Com o crescimento dos ataques cibernéticos, todos nós corremos o risco de termos os nossos direitos à liberdade e privacidade violados, com a possibilidade de exposição e utilização indevida dos nossos dados pessoais.
Para se ter uma ideia da dimensão desse problema, a exfiltração de dados (data exfiltration), que pode ocorrer via malware (software malicioso), aumentou de 40% de casos em 2019 para 77% de casos em 2022, segundo análise “Tendências de Segurança Cibernética 2023: As últimas ameaças e as melhores práticas de mitigação de riscos – antes, durante e após uma invasão”1, realizada pela Allianz Commercial, empresa de seguros empresariais.
Em 2023, o Brasil foi o principal alvo de ataques cibernéticos na América Latina, conforme relatório da Netscout, empresa de soluções de cibersegurança, tendo sofrido, no primeiro semestre daquele ano, 328.326 investidas de um total de 785.871 na América Latina2.
Com esses dados preliminares, é possível perceber, então, que a proteção de dados pessoais constitui agenda importante no mundo dos negócios. Sobre o assunto, Viviane Nóbrega Maldonado assim escreveu:
Não é preciso ser um especialista na área de privacidade para compreender a importância que a proteção de dados ostenta nos dias de hoje.
Com efeito, vivemos em um mundo de big data e jamais, em tempo algum da história, um volume tão significativo de informações foi processado de forma ininterrupta e exponencial pelas organizações em geral e também pelas próprias pessoas naturais.
Tal circunstância, por evidente, reclama atenção especial no que se refere à necessidade de proteção desse massivo volume de informações que detêm característica de dados pessoais. 3
No ano de 2018, visando justamente proteger a nossa liberdade e privacidade, foi editada a Lei Geral de Proteção de Dados (Lei 13.709/2018), mais conhecida como LGPD, que dispõe sobre o tratamento de dados pessoais, incluindo nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado.
Conquanto o objetivo deste artigo não seja destrinchar a Lei Geral de Proteção de Dados, esta legislação, em linhas gerais, traz conceitos, princípios e requisitos para o tratamento de dados pessoais; criou a figura do encarregado pelo tratamento de dados e a Autoridade Nacional de Proteção de Dados (ANPD); trata do controlador e operador do tratamento de dados; estabelece direitos dos titulares, como, por exemplo, a confirmação da existência de tratamento e o acesso aos dados; a lei trata, ainda, sobre a segurança e o sigilo de dados, bem como regras de boas práticas e de governança.
A proteção de dados, ressalte-se ainda, foi alçada a direito fundamental (art. 5º, LXXIX, CF/1988) por meio da Emenda Constitucional 105/2022.
Acresça-se, ainda, que quando a LGPD não for observada ou não for fornecida a segurança que o titular pode esperar, o tratamento de dados será irregular, ficando o operador ou controlador do tratamento de dados obrigado a reparar eventual dano patrimonial, moral, individual ou coletivo causado a outrem.
Não bastasse isso, saliente-se, os agentes de tratamento de dados ficarão sujeitos a sanções administrativas, podendo ser citada a multa simples, de até 2% do faturamento da empresa no último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Assim, estar em conformidade com a legislação de proteção de dados não é opcional, mas sim uma imposição. A implementação da LGPD, no entanto, gera um gasto para a pessoa natural ou jurídica que trata dados pessoais.
Em que pese o custo envolvido na adequação, a proteção de dados pessoais é tema relevante, atual e urgente, devendo ser fomentada e estimulada por todos, inclusive governos e a administração pública.
A proteção de dados pessoais, importante averbar, faz parte da Agenda 2030 da ONU, estando inserida dentro do ODS (Objetivo de Desenvolvimento Sustentável) 9 - Indústria, Inovação e Infraestrutura, Meta 9.c. O Brasil, registre-se, é signatário do Pacto Global da citada organização internacional.
Com efeito, se quisermos construir uma sociedade mais justa e sustentável, faz-se necessária a cooperação de governos, administração pública, empresas, sociedade, entidades civis, afinal de contas, não somos ilhas.
Recorrendo às leis da biologia, Celso Grecco, consultor e palestrante em desenvolvimento socioambiental, assim escreveu sobre o pertencimento a uma comunidade:
Se observarmos os princípios que a biologia do nosso corpo e da natureza nos ensina, e se refletirmos sobre a forma como conduzimos nossa vida individualmente e, sobretudo, em sociedade, podemos aprender muito a respeito do valor das relações de interpendência que cada um de nós tem com a sociedade, assim como a sociedade tem com cada um de nós.
A questão é que, ao contrário do nosso organismo ou da natureza que funcionam sem que precisemos interferir, em sociedade temos de tomar decisões individuais e coletivas o tempo todo para que as coisas funcionem bem. Quando tomamos decisões erradas ou quando nos omitimos, as coisas funcionam mal.
Desde que entramos neste milênio, estamos vivendo uma das mais fascinantes eras da história da humanidade. A tecnologia, a inteligência artificial e a internet estão revolucionando a forma como nos relacionamos com nossos pares, com a sociedade e com o planeta.
Soluções que em um passado recente seriam cabíveis apenas na ficção científica estão cada vez mais disponíveis e vão impactar nossa vida em todas as suas dimensões.
No entanto, é também provável que nunca tenha sido tão necessário prestarmos atenção em como estes novos tempos podem refletir nas nossas mais básicas qualidades humanas, como empatia, solidariedade e o sentimento de pertencermos a uma comunidade.4
Senso de coletividade, portanto, deve ser a ordem do dia e constitui importante pilar para a construção de uma sociedade melhor.
Nessa linha de raciocínio, e voltando ao tema central deste artigo, a proteção de dados, insista-se, deve ser motivada por governos, administração pública, empresas, sociedade, e entidades da sociedade civil.
Lamentavelmente, contudo, a administração pública não vê dessa forma.
E isso pode ser constatado por meio da leitura da Solução de Consulta Cosit/RFB 307/2023 – in verbis:
Assunto: Contribuição para o PIS/Pasep
A Lei Geral de Proteção de Dados Pessoais não é norma direcionada especificamente ao sistema financeiro, visto que não traz dispositivos próprios para esse segmento, porquanto seu objetivo é regular a forma pela qual os dados são utilizados nos mais diversos setores da sociedade. A LGPD não impõe, expressamente, na espécie, a realização de gastos, limitando-se a prever normas gerais sobre o tratamento de dados pessoais. Os gastos de implementação da LGPD não estão relacionados ao processo de prestação de serviços em questão, constituindo, portanto, despesas, e não custos. Portanto, em face do objeto social da consulente (empresa de tecnologia financeira), os valores despendidos com investimentos em atividades de adequação e operacionalização da Lei nº 13.709, de 2018, não configuram aquisição de insumos utilizados na respectiva prestação de serviços, não gerando, pois, créditos da Contribuição para o PIS/Pasep, nos termos do Parecer Normativo Cosit/RFB nº 5, de 2018, e dos artigos 175 a 178 da Instrução Normativa RFB nº 2.121, de 2022.
Dispositivos legais: Lei nº 10.637, de 2002; Lei nº 13.709, de 2018; Parecer Normativo Cosit/RFB nº 5, de 2018; Instrução Normativa RFB nº 2.121, de 2022, artigos 175 a 178.
Assunto: Contribuição para o Financiamento da Seguridade Social - Cofins
(...) Portanto, em face do objeto social da consulente (empresa de tecnologia financeira), os valores despendidos com investimentos em atividades de adequação e operacionalização da Lei nº 13.709, de 2018, não configuram aquisição de insumos utilizados na respectiva prestação de serviços, não gerando, pois, créditos da Cofins, nos termos do Parecer Normativo Cosit/RFB nº 5, de 2018, e dos artigos 175 a 178 da Instrução Normativa RFB nº 2.121, de 2022.
Dispositivos legais: Lei nº 10.833, de 2003; Lei nº 13.709, de 2018; Parecer Normativo Cosit/RFB nº 5, de 2018; Instrução Normativa RFB nº 2.121, de 2022, artigos 175 a 178. 5
Absurdamente, a Receita Federal do Brasil, por intermédio da Coordenação-Geral de Tributação, consignou que a LGPD não impõe, expressamente, a realização de gastos, limitando-se a prever normas gerais sobre o tratamento de dados pessoais.
De fato, a lei não impõe a realização de gastos, mas aí surge uma questão: como, então, realizar a adequação de uma empresa à LGPD sem dispêndio de valor? Impossível!
Ao contrário do fundamento da RFB, segundo dados da consultoria PwC Brasil, o custo para adequação à LGPD pode variar de R$ 50.000,00 (cinquenta mil reais) a R$ 800.000,00 (oitocentos mil reais)6.
Além de não ver necessidade de gastos, a RFB pontuou que os gastos de implementação da LGPD não estão relacionados ao processo de prestação de serviços, constituindo despesas e não custos, e não configuram, ainda, como aquisição de insumos utilizados nos serviços, não gerando, portanto, créditos de PIS e COFINS.
Essa questão que envolve a análise se determinado bem ou serviço configura insumo é importante porque as empresas que pagam PIS e COFINS, no regime não cumulativo, poderão abater, do montante devido a título dessas contribuições, os valores gastos com o insumo, conforme arts. 3º, II, da Lei 10.637/2002 e 3º, II, da Lei 10.833/2003.
Voltando à discussão, ao se posicionar daquela forma, a RFB acaba não enxergando relevância na proteção de dados pessoais, ficando presa numa bolha.
Não obstante, o Superior Tribunal de Justiça, ao julgar o REsp 1.221.170/PR, em sede de recurso repetitivo, decidiu que o conceito de insumo:
... deve ser aferido à luz dos critérios da essencialidade ou relevância, vale dizer, considerando-se a imprescindibilidade ou a importância de determinado item - bem ou serviço - para o desenvolvimento da atividade econômica desempenhada pelo contribuinte. 7
Com os ataques cibernéticos aumentando a cada ano, e a proteção de dados pessoais alçada a direito fundamental, como a implementação da LGPD não é relevante para o desenvolvimento das atividades econômicas desempenhadas por uma empresa?
Então, a empresa pode realizar as suas atividades econômicas sem se preocupar com a sua adequação à LGPD, com a possibilidade de os dados pessoais das pessoas serem expostos e utilizados indevidamente?
É evidente que não, estando a Solução Consulta Cosit 307/2023, portanto, em total dissintonia com a decisão proferida STJ no REsp 1.221.170/PR, em sede de recurso repetitivo.
Felizmente, no ano de 2023, expondo um entendimento totalmente diferente da RFB, o Tribunal Regional Federal da 2a Região proferiu a seguinte decisão sobre o debate aqui posto:
TRIBUTÁRIO. APELAÇÃO. MANDADO DE SEGURANÇA. PIS E COFINS. REGIME DA NÃO- CUMULATIVIDADE. TEMA 779 DO E. STJ. DESPESAS COM IMPLEMENTAÇÃO DE NORMAS PREVISTAS NA LEI GERAL DE PROTEÇÃO DE DADOS (LGPD). LEI No 13.709/18. CREDITAMENTO. POSSIBILIDADE. PROVIMENTO.
(...)
4. No caso dos autos, observa-se que o objeto social da impetrante se constitui no desenvolvimento de atividades relacionadas à prestação de serviços de pagamentos digitais, de modo que as despesas com a implementação de medidas previstas na Lei Geral de Proteção de Dados - LGPD, Lei no 13.709/2018, estão diretamente relacionadas à atividade-fim da empresa.
5. Por se tratar de investimento obrigatório, imprescindível ao alcance dos objetivos sociais da impetrante, e medida de segurança necessária à proteção dos dados dos seus clientes e de terceiros, inclusive passível de sanção pelo descumprimento da normatividade imposta, as despesas com as adequações previstas na LGPD merecem ser reconhecidas como insumos para fins de aproveitamento no sistema da não-cumulatividade de PIS e COFINS.
6. Apelação da impetrante que se dá provimento. 8
O caso julgado, que envolve uma empresa de serviços de pagamentos digitais, trata-se de um importante precedente jurisprudencial que traz luz à discussão, reforçando que a adequação à LGPD é obrigatória e não opcional, além de ser imprescindível para as atividades econômicas desempenhadas pelas empresas, sendo passível inclusive de sanção administrativa.
A interpretação das leis em geral precisa observar o bem comum, conforme inteligência que se extrai do art. 5º, do Decreto-Lei 4.657/1942, especialmente se quisermos mesmo construir uma sociedade mais justa e sustentável.
Nesse sentido, os governos precisam incentivar e não desincentivar a adequação à LGPD, afinal de contas, como sustenta Celso Grecco, a sociedade é um organismo vivo, estamos todos interconectados.
A coletividade precisa prevalecer. Temos que ter em mente que, se um vencer, todos vencem, e se um perder, todos perdem.
Desse modo, insista-se, com o aumento dos ataques cibernéticos (Relatório de Riscos Globais 20249, do Fórum Econômico Mundial, coloca a insegurança cibernética em quarto lugar entre os dez principais riscos globais), com a proteção de dados pessoais alçada a direito fundamental, fazendo parte do Objetivo de Desenvolvimento Sustentável (ODS) 9 da ONU, sendo o Brasil um dos signatários do Pacto Global, o tema precisa ser tratado como relevante e fomentado e estimulado por todos, inclusive governos e a administração pública.
Os administrados não são inimigos da administração pública e o contrário também é verdadeiro. Que todos nós reflitamos mais sobre o verdadeiro senso de coletividade. Que a proteção de dados pessoais seja uma preocupação de todos.
Notas
1Cyber security trends 2023: The latest threats and risk mitigation best practice – before, during and after a hack. Allianz Commercial, 2023. Disponível em: https://commercial.allianz.com/content/dam/onemarketing/commercial/commercial/reports/Allianz-Commercial-Cyber-Security-Trends-2023.pdf
2Brasil é principal alvo de ataques cibernéticos da América Latina. Correio Braziliense, 2023. Disponível em: https://www.correiobraziliense.com.br/economia/2023/10/5133611-brasil-e-o-principal-alvo-de-ataques-ciberneticos-da-america-latina.html.
3MALDONADO, Viviane Nóbrega (Coordenação). LGPD: Lei Geral de Proteção de Dados Pessoais: Manual de implementação. 3. ed. rev. e atual. São Paulo: Thomson Reuters Brasil, 2022, p. 12.
4GRECCO, Celso. A decisão de que o mundo precisa: 7 caminhos para você sair da indiferença e fazer algo pelo futuro da nossa sociedade. São Paulo: Editora Gente, 2019, pp. 18. e 19.
5 Solução de Consulta Cosit/RFB 307/2023. Receita Federal do Brasil, 2023. Disponível em:https://normas.receita.fazenda.gov.br/sijut2consulta/link.action?idAto=135375. Acesso em: 19/01/2024.
6 LGPD: As recomendações para Micro e Pequenas Empresas. MIT Technology Review, 2021. Disponível em: https://mittechreview.com.br/lgpd-as-recomendacoes-para-micro-e-pequenas-empresas/.
7BRASIL. Superior Tribunal de Justiça. REsp n. 1.221.170/PR, relator Ministro Napoleão Nunes Maia Filho, Primeira Seção, julgado em 22/2/2018, DJe de 24/4/2018.
8 BRASIL. Tribunal Regional Federal da 2a Região. Apelação Cível n. 5112573-86.2021.4.02.5101/RJ, relatora Desembargadora Federal Carmen Silvia Lima de Arruda, 4a Turma Especial do Tribunal Regional Federal da 2a Região, julgado em 28/04/2023.
9Global Risks Report 2024. World Economic Forum, 2024. Disponível em: https://www.weforum.org/publications/global-risks-report-2024/in-full/global-risks-2024-at-a-turning-point/. Acesso em: 19/01/2024.