Os reflexos da LGPD no Compliance Tributário


Já ouviu falar sobre a Lei de Proteção de Dados? Ela entrou em vigor em setembro de 2020, e a partir deste momento começou a ser fiscalizado bem de perto o cumprimento dela, podendo gerar diversas consequências caso seja descumprida.


Foi criada com objetivo de coibir o uso indiscriminado de informações pessoais e de proteger o direito ao sigilo das pessoas com relação aos seus dados, quando fornecidos às organizações com as quais tenham algum tipo de relacionamento, tais como empregadores, lojas, prestadores de serviços e até órgãos públicos. As normas gerais introduzidas pela LGPD são de interesse nacional e deverão ser observadas pela União, Estados, Distrito Federal e Municípios.


Logo, é claro que isso vai refletir na vida do contribuinte e principalmente no cotidiano do do setor fiscal das empresas. Com isso, o fisco passará a fiscalizar ainda mais as empresas, principalmente quanto a questão do Compliance Tributário.


Para começarmos a discorrer é necessário lembrar que o Decreto Legislativo 211/2013 recepcionou o texto do Acordo entre Brasil e os Estados Unidos para o intercâmbio de Informações Relativas a Tributos, que foi celebrado em Brasília em 20/03/2007.


Logo, a consequência da recepção deste acordo veio a ser regulamentado pelo Decreto 8.003/13, sendo este tratado incorporado ao nosso Direito Brasileiro, refletindo seus termos na Instrução Normativa da Receita Federal nº 1.571/2015, esta que estabelece mais uma obrigação acessória para o contribuinte que é a declaração e-financeira.


Esta obrigação acessória é nada mais do que, uma série de arquivos e informações digitais que abastecem o fisco brasileiro, que por sua vez, podem trocar informações com as demais autoridades tributárias estrangeiras.


E todas essas informações introduzem na realidade do contribuinte o que todos conhecem por Compliance Tributário. Agora vejamos como ocorre na prática hoje em dia.


O Compliance Tributário é um conjunto de normas que a empresa precisa passar a adotar como por exemplo: as empresas contribuintes do ICMS e ICMS ST, precisam realizar o que muitos desconhecem por qualificação de fornecedores, onde vão reunir diversas informações daquele fornecedor, para alimentar seu banco de dados, tudo para facilitar o trabalho do setor contábil no cumprimento de obrigações contábeis como por exemplo a criação de plano de contas para o Balanço Patrimonial da empresa.


Logo, podemos mencionar que a qualificação de fornecedores é o processo pelo qual se avalia informações e documentos de empresas e terceirizados que se relacionam com a empresa, no fornecimento de matérias primas, mercadorias, produtos ou serviços, com o objetivo de manter a reputação do seu negócio e a continuidade da entidade.


E isso é um dos pontos cruciais que está sofrendo reflexos em decorrência da Lei Geral de Proteção de Dados, já que processo de homologação deve ser voltado ao gerenciamento e análise dos riscos decorrentes de cada tipo de contratação, como forma de garantir a eficiência e segurança em todo o ciclo de fornecimento das mercadorias e na prestação de serviços, a partir de políticas e regras de conformidade pré-definidas, que agora precisam observar parâmetros estabelecidos na LGPD.


Antes de explicar como o Compliance Tributário sofreu mudanças com a LGPD, precisamos explicar alguns conceitos que a Lei de Proteção de Dados confere em seu texto, assim vamos poder compreender a sua aplicabilidade. Vejamos:


Sujeitos


Titular – pessoa a quem se referem, então, os dados que são objeto de tratamento.


Agentes de tratamento – são dois os agentes: o responsável, também denominado controlador, que recepciona e decide sobre o tratamento dos dados dos titulares, e o operador que realiza o tratamento dos dados.


Agente de Proteção de Dados – pessoa natural, indicada pelo controlador, que atuará, dessa forma, como um canal entre agentes (controlador e operador), titulares e os órgãos competentes (autoridade nacional).


Dados


Dados Pessoais – A informação relacionada a uma pessoa identificada ou identificável, não se limitando, portanto, ao nome, sobrenome, apelido, idade, endereço, podendo incluir dados de localização, placas de veículos, perfis de compras, dados acadêmicos, históricos de compras, entre outros.


Dados Pessoais Sensíveis – Aqueles relacionados a características da personalidade do indivíduo e suas escolhas pessoais, tais como origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes a saúde ou a vida sexual, dados genéticos ou biométricos, quando vinculados a uma pessoa natural.


Dados anonimizados – Dados relativos a um titular que não possa ser identificado, considerando, contudo, a utilização de meios técnicos razoáveis e disponíveis na ocasião do seu tratamento.


Ações


Tratamento dos dados – Operações realizadas com algum tipo de manuseio de dados pessoais: coleta, edição, classificação, utilização e etc.


Anonimização – A utilização de meios técnicos e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.


Consentimento – A manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Esse não é o único motivo que autoriza o tratamento de dados, mas apenas uma das hipóteses.


Transferência internacional de dados – Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.


Agora que já explicamos os devidos conceitos, ficará mais fácil a compreensão. Para que você entenda como funcionava na prática a qualificação de fornecedores e como passou a funcionar já com os reflexos da LGPD, é preciso te explicar que o processo de homologação de fornecedores começa com a divisão da cadeia de fornecimento em categorias, com o intuito de segmentar e identificar os riscos inerentes a cada tipo de relação, bem como o peso e criticidade da análise de cada um deles.


Agora, cada divisão desta cadeia de fornecimento de dados, terá o que chamamos de agente, e este precisa ter o controle e resguardar alguns critérios específicos, como por exemplo:


a) os direitos fundamentais de liberdade e de privacidade; e

b) o livre desenvolvimento da personalidade da pessoa natural.

c) o respeito à privacidade e à a dignidade;

d) a inviolabilidade da intimidade, da honra e da imagem;

e) o desenvolvimento econômico e tecnológico e a inovação;

f) a livre iniciativa, a livre concorrência e a defesa do consumidor; e

g) o exercício da cidadania pelas pessoas naturais.


Interessante mencionar que quando falamos sobre Compliance Tributário, sempre vem a mente que deve ser realizado um programa de integridade para o cumprimento de normas tributárias, contudo vai muito além, pois para qualquer tipo de contrato por exemplo, que uma empresa tenha, seja ele com fornecedor, prestador de serviço existem documentos necessários para homologação. Um exemplo são informações básicas que comprovem a regularidade da atuação da empresa contratada no país, desde questionários com informações básicas sobre sócios, referências bancárias e comerciais, a documentos como:

.

1.Contrato social;

2.Cartão CNPJ;

3.Inscrição Estadual;

4.Inscrição Municipal;

5.Alvará de Licença de Funcionamento;


E todos esses dados com a LGPD devem ser preservados, através da criação de um programa de confidencialidade, sendo mais clara ainda, terceiros que não estejam envolvidos na operação não poderão visualizar o conteúdo de tais documentos apenas de forma resumida.

.

É fato que para a prática do Compliance Tributário a empresa precisa adotar uma série de normas internas, como por exemplo, fiscalizar o cumprimento das obrigações tributárias, através de certidões de regularidade fiscal como a Certidão de Débitos Relativos a Créditos Tributários Federais e à Dívida Ativa da União, certidões negativas estaduais e municipais, além de outros comprovantes de pagamento de tributos ou obrigações acessórias mais específicas.


Esta ação evita uma eventual responsabilização tributária, ocorrida principalmente no âmbito da fiscalização estadual, que muitas vezes atribui ao contratante o dever de quitar débitos do ICMS inadimplidos pelo produtor ou fabricante. Contudo, estas informações quando solicitadas ao fornecedor devem ser acompanhadas de termos de confidencialidade, em que somente as partes envolvidas podem ter acesso a estas, salvo nos casos resumidos que restringem dados importantes de caráter sigiloso.

Antes, para garantir que os fornecedores sejam íntegros, a homologação surge como uma das melhores formas de mitigar riscos tributários, trabalhistas, operacionais inerentes a cada tipo de nova relação firmada. Hoje com a LGPD essa homologação deve ser mutua, obedecendo o pacto estabelecido entre as partes.


E isso desde logo, é o que chamamos de relatório de Impacto de proteção de dados - RIPD que nada mais é do que, um documento de comunicação e transparência que orienta a descrição dos processos de tratamento de dados pessoais que podem gerar riscos, bem como medidas, salvaguardas e mecanismos de mitigação.


É válido mencionar que para fins de aplicação das normas da LGPD, foi criada a figura dos agentes de tratamento. Estes agentes, são denominados controladores e operadores, os quais devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado.


Para o Compliance Tributário estes agentes serão aqueles que laboram com dia-a-dia das rotinas e Compliance. Contudo, também podemos mencionar aqueles agentes que trabalham no setor fiscal, pois também a LGPD passou a influenciar na rotina destes trabalhadores, e esses reflexos surgiram visando maior segurança no acesso aos dados inseridos em documentos fiscais eletrônicos (DFE), realizados pela Internet, a consulta pública feita através da chave de acesso de alguns documentos fiscais foram alteradas em âmbito Nacional, por meio de Ajustes Sinief, promovendo a limitação de consulta de tais documentos apenas para os agentes envolvidos.


Vejamos as alterações ocorreram em conformidade com os seguintes Ajustes Sinief:


Ajuste Sinief nº 15/2018 Altera o Ajuste SINIEF 19/2016 – NFC-e

(Nota Fiscal do Consumidor Eletrônica)


Ajuste Sinief nº 16/2018 Altera o Ajuste SINIEF 7/2005 – NF-e

(Nota Fiscal Eletrônica)


Ajuste Sinief nº 17/2018 Altera o Ajuste SINIEF 9/2007 – CT-e

(Conhecimento de Transporte Eletrônico)


Ajuste Sinief nº 18/2018 Altera o Ajuste SINIEF 1/2017 – BP-e.

(Bilhete Público Eletrônico)


Importante destacar que desde 03.09.2020, com a publicação do Ajuste Sinief nº 26/2020 , as restrições de acesso aos documentos eletrônicos não se aplicam às compras ou operações que tenham como emitente ou destinatário a União, Estados, Distrito Federal e Municípios, bem como suas fundações e autarquias, quando as consultas forem realizadas nos Portais Estaduais.


Com isso, é claro que precisamos mencionar também que a LGPD produz aspectos relevantes, quanto às informações dos documentos fiscais, visto que após a concessão de autorização de uso do documento fiscal eletrônico, a administração tributária da unidade federada do emitente disponibiliza consulta relativa ao documento.


Desta forma, a disponibilização completa dos campos exibidos na consulta será por meio de acesso restrito e vinculada à relação do consulente com a operação descrita no documento. Assim, terceiros que não estejam envolvidos na operação poderão visualizar o conteúdo de tais documentos apenas de forma resumida.


É claro que não podemos deixar de mencionar as alterações trazidas pelo LGPD no Compliance Tributário, e isso ocorre principalmente no relatório de conformidade, que é gerado pelo setor muitas de Compliance, hoje elaborado pelos agentes denominados compliance officer.


O Relatório de Conformidade tem a periodicidade conforme o programa de integridade adotado pela empresa, ele nada mais é do que um documento que contém a análise dos pontos de riscos tributários, tais como inadimplemento de obrigações tributárias, perdas de créditos tributários, ausência de benefícios fiscais do período, entre outras situações, e agora também deve apresentar questões ligadas ao compromisso da LGPD, como por exemplo, os agentes e responsabilidades de cada um, salientando os termos e condições dos contratos, de acordo com os termos assinados entre empresa, fornecedores e prestadores de serviços e ainda as observações trazidas e executadas pelo setor fiscal com o cumprimento de obrigações tributárias acessórias, os quais deverão ser mitigados pela organização no programa de Compliance Tributário.

.

Importante destacar que os parâmetros adotados podem variar de acordo com a atividade desenvolvida pela empresa, profundidade da análise, extensão da busca e confidencialidade, dentre outros questão que envolvem o programa de Compliance Tributário.


Para realizar o relatório de conformidade é preciso estar atento a alguns pontos, como por exemplo:


EMENTA: Resumo de tudo que será demonstrado ao longo do relatório;

ESCOPO: de constar os pontos que foram analisados;

METODOLOGIA: qual a forma de elaboração da matriz de risco, como as informações foram coletadas e quais os critérios de análise;

ANÁLISE: justificada dos pontos elencados como risco;

TERMO DE RESPONSABILIDADE DE AGENTES: deve constar cada agente e todas as atividades por ele executadas, sendo informado ainda o método que fora utilizado por ele para a execução de sua tarefa;

CONFIDENCIALIDADE DE DADOS: um dos principais e novos pontos acrescidos pela LGPD, onde indica como os dados de cada fornecedor e prestador de serviço estão sendo armazenados, e principalmente, como as outras partes envolvidas estão se cuidando para a proteção de dados da empresa que a contratou.

AJUSTES FISCAIS: aqui, basta descrever todos os ajustes realizados nas obrigações acessórias, como por exemplo emissão de nota fiscal, descarte de dados entre outros.

CONCLUSÃO: parecer sobre a conformidade da organização, se as normas legais estão sendo observadas parcialmente ou não estão sendo observadas. Quais procedimentos deverão ser adotados para a conformidade e proteção contínuo de dados.


Sabemos que o Compliance Tributário oportuniza uma maior transparência para as entidades e são capazes de potencializar novas chances ao negócio, como novas parcerias, clientes, credibilidade e ganhos e esta área de atuação da Advocacia Tributária também sofreu reflexos significativos com a Lei Geral de Proteção de Dados. Dessa maneira, é essencial que os líderes desenvolvam uma nova modalidade organizacional em busca de processos claros e através de uma tecnologia aliada para a fomentação da cultura e das normas fiscais do país.

.

Para finalizarmos é claro que alguns passos devem ser observados quando se trabalha com Compliance Tributário e busca se adequar as mudanças trazidas pela LGPD. Vejamos:


Usar sistemas de informação que suportam o monitoramento das atividades da empresa de forma a se adaptarem aos processos de Compliance Tributário, com o liame de confidencialidade e guarda de dados de fornecedores, prestadores de serviços e funcionários;


Possuir uma gestão de contratos e serviços que alinhe os níveis de Compliance Tributário da empresa, esse controle deve ser observado principalmente em relação a assinatura de termos de confidencialidade entre as partes, para que todos possam conhecer as praticas de condutas de proteção, sob pena de responsabilização de agentes e subsidiariamente empresa;


Fortalecer as inspeções e fiscalizações das atividades que não costumam possuir certificações, adotando medidas para o controle de certidões negativas de débitos, em órgãos;


Possuir um sistema e controle de conduta de agentes que vão atuar nos setores fiscal, contábil e tributário para a normalização da empresa sempre ativo e atualizado;


Ter processos de auditoria interna e realizar auditorias externas independentes a cada seis meses;


Parametrizar sistema de emissão e cumprimento de obrigação tributária acessória;


Adequar às empresas de qualquer porte com planos que atendem de 1 a múltiplos CNPJs, o NF-e Expert possui uma característica única frente a outras Soluções para a Gestão de Notas Fiscais.


Definição de um Agente de Proteção de Dados - A nomeação de um encarregado interno, que atuará como Agente de Proteção de Dados, é essencial para que se promova, assim, a comunicação entre os titulares dos dados pessoais, a própria organização e a futura autoridade nacional responsável pela regulação e fiscalização das novas regras trazidas pela LGPD. Portanto, este é o primeiro passo para a implementação do Compliance Tributário e adequação à LGPD.


Diagnóstico da empresa - é um diagnóstico sobre a realidade da empresa no tocante aos indicadores de conformidade com a LGPD, porque isto revelará o que resta ser trabalhado para atender aos controles exigidos.


Matriz de risco - devem ser inseridos os controles técnicos, documentais e procedimentais, além da previsão de treinamentos e campanhas de conscientização das equipes, dos parceiros, fornecedores e clientes.


Mapeamento do fluxo de dados - Depois de elaborar a matriz risco, o ideal é fazer, portanto, um mapeamento do fluxo de dados para definição da nova governança junto à área de tecnologia da informação, especialmente no que se refere aos controles de consentimento. Trata-se do caminho a ser percorrido internamente: coleta do dado, seu uso, compartilhamento, enriquecimento, armazenamento nacional ou internacional, com ou sem uso de nuvem, eliminação e, também, portabilidade dos dados.


Código de Conduta - é a elaboração ou atualização do Código de Conduta da empresa com vistas a disseminar a cultura de respeito à proteção de dados pessoais de cada funcionário e até mesmo fornecedores e prestadores de serviços.


Política de Privacidade e Gestão de Dados Pessoais - Feito o Código de Conduta, prossegue-se, enfim, com a elaboração ou atualização da Política de Privacidade e de Gestão de Dados Pessoais, considerando os vários procedimentos trazidos pela nova lei sobre fluxo, padrão de criptografia, guarda de logs e etc. Tais documentos, contudo, devem ser assinados por todas as empresas do mesmo grupo econômico.


Check list de verificação - O passo seguinte, desse modo, é a elaboração de um check list capaz de verificar, previamente a qualquer contratação, se a outra parte também está em conformidade com as novas regras de proteção de dados pessoais.


Atualização de cláusulas em contratos com parceiros - é aconselhado fazer a atualização das cláusulas de contratos com parceiros e fornecedores que realizam qualquer tipo de tratamento de dados. Atenção especial deverá ser voltada, dessa forma, àqueles parceiros que fornecem soluções de gestão de informação, nuvem, e-mail, marketing, big data, mídias sociais, dentre outros – todos os atos em parceria que envolvam coleta de dados, produção, recepção, classificação, acesso, utilização, transmissão, armazenamento, enriquecimento ou, mesmo, eliminação de dados.


Revisão e atualização de cláusulas em contratos com consumidores finais - A atualização das cláusulas, então, deve ser sucedida de uma revisão e atualização das cláusulas de contratos firmados com seus funcionários e consumidores finais, incluindo-se, aqui, os termos de confidencialidade, também denominados NDA (non disclosure agreement).


Termos de Uso e Política de Privacidade - Por fim, é o momento da elaboração ou revisão dos Termos de Uso e da Política de Privacidade disponibilizada ao consumidor final, expondo com clareza sobre o tratamento dos dados, a finalidade do seu uso, a justificativa jurídica para tanto, além de novos direitos dos usuários como portabilidade, exclusão, minimização de uso, limitação e outros.


Por fim, muitos se questionam sobre a obrigatoriedade do cumprimento da LGPD, visto que atualmente o Compliance Tributário se tornou algo novo que muitas empresas ainda estão buscando se adequar, contudo, a LGPD estabeleceu penalidades importantes para o descumprimento de suas determinações, que vão, então, desde a advertência até a imposição de multa no valor máximo de R$50.000.000,00 (cinquenta milhões de reais) por infração, observando-se especialmente o requisito da proporcionalidade.


Um programa de Compliance que traga consigo mecanismos de gestão de dados, em consonância com o que estabelece a LGPD, além de evitar a ocorrência de eventos danosos, portanto, está entre os elementos atenuantes na dosimetria da punição a ser aplicada pela autoridade fiscalizadora em caso de infração.


Além da gravidade da infração, do grau do dano causado, dentre outros pontos, também será verificado se houve a adoção de mecanismos e procedimentos internos para mitigar os danos, a existência de políticas de boas práticas e governança e, ainda, se medidas corretivas foram prontamente adotadas.


Assim como o Compliance é adotado em outras esferas da cultura organizacional, notadamente no tocante à Lei Anticorrupção, legislação trabalhista e tributária, também é altamente recomendado como meio efetivo para implementação das diretrizes que regem a LGPD.


Desta forma, esperamos ter sanado as principais dúvidas sobre o tema, não esqueça de comentar o que acha sobre o tema e como ele impactou na sua rotina se você trabalha com Compliance Tributário, se ainda não trabalha mais busca atuar, conte-nos as suas expectativas.



Ragelia Kanawati

Advogada Tributarista OAB/AM 10.998

32 visualizações0 comentário
® Ragelia Kanawati - Educação Fiscal®

© 2020 by Ragelia Kanawati - Educação Fiscal 

Todo o conteúdo publicado neste site é protegido pelas leis de direitos autorais, a reprodução parcial ou total é autorizada desde que com a devida referência. Lei 9610/98

Av. Eduardo Ribeiro, 620, Edifício Cidade Manaus

Sala 308, 3º andar, Centro, CEP 69010-001

Manaus/Amazonas

Telefone: (92) 3083-0080 

WhatsApp: (92) 99231-5646

  • Facebook ícone social
  • Spotify ícone social
  • Twitter ícone social
  • SoundCloud ícone social
  • LinkedIn ícone social
  • Instagram ícone social
  • YouTube ícone social