Em 18 de setembro de 2020 entrou em vigor a Lei Geral de Proteção de Dados Pessoais - n. 13.709 (n. (“LGPD”).
A LGPD tem como objetivo regulamentar a forma sobre como as organizações poderão a utilizar dados pessoais no Brasil e consolida uma série de direitos individuais aos titulares dos dados pessoais.
Que dados seriam esses? Qualquer informação relacionada à uma pessoa física. Por exemplo: CPF. RG, informações de documentos pessoais, localização.
Expressamente a Lei 13.709/2020 trata dado pessoal como "informação relacionada a pessoa natural identificada ou identificável" e dado pessoal sensível como "Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural" (Art. 5º, I e II).
Entre as obrigações dispostas estão o dever de transparência, ao direito do titular de obter o acesso, retificação e eliminação de seus dados pessoais, entre outros direitos dados, obrigação de adotar medidas de segurança, organizacionais e técnicas, para proteger os dados pessoais.
E como ficam os dados dos contribuintes em geral? Já existe alguma adequação da Administração Pública À LGPD?
Vamos dar um passo para trás. Antes da LGPD, vieram a Lei do Sigilo Bancário (LC 105/2001), com a previsão de compartilhamento de dados entre instituições financeiras e a Receita Federal sem a necessidade de uma decisão judicial prévia; e a introdução do inciso XXII ao art. 37 da Constituição Federal, que prevê a atuação integrada da Administração Tributária.
O artigo da CF citado estabelece que as administrações tributárias da União, dos Estados, do Distrito Federal e dos Municípios, atuarão de forma integrada, inclusive com o compartilhamento de cadastros e de informações fiscais, na forma da lei ou convênio.
Por sua vez, o artigo 199 do CTN flexibiliza o dever de sigilo fiscal ao autorizar que as Administrações Tributárias da União, dos Estados, do Distrito Federal e dos Municípios permutem entre si informações protegidas ou não por sigilo fiscal, desde que haja previsão em tratados, acordos ou convênio.
Em 2016, o Supremo Tribunal Federal reconheceu a constitucionalidade do envio de informações pelas instituições financeiras à Receita Federal com base nos arts. 5º e 6º da LC 105/2001 e seus decretos regulamentadores. Em 2019, a Corte chancelou o compartilhamento amplo e irrestrito de dados entre a Receita e o Ministério Público Federal, para fins penais, e com o Coaf.
Preponderou o interesse público – proteção da arrecadação tributária e o combate ao crime organizado – sobre o sigilo, a privacidade e a intimidade, tendo como premissa que a troca e o compartilhamento dentro da estrutura pública seria uma transferência de sigilo, não a sua quebra.
O que se vê é um amplo compartilhamento de dados e informações. entre diversos órgãos públicos e administração tributária antes da Lei 13709/2020 e confirmada por esta que autoriza o Fisco a tratar de dados pessoais para o cumprimento de obrigação legal ou regulatória pelo controlador (inciso II), pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres (inciso III) , para o exercício regular de direitos em processo judicial, administrativo ou arbitral (inciso VII).
Ou seja, o Fisco tem autorização para tratar dados pessoais sem o consentimento do titular, ainda que deva fornecer informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e práticas utilizadas para a execução das atividades referidas acima (artigo 23, LGPD).
Em setembro de 2020, a Receita publicou uma portaria (4255/2020) alterando o processo para a disponibilização a terceiros de dados e informações presentes na Nota Fiscal Eletrônica (NF-e). Antes, por disposição da portaria 2189/2017, para essa disponibilização não havia a necessidade de um processo de análise de risco.
Se por um lado a Receita dá a entender que a lei está em vigor, por outro deixa lacunas, não especificando, por exemplo, que terceiros seriam esses ou mesmo se a Lei vai prejudicar o acesso de empresas a informações públicas que são essenciais para o negócio.
Sem a devida transparência sobre como os dados são utilizados, os riscos não podem ser nem suficientemente identificados nem mitigados.
Permanecemos na mesma.
Fernanda Dias Nogueira – advogada tributarista, especialista em Gestão de Tributos e Planejamento Tributário pela FGV/SP, sócia do escritório Machado Nogueira Advogados, Podcaster “Em pauta, com Fernanda Nogueira” e autora do blog “Tributário na prática”, Conselheira Titular do Instituto de Direito Tributário do Piauí e Criadora do Método Tributário na Prática