
De acordo com o juiz Fernando Tarso, baseado nos ensinamentos do professor Bruno Bioni, é necessário equilíbrio, que pode ser alcançado através do chamado teste de proporcionalidade da operação de tratamento ou compartilhamento de dados pessoais baseado nos princípios constitucionais que regem a administração pública e nos princípios de proteção de dados previstos na LGPD.[9]
O teste de proporcionalidade se dá pela observância de todos os princípios legais e constitucionais que regem o tratamento de dados. Apenas com a observância de todos esses princípios se pode legitimar o compartilhamento de dados pela administração pública.
Na falta de um deles, o teste de proporcionalidade não se consuma, e esse compartilhamento pode ser considerado fora dos limites estritos da lei.
Desse modo, verifica-se que “cabe ao poder público a garantia de que o uso compartilhado de dados segue propósitos especiais que concernem a execução das políticas públicas e que, ao mesmo tempo, ponderação entre a necessidade de publicidade das informações disponíveis ao acesso garante que os direi os dos titulares sejam respeitados”.[10]
Cabe mencionar que no âmbito do SPED existem algumas espécies de documentos fiscais eletrônicos[11], entre os quais encontra-se a Nota Fiscal Eletrônica (NF-e).
Compreendemos que os entes federativos estão começando a proteger os dados dos contribuintes em conformidade com a LGPD. À giza de exemplo, vislumbramos a Portaria RFB nº 12/21, que altera a Portaria RFB nº 2.189/17. A nova Portaria revoga, a partir do dia 1º de junho de 2021, a autorização de acesso de terceiros ao conjunto de dados e informações relativos à NF-e, em conformidade com o processo de identificação de risco institucional e sigilo individual (LGPD).
Em termos práticos, o documento não estará mais disponível para qualquer pessoa, sendo que a consulta completa da NF-e somente será possível mediante autorização do emitente e certificado digital.
Examinamos, com isso, que isto já é um passo, ainda que pequeno, em direção ao cumprimento da LGPD. Mas algumas questões ficam em aberto.
A esperança do contribuinte, de que o tema acima mencionado poderá ser analisado pelo Governo, pode ser depositada no Comitê Estratégico de Privacidade e Proteção de Dados Pessoais no âmbito do Ministério da Economia, o qual foi instituído, no dia 20.04.21, pela Portaria ME nº 4.424, cujo objetivo é o cumprimento das disposições da LGPD.
Como a Receita Federal do Brasil é um órgão subordinado ao Ministério da Economia, o que for decidido pelo Comitê poderá ser cumprido pelo Fisco Federal e isto será um grande passo na caminhada em cumprimento à LGPD. Isso é uma primeira iniciativa no âmbito federal, resta acompanhar as demais medidas, inclusive no âmbito estadual ou municipal.
*Aline Melsone Marcondes Trivino, mestranda em Direito Penal pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Especialista em Direito Penal e Processo Penal pela Academia Brasileira de Direito Constitucional (2010). Professora na Universidade Presbiteriana Mackenzie, na disciplina de Crimes Informáticos e Ferramentas de Compliance Aplicado. Consultora em Lei Geral de Proteção de Dados e Compliance. Coordenadora de Compliance e Jurídico Interno. Advogada inscrita na OAB/PR
*Claudia Abrosio, mestranda em Direito Constitucional e Processual Tributário pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Especialista em Direito Tributário pelo Instituto Brasileiro de Estudos Tributários (IBET). Advogada tributarista inscrita na OAB/SP
*Rayane Dornelas Sukar, mestranda em Direito Tributário pela Pontifícia Universidade Católica de São Paulo (PUC-SP). Especialista em Direito Tributário pelo Instituto Brasileiro de Estudos Tributários (IBET). Especialista em Direito Administrativo pela Universidade Federal de Pernambuco (UFPE). Bolsista do CNPq – Brasil. Membro da Comissão de Direito Tributário e da Comissão de Direito Digital da 33.ª subseção da OAB/SP. Advogada tributarista inscrita na OAB/SP e OAB/PE
[1] A Lei nº 13.709 de 2018 traz um capítulo inteiro (arts. 23 a 30) que visa regulamentar o modo como as esferas públicas devem fazer esse tratamento.
[2] PINHEIRO, Patrícia Peck. Proteção de dados pessoais: comentários a Lei 13.709/2018. São Paulo: Saraiva Jur, 2020. p. 25.
[3] “Nossa preferência recai, por isso, na expressão deveres instrumentais ou formais. Deveres, com o intuito de mostrar, de pronto, que não têm essência obrigacional, isto é, seu objeto carece de patrimonialidade. E instrumentais ou formais porque, tomados em conjunto, é o instrumento de que dispõe o Estado-Administração para o acompanhamento e consecução dos seus desígnios tributários. […] tais deveres representam o meio de o Poder Público controlar o fiel cumprimento da prestação tributária, finalidade essencial na plataforma da instituição do tributo. (CARVALHO, Paulo de Barros. Curso de direito tributário. 23. ed. São Paulo: Noeses, 2011. p. 362).
[4] Art. 37. A administração pública direta e indireta de qualquer dos Poderes da União, dos Estados, do Distrito Federal e dos Municípios obedecerá aos princípios de legalidade, impessoalidade, moralidade, publicidade e eficiência e, também, ao seguinte: […]
[5] REALE, Miguel. Filosofia do Direito. 11 ed. São Paulo: Saraiva, 1986.
[6] COTS, Marcio e OLIVEIRA, Ricardo. Lei Geral de Proteção de Dados Comentada. Revista dos Tribunais. 2 ed. 2019. p.138.
[7] Ibid., p.148.
[8] Ibid., p. 138.
[9] BIONI, Bruno. Proteção de dados Pessoais no Setor Público. Aula do curso de extensão do Data Privacy Brasil. São Paulo. Dez 2018.
[10] PINHEIRO, Patrícia Peck. Proteção de dados pessoais. Comentários a Lei 13.709/2018. Ed Saraiva JUr. p. 88.
[11] ECD, ECF, EFD-Contribuições, EFD-ICMS/IPI, e-Financeira, e-Social, etc.
O ESTADOD E S. PAULO