Sancionada a Lei Geral de Proteção de Dados Pessoais – veja o que foi vetado e o que isso significa na prática

Foi sancionada a Lei Geral de Proteção de Dados Pessoais – LGPD. O projeto de lei nº 53/2018 foi convertido na Lei nº 13.709 de 14 de agosto de 2018. A partir de agora, empresas e empresas públicas terão 18 meses para se adaptar aos novos padrões de proteção de dados pessoais.

Uma análise detalhada sobre o que a nova LGPD determina pode ser encontrada aqui. Nesse artigo, abordaremos o que foi vetado do PLC 53/2018 e não chegou a virar lei, bem como as implicações desses vetos. Os vetos podem ser divididos em três categorias (a) vetos de obrigações que seriam aplicáveis às pessoas jurídicas de direito público, limitando o compartilhamento de dados pessoais pelo Poder Público; (b) vetos de penalidades previstas na lei; e (c) vetos à criação da Autoridade Nacional de Proteção de Dados e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade.

Mais flexibilidade para compartilhamento de dados pelo Poder Público. Foram vetados alguns dispositivos que proibiam o Poder Público de compartilhar dados no âmbito do Poder Público e com pessoas jurídicas de direito privado, ou que impunham severas restrições para que o Poder Público pudesse realizar esse compartilhamento. Com o veto, o Poder Público poderá compartilhar dados nos termos da LGPD, sem obrigatoriedade de previsão legal específica que o permita ou contrato, convênio ou instrumento similar que respalde essa transferência.

Ainda, foi vetada a obrigação do Poder Público dar publicidade sobre a comunicação ou uso compartilhado de dados pessoais entre órgãos e entidades de direito público. Com isso, o Poder Público poderá compartilhar dados de forma mais ampla, sem precisar informar ativamente sobre esse compartilhamento.

Vetadas algumas sanções. Foram vetadas algumas penalidades previstas no PLC 53/2018, e mantidas as situações que levam à dosimetria dessas sanções e que podem levar a uma pena mais severa ou mais branda. Foram excluídas as hipóteses de o infrator ser punido com a suspensão do funcionamento do banco de dados; com suspensão do exercício da atividade de tratamento; e com a proibição do exercício de atividades relacionadas com o tratamento. Dessa forma, somente serão bloqueados ou eliminados os dados específicos relacionados com a infração. Será necessário identificar e segregar esses dados do resto da base de dados do infrator e aguardar que todos os dados armazenados sejam comprometidos para que a atividade seja suspensa.

Autoridade Nacional de Proteção de Dados. A Presidência da República alegou vício de iniciativa com relação a criação da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. Afirmou que apenas o Poder Executivo poderia criar uma autoridade de fiscalização. A criação por lei de iniciativa do Poder Legislativo, portanto, violaria essa norma constitucional.

Alegando querer evitar maiores discussões sobre o tema da iniciativa e constitucionalidade da criação da ANPD, os artigos relacionados foram vetados sob a promessa de que a Presidência da República encaminhará um projeto de lei para criar autoridade semelhante à prevista no Projeto 53/2018 (ANPD). Se essa autoridade, ou outra empresa não for criada até a entrada em vigor da LGPD, alguns de seus dispositivos permanecerão sem regulamentação necessária. E mais: a fiscalização da aplicação da LGPD pode ficar prejudicada.

Todas as demais disposições da LGPD permaneceram no texto final. A partir de hoje, 15 de agosto de 2018, data da publicação da LGPD, começa a ser contado o prazo de dezoito meses para que empresas, públicas ou privadas, se adequem ao texto legal. Aqueles que não cumprirem os dispositivos legais estarão sujeitos a penalidades que irão desde advertência até multa que pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais).

Coleta e tratamento de dados: indo além da GDPR

No dia 25 de maio de 2018 entrou em vigor a GDPR (Regulamentação Geral de Proteção de Dados) da União Europeia, visando a fortalecer o direito à privacidade dos cidadãos europeus, e reforçando o conceito de que cada um deles é o único titular com pleno controle sobre seus dados pessoais.

Indo além do aspecto regulatório da GDPR, a atividade de coleta, armazenamento e processamento de dados, ainda carece de normas claras sobre sua tributação. O avanço de novas tecnologias como atividade principal ou elemento essencial nas atividades empresariais, de forma geral, está sempre vários passos adiante dos órgãos responsáveis por sua regulação.

Aplicações de big data e analytics: serviço ou software?

Algumas das atividades que dependem do tratamento e armazenamento de dados, sejam estes dados informações pessoais identificáveis (a PII – personal identifiable information, mencionada pela GDPR) ou não identificáveis, têm gerado dúvidas com relação ao tratamento tributário aplicável. A maneira como o resultado do processamento de dados é disponibilizado a seus clientes é determinante para entender a exploração dessa atividade no Brasil.

O resultado da análise e processamento de dados realizada pelas empresas, seja como um produto final ou como parte de um sistema mais complexo, é na grande maioria dos casos disponibilizado por meio de software.

Legislação e jurisprudência dividem os softwares como sendo software sob encomenda e software de prateleira. Com relação ao software sob encomenda, em que fica bem clara a prestação de um serviço, o entendimento majoritário é a de que haveria a incidência de ISS. Já em relação ao software de prateleira (não-customizável), elaborado para comercialização genérica, a discussão sobre a incidência do ICMS ou do ISS ainda está longe de ser pacificada. Se no passado, o ICMS era cobrado sobre o suporte físico em que o software de prateleira era posto para comercialização, as novas tecnologias de utilização e acesso ao software, sem necessidade de mídia de suporte, reabriu a questão da cobrança do ICMS.

São inúmeras as discussões sobre o tratamento tributário, dependendo do modo de acesso ao software, se por meio de mídia física, se por download ou se por cloud.

Grande parte das empresas que realizam a coleta, o processamento e o armazenamento de dados, disponibiliza sua base de dados ao usuário pelo acesso a software que se encontra em “nuvem”, na modalidade chamada SaaS (Software as a Service), em que, via de regra, não é necessário fazer download do software, instalar e atualizar hardwares ou softwares para acesso à base de dados.

Acesso via SaaS

Em se tratando de uma base de dados disponibilizada ao usuário via SaaS, a Solução de Consulta COSIT nº 11/2011 da Receita Federal, estabeleceu que a tributação aplicável para a atividade seria a mesma para licença de software: o entendimento do Fisco é de que o software na modalidade SaaS não é vendido ao usuário e não ingressa no seu patrimônio, na medida em que não há download e instalação. Como aquisição do direito de uso de uma ferramenta ou plataforma durante um determinado período, a tributação sobre serviços seria aplicável, e não o ICMS sobre venda de mercadoria.

Controvérsias: ISS ou ICMS?

A Solução de Consulta de 2011 não foi suficiente para resolver a questão do ISS ou ICMS. As Fazendas Estaduais, especialmente, têm adotado a distinção entre software de prateleira e software sob encomenda como fator para determinar o imposto incidente, independentemente da forma como é disponibilizado ao usuário (se em suporte físico, via download ou por meio de acesso à nuvem).

Há inúmeras disputas entre estados e municípios acerca da tributação de referidas operações, ou seja, se a disponibilização de serviços baseados em big data e analytics, por meio de SaaS, seria fato gerador do ISS ou ICMS.

Exemplo disso é o Convênio nº 106/2017, de 05 de outubro de 2017, que autoriza Estados e o Distrito Federal a legislarem sobre a incidência do ICMS nas operações com softwares e realizarem a respectiva cobrança a partir de 1º de abril de 2018. Assim, o Estado de São Paulo publicou o Decreto nº 63.099/2017 determinando referida cobrança sobre as transações envolvendo plataformas de software, seja no formato físico ou virtual. Merece destaque também a Decisão Normativa CAT nº 4 de 20 de setembro de 2017 que prevê que sobre o software não personalizado há incidência do ICMS, independentemente da forma de acesso ao conteúdo: via download ou na nuvem.

Por outro lado, o Município de São Paulo publicou o Parecer Normativo nº 01, em 18 de julho de 2017, relativo à incidência do ISS sobre o licenciamento ou cessão de direito de uso de software, seja por meio físico, download, bem como quando instalados em servidor externo (SaaS). É entendimento do Município de São Paulo que tal atividade está sujeita ao ISS com base no item 1.05 da Lista de Serviços (licenciamento ou cessão de direito de uso de programas de computação).

O judiciário vem sendo acionado para que o assunto seja analisado e referido conflito solucionado. Por ora, ainda não há precedentes que indiquem claramente uma tendência em como os serviços de processamento e análise de dados será tratada tributariamente. Parece-nos que o entendimento mais razoável e defensável, com base na natureza da atividade, e do sistema normativo do País, é a de que a atividade seja tributada como serviço, pelo ISS.