19/8/2021
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018), ou, simplesmente, “LGPD”, cujo alcance é multidisciplinar e ilimitado, tem seus regramentos aplicados ao tratamento de dados pessoais, no meio físico ou digital, por pessoa natural ou por pessoa jurídica de direito público ou privado.
Embora a LGPD esteja em vigor desde 18 de setembro de 2020, as penalidades e sanções no âmbito da lei passaram a vigorar desde 1º de agosto de 2021, sendo passíveis de aplicação pela ANPD (Autoridade Nacional de Proteção de Dados).É fato que, muito antes disso, outros órgãos, como por exemplo os Tribunais, Procon, Secretaria Nacional do Consumidor – Senacon, Ministério Público, já vinham aplicando a lei e determinando o ressarcimento de danos nos casos de violação da LGPD.
Diante disso, a conformidade das práticas e dos procedimentos internos à LGPD tem se mostrado um fator determinante, não somente como diferencial concorrencial, como também na busca de redução de riscos, limitação de responsabilidades e mitigação de sanções. Por isso, as empresas vêm tomando consciência da necessidade de buscar a adequação de suas organizações.
O legislador estabelece que as medidas devem ser adotadas levando em conta sua “estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados”. Por consequência, considerando o escopo de cada negócio, os projetos de adequação à LGPD demandam investimento em infraestrutura, capacitação e treinamento, e, ainda, a implantação de programa de governança e boas práticas em proteção de dados pessoais, privacidade e sigilo da informação, elaboração jurídica de documentos, upgrade de ambiente computacional, digitação, digitalização, parametrização de sistemas, trabalhos de saneamento de base de dados, conciliação ou validação das informações geradas pelo negócio e muito mais.
Tais medidas serão, em determinado momento, eventualmente fiscalizadas pela ANPD e consideradas atenuantes nos casos de incidentes de segurança, visto que a lei determina claramente que “sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD”.
A novidade é que tais gastos com implementação e manutenção de programas para conformidade com a LGPD e o gerenciamento de dados já estão sendo objeto de discussão no Judiciário na seara tributária.
O debate que tem sido empreendido envolve a possibilidade de as empresas tomarem créditos de PIS e COFINS sobre as referidas despesas. O principal argumento para sustentar essa tese é o de que os referidos gastos, por serem necessários para o regular desenvolvimento das atividades das empresas, se enquadrariam no conceito de insumo, sobre o qual está autorizado o mencionado creditamento.
A possibilidade de se expandir o conceito de insumo – para nele se abranger uma série de gastos que um tempo atrás sequer eram cogitados – vem ganhando força em razão do entendimento firmado pelo Superior Tribunal de Justiça (“STJ”) quando do exame do Recurso Especial nº 1.221.170/PR, julgado sob a sistemática dos recursos repetitivos, no sentido de que, para fins da mencionada conceituação, cada despesa deve ser individualmente examinada a fim de se verificar se atende aos critérios de “essencialidade” e “relevância” em relação à atividade que é desenvolvida pela empresa.
Apesar de haver bastante divergência na jurisprudência no tocante a quais despesas podem, de fato, se afigurar como essenciais e relevantes para uma empresa, tem se verificado decisões que, sensíveis às necessidades e ao dia a dia daquelas, vem validando o creditamento de despesas “novas”, que são incorridos cada vez mais pelas empresas nos dias de hoje, como ocorre, por exemplo, com os gastos com máquinas de cartão de crédito, marketing e inerentes à LGPD. É nessa toada que, recentemente, foi proferida decisão, na 4ª Vara Federal de Campo Grande, determinando ao Fisco que considere como insumo as despesas incorridas por contribuinte para o cumprimento da Lei nº 13.709/2018, autorizando-lhe a respectiva tomada de créditos de PIS e COFINS.
Para sustentar a referida conclusão, o Juiz que proferiu a decisão tratou de consignar, a respeito dos gastos necessários ao cumprimento das obrigações relacionadas com a LGPD, in verbis, que “tratando-se de investimentos obrigatórios, inclusive sob pena de aplicação de sanções ao infrator das normas da referida Lei 13.909/218, estimo que os custos correspondentes devem serem quadrados como insumos, nos termos do procedente acima citado. Com efeito, o tratamento dos dados pessoais não fica a critério do comerciante, devendo então os custos respectivos serem reputados como necessários, imprescindíveis ao alcance dos objetivos comerciais”.
A referida decisão, apesar de ter sido proferida em primeira instância e ainda não ser definitiva, representa certamente uma vitória aos contribuintes, além de avalizar a importância da LGPD para as empresas.
Coautoria de: Denise de Araújo Berzin Reupke e Alessandra Oliveira De Simone
