A Proteção de Dados tem sido uma tendência mundial e esse movimento se intensificou em virtude dessa proteção ter sido regulamentada nos países da União Europeia que, além de já se preocuparem há muito tempo com o assunto, resolveram instituir que todas as empresas precisariam ter uma política clara quanto a preservação dos dados.

A Lei nº 13. 709/2018, conhecida como Lei Geral da Proteção de Dados (LGPD), veio para aderir o Brasil ao movimento mundial e modificar a relação entre usuários e detentores de dados, impondo maior atenção ao sigilo das informações pessoais coletadas do indivíduo, principalmente pelas empresas e pelas Autoridades Governamentais.

Dentre os dados coletados, tratados e armazenados, destacam-se os que irão exigir atenção redobrada da empresa, quais sejam: base de dados de clientes, banco de dados dos colaboradores e colaboradores; banco de currículos; dados fornecidos à seguradora do plano de saúde; dados compartilhados com a empresa responsável por fechar folha de pagamento; envio de dados para o sindicato e órgãos públicos; exames admissionais.

Vários departamentos precisarão se adequar aos procedimentos da LGPD, visando o melhor uso e preservação dos dados dos clientes, colaboradores e candidatos. Inclusive assegurar e exigir que os fornecedores e prestadores de serviço estejam adequados às demandas da LGDP.

As empresas precisam ser capazes de zelar e proteger os dados pessoais coletados, informando quais dados são armazenados e qual o percurso desses dados. Além disso, ao compartilhar os dados com fornecedores, tal ato deve ser de forma responsável, recomendando-se a revisão dos contratos dos prestadores de serviços, com o intuito de incluir as obrigações da LGPD no âmbito da proteção dos dados transferidos, assim como as responsabilidades no caso de infração ou vazamento. Lembramos que a responsabilidade da privacidade de dados incide sobre os fornecedores e prestadores de serviço que a empresa escolheu e selecionou, o que é comumente chamado em direito de responsabilidade in vigilando ou in eligendo.

O investimento das empresas em privacidade de dados pode variar, mas certamente serão contratadas assessorias especializadas, bem como novos recursos tecnológicos, para que as empresas se adequem à legislação. Se considerarmos que essas despesas seriam impostas pelo legislador para que a LGPD pudesse ser uma realidade nas empresas, para que fossem evitadas penalidades, principalmente da Agência Nacional de Proteção de Dados (ANPD), seria possível concluir que esses investimentos estariam dentro dos critérios de insumos para fins de crédito do PIS e da COFINS, na apuração não cumulativa dessas contribuições.

Vejamos o Parecer Normativo COSIT nº 5/2018, da Receita Federal, publicado em 18/12/2018:

Assunto. Apresenta as principais repercussões no âmbito da Secretaria da Receita Federal do Brasil decorrentes da definição do conceito de insumos na legislação da Contribuição para o PIS/Pasep e da Cofins estabelecida pela Primeira Seção do Superior Tribunal de Justiça no julgamento do Recurso Especial 1.221.170/PR.
Ementa. CONTRIBUIÇÃO PARA O PIS/PASEP. COFINS. CRÉDITOS DA NÃO CUMULATIVIDADE. INSUMOS. DEFINIÇÃO ESTABELECIDA NO RESP 1.221.170/PR. ANÁLISE E APLICAÇÕES.
Conforme estabelecido pela Primeira Seção do Superior Tribunal de Justiça no Recurso Especial 1.221.170/PR, o conceito de insumo para fins de apuração de créditos da não cumulatividade da Contribuição para o PIS/Pasep e da Cofins deve ser aferido à luz dos critérios da essencialidade ou da relevância do bem ou serviço para a produção de bens destinados à venda ou para a prestação de serviços pela pessoa jurídica.
Consoante a tese acordada na decisão judicial em comento:
a) o “critério da essencialidade diz com o item do qual dependa, intrínseca e fundamentalmente, o produto ou o serviço”:
a.1) “constituindo elemento estrutural e inseparável do processo produtivo ou da execução do serviço”;
a.2) “ou, quando menos, a sua falta lhes prive de qualidade, quantidade e/ou suficiência”;
b) já o critério da relevância “é identificável no item cuja finalidade, embora não indispensável à elaboração do próprio produto ou à prestação do serviço, integre o processo de produção, seja”:
b.1) “pelas singularidades de cada cadeia produtiva”;
b.2) “por imposição legal”.
Dispositivos Legais. Lei nº 10.637, de 2002, art. 3º, inciso II; Lei nº 10.833, de 2003, art. 3º, inciso II.

Partindo deste pressuposto, a Receita Federal reconhece que os gastos com itens essenciais para o desenvolvimento de um produto e um serviço podem ser entendidos como insumos para fins de crédito de PIS e COFINS não cumulativo.

E não é só. Em decisão judicial recente, conforme Acórdão proferido no Recurso de Apelação nº 5112573-86.2021.4.02.5101/RJ, em trâmite perante o Tribunal Regional Federal da 2ª Região, foi concedido crédito de PIS/COFINS sobre as despesas relacionadas à implantação das metodologias e ao cumprimento das obrigações decorrentes da Lei Geral de Proteção de Dados (LGPD).  Essa é a primeira decisão favorável de 2ª instância sobre o tema.

No caso, os créditos tributários disponíveis estão relacionados ao centro de custos destinado a segurança da informação, por meio de equipamentos e tecnologias destinadas à segurança da informação e proteção de dados confidenciais e sensíveis, assim como gastos com consultoria  especializada em LGPD para diagnóstico (assessment) sobre o tratamento de dados pessoais. Poderão ser deduzidos gastos, despesas e investimentos em segurança da informação dos últimos 5 (cinco) anos contábeis da empresa, mediante ajuizamento de processo judicial, uma vez que a compensação administrativa ainda não é aceita pelas autoridades brasileiras.

A decisão entende que despesas com medidas preventivas e reativas relacionadas à segurança da informação, incluindo procedimentos para atendimento aos requisitos da LGPD, são necessárias por estarem atreladas aos objetivos da empresa, que atua na prestação de serviços de pagamentos digitais e, neste sentido, a segurança é algo irrefutável e essencial para o desenvolvimento da atividade corporativa.

Inclusive, a decisão está alinhada ao Projeto de Lei nº 04/22, que objetiva autorizar descontos de créditos do PIS e da COFINS calculados com base nas despesas relacionadas à implantação da LGPD. Atualmente, o PL está em tramitação no Senado Federal.

A possibilidade de redução de impactos tributários é incentivo relevante e que possibilita maior competitividade para que empresas estejam em conformidade com a legislação e, ao mesmo tempo, sejam estimuladas a investir em inovação e segurança, como observamos em outros incentivos fiscais, como a “Lei do Bem”, que objetiva impulsionar investimentos privados em pesquisa, desenvolvimento tecnológico e inovação por meio da redução de tributos.

Ato sequente, a LGPD determina que os produtos e os serviços devem utilizar uma metodologia internacionalmente conhecida como Privacy by Design, de autoria da Doutora Ann Cavoukian, ex Comissária de Informação e Privacidade da Província de Ontário e Diretora executiva do Instituto de Privacidade e Big Data da Universidade Ryerson, na qual a proteção de dados pessoais deve estruturada desde a concepção dos sistemas, práticas comerciais, projetos, produtos ou qualquer outra solução que envolva o manuseio de dados pessoais.

Ou seja, a privacidade de dados é mais do que uma mera recomendação. Ela deve fazer parte da estruturação técnica dos produtos e serviços. O não atendimento das empresas à LGDP pode expor os titulares de dados a prejuízos, bem como a sanções administrativas e judiciais.

Por fim, seria possível concluir que os investimentos na implantação da governança e privacidade de dados vão muito além do critério da “essencialidade” e constitui efetivo “elemento estrutural e inseparável do processo produtivo”, nos termos do Parecer Normativo COSIT nº 5/2018, levando a crer que seria possível a geração de créditos de PIS e COFINS, por se enquadrarem nos conceitos estabelecidos pela Receita Federal.