A Proteção de Dados tem sido uma tendência mundial e esse movimento se intensificou em virtude dessa proteção ter sido regulamentada nos países da União Europeia que, além de já se preocuparem há muito tempo com o assunto, resolveram instituir que todas as empresas precisariam ter uma política clara quanto a preservação dos dados.
A Lei nº 13. 709/2018, conhecida como Lei Geral da Proteção de Dados (LGPD), veio para aderir o Brasil ao movimento mundial e modificar a relação entre usuários e detentores de dados, impondo maior atenção ao sigilo das informações pessoais coletadas do indivíduo, principalmente pelas empresas e pelas Autoridades Governamentais.
Dentre os dados coletados, tratados e armazenados, destacam-se os que irão exigir atenção redobrada da empresa, quais sejam: base de dados de clientes, banco de dados dos colaboradores e colaboradores; banco de currículos; dados fornecidos à seguradora do plano de saúde; dados compartilhados com a empresa responsável por fechar folha de pagamento; envio de dados para o sindicato e órgãos públicos; exames admissionais.
Vários departamentos precisarão se adequar aos procedimentos da LGPD, visando o melhor uso e preservação dos dados dos clientes, colaboradores e candidatos. Inclusive assegurar e exigir que os fornecedores e prestadores de serviço estejam adequados às demandas da LGDP.
As empresas precisam ser capazes de zelar e proteger os dados pessoais coletados, informando quais dados são armazenados e qual o percurso desses dados. Além disso, ao compartilhar os dados com fornecedores, tal ato deve ser de forma responsável, recomendando-se a revisão dos contratos dos prestadores de serviços, com o intuito de incluir as obrigações da LGPD no âmbito da proteção dos dados transferidos, assim como as responsabilidades no caso de infração ou vazamento. Lembramos que a responsabilidade da privacidade de dados incide sobre os fornecedores e prestadores de serviço que a empresa escolheu e selecionou, o que é comumente chamado em direito de responsabilidade in vigilando ou in eligendo.
O investimento das empresas em privacidade de dados pode variar, mas certamente serão contratadas assessorias especializadas, bem como novos recursos tecnológicos, para que as empresas se adequem à legislação. Se considerarmos que essas despesas seriam impostas pelo legislador para que a LGPD pudesse ser uma realidade nas empresas, para que fossem evitadas penalidades, principalmente da Agência Nacional de Proteção de Dados (ANPD), seria possível concluir que esses investimentos estariam dentro dos critérios de insumos para fins de crédito do PIS e da COFINS, na apuração não cumulativa dessas contribuições.
Vejamos o Parecer Normativo COSIT nº 5/2018, da Receita Federal, publicado em 18/12/2018:
Assunto. Apresenta as principais repercussões no âmbito da Secretaria da Receita Federal do Brasil decorrentes da definição do conceito de insumos na legislação da Contribuição para o PIS/Pasep e da Cofins estabelecida pela Primeira Seção do Superior Tribunal de Justiça no julgamento do Recurso Especial 1.221.170/PR.
Ementa. CONTRIBUIÇÃO PARA O PIS/PASEP. COFINS. CRÉDITOS DA NÃO CUMULATIVIDADE. INSUMOS. DEFINIÇÃO ESTABELECIDA NO RESP 1.221.170/PR. ANÁLISE E APLICAÇÕES.
Conforme estabelecido pela Primeira Seção do Superior Tribunal de Justiça no Recurso Especial 1.221.170/PR, o conceito de insumo para fins de apuração de créditos da não cumulatividade da Contribuição para o PIS/Pasep e da Cofins deve ser aferido à luz dos critérios da essencialidade ou da relevância do bem ou serviço para a produção de bens destinados à venda ou para a prestação de serviços pela pessoa jurídica.
Consoante a tese acordada na decisão judicial em comento:
a) o “critério da essencialidade diz com o item do qual dependa, intrínseca e fundamentalmente, o produto ou o serviço”:
a.1) “constituindo elemento estrutural e inseparável do processo produtivo ou da execução do serviço”;
a.2) “ou, quando menos, a sua falta lhes prive de qualidade, quantidade e/ou suficiência”;
b) já o critério da relevância “é identificável no item cuja finalidade, embora não indispensável à elaboração do próprio produto ou à prestação do serviço, integre o processo de produção, seja”:
b.1) “pelas singularidades de cada cadeia produtiva”;
b.2) “por imposição legal”.
Dispositivos Legais. Lei nº 10.637, de 2002, art. 3º, inciso II; Lei nº 10.833, de 2003, art. 3º, inciso II.
Partindo deste pressuposto, a Receita Federal reconhece que os gastos com itens essenciais para o desenvolvimento de um produto e um serviço podem ser entendidos como insumos para fins de crédito de PIS e COFINS não cumulativo.
Ato sequente, a LGPD determina que os produtos e os serviços devem utilizar uma metodologia internacionalmente conhecida como Privacy by Design, de autoria da Doutora Ann Cavoukian, ex Comissária de Informação e Privacidade da Província de Ontário e Diretora executiva do Instituto de Privacidade e Big Data da Universidade Ryerson, na qual a proteção de dados pessoais deve estruturada desde a concepção dos sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.
Ou seja, a privacidade de dados é mais do que uma mera recomendação. Ela deve fazer parte da estruturação técnica dos produtos e serviços. O não atendimento das empresas à LGDP pode expor os titulares de dados a prejuízos, bem como a sanções administrativas e judiciais.
Por fim, seria possível concluir que os investimentos na implantação da governança e privacidade de dados vão muito além do critério da “essencialidade” e constitui efetivo “elemento estrutural e inseparável do processo produtivo”, nos termos do Parecer Normativo COSIT nº 5/2018, levando a crer que seria possível a geração de créditos de PIS e COFINS, por se enquadrarem nos conceitos estabelecidos pela Receita Federal.