Foi dado ganho de causa à empresa que requereu o crédito de PIS e Cofins pelos investimentos feitos na adequação e a implementação da Lei Geral de Proteção de Dados, considerados como insumos.

No Judiciário, a tese é que os investimentos (insumos) são fundamentais para as atividades das empresas e a LGPD impõe obrigações e custos, o que daria direito a créditos das contribuições sociais.

A interpretação é baseada no recurso repetitivo (Recurso Especial nº 1.221.170 – PR), decidido pelos ministros do Supremo Tribunal de Justiça (STJ) que o conceito de insumo deve ser avaliado considerando a essencialidade ou relevância do bem ou serviço. Deve considerar a sua necessidade ou a sua importância para o desenvolvimento da atividade econômica desempenhada. A Procuradoria-Geral da Fazenda Nacional (PGFN) é contrária a decisão.

Decisão favorável

Ao analisar o caso, o juiz federal Pedro Pereira dos Santos, da 4ª Vara Federal de Campo Grande (MS), proferiu sentença a favor da empresa, conforme o Mandado de Segurança nº 5003440-04.2021.4.03.6000.

A decisão dispõe: “Tratando-se de investimentos obrigatórios, inclusive sob pena de aplicação de sanções ao infrator das normas da referida Lei 13.909/218, estimo que os custos correspondentes devem ser enquadrados como insumos, nos termos do procedente acima citado. Com efeito, o tratamento dos dados pessoais não fica a critério do comerciante, devendo então os custos respectivos serem reputados como necessários, imprescindíveis ao alcance dos objetivos comerciais.

Diante do exposto, concedo a segurança para: (1) – determinar que a autoridade coatora considere como insumos as despesas comprovadas pela impetrante com o cumprimento das normas da Lei nº Lei nº 13.909, de 14 de agosto de 2018…”

Sanções a partir de agosto

E quem ainda não se adequou à LGPD, é necessário pressa. A partir de 1º de agosto de 2021, as fiscalizações e as sanções passarão a ocorrer sob a ação da Autoridade Nacional de Proteção de Dados (ANPD).

Quando a infração é comprovada quanto ao uso ilegal dos dados, a empresa pode pagar uma multa de 2% sobre o faturamento de até R$ 50 milhões, além de outras penalidades administrativas previstas na Lei Geral de Proteção Geral de Dados.

Como se adequar

A empresa deve procurar profissionais especializado em Proteção e Privacidade de Dados e um plano deve ser adotado com foco na adequação à LGPD.

Antes de adotar um plano estratégico, é preciso revisar todos os controles e processos da empresa para que seja construído um mapa dos dados sensíveis e dos atuais níveis de proteção. Assim como a elaboração de um Mapa de Riscos de Tratamento de Dados Pessoais da empresa.

É preciso saber como, quando e onde todos os dados pessoais de funcionários, clientes e fornecedores são coletados – todos mesmo: de uma simples data de nascimento até informações sobre folha de pagamento. Onde esses dados ficam armazenados? Quais são as camadas de proteção?

Depois do planejamento concluído, é necessário reestruturar as políticas e acordos de confidencialidade. Sempre que for coletar algum dado pessoal de forma física ou pela internet, o titular dos dados deve consentir, ou seja, assinar um termo de consentimento e uso desses dados. A empresa deve ser transparente e o titular precisa saber como essas informações serão usadas, armazenadas e tratadas.

Um programa de educação e conscientização de todos os membros da empresa deve ser realizado. Todos devem saber evitar vazamentos e ter a noção das responsabilidades e consequências do mau uso dos dados.

Dessa forma, o titular do dado (pessoa física) passa a ter mais controle sobre o uso e como suas informações pessoais estão sendo utilizadas, além de poder solicitar à empresa (controladora/operadora) o acesso ou remoção de suas informações mantidas dentro da instituição.