Os gastos com LGPD podem ser considerados insumos para apuração do PIS/COFINS?
Desde a publicação da Lei Geral de Proteção de Dados, as empresas precisaram realizar investimentos no tratamento de dados pessoais. Com isso, começou a se discutir se esses gastos poderiam gerar créditos de PIS/COFINS.
O sócio Guilherme Chambarelli, em coautoria com Luiza Leite, publicou o artigo “LGPD como insumo: do compliance ao aproveitamento de créditos de PIS e COFINS“, na coluna Regulação e Novas Tecnologias do portal JOTA de hoje (23.03.2021).
Desde a sua entrada em vigor, em setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) vem impondo uma série de requisitos às empresas, o que demanda interdisciplinaridade destas para estar em adequação com a normativa. A lei, que trouxe consigo o dever de segurança, ética e responsabilidade, quando se trata de dados pessoais, vem provocando a necessidade de adequação não apenas do setor jurídico ou do “TI”, mas da empresa como um todo, uma vez que toda a estrutura da instituição deve seguir as regras e princípios de proteção de dados.
Ocorre que, a LGPD, que no primeiro momento estava sendo encarada apenas como uma obrigação regulatória, foi além disso. Tornando-se essencial nas rotinas operacionais das empresas, tanto do ponto de vista estratégico como do comercial.
Isso pois, considerando que a LGPD estabeleceu a possibilidade de responsabilização solidária (art. 42 a 45) entre operador e controlador, as corporações que já estão adequadas à normativa – ou que estão caminhando para isso – buscam parceiros comerciais com o mesmo nível de maturidade em proteção de dados. Com isso, o processo de compliance torna-se um diferencial competitivo na indústria e a LGPD estabelece um efeito cascata, em que empresas non-compliant serão marginalizadas e perderão espaço para aquelas que já se adiantaram no processo de adequação.
Essa conformidade também permite às empresas adentrarem na concorrência global e em mercados internacionais mais exigentes com questões relativas à privacidade e proteção de dados, como o europeu.
Além disso, existe o potencial passivo com proteção de dados nas empresas, advindo das responsabilizações administrativas (arts. 52 a 54) e cíveis (arts. 42 a 45). Estas decorrentes da não adequação com a LGPD. Neste ponto, há de se citar, por exemplo, a multa de até R$ 50 milhões, a suspensão do direto de tratar dados e as indenizações por danos morais e materiais. Fatores estes que demonstram ainda mais a necessidade das empresas seguirem à risca a normativa.
Contudo, embora existam diversas razões para que as instituições estabeleçam seus programas de adequação, os custos para isso são elevados. No Brasil, estes podem alcançar uma média de R$ 700 mil ao ano, em empresas de médio porte, considerando-se o salário do DPO (figura encarregada pelo tratamento de dados na empresa), a assinatura de softwares e time de privacidade. Nas empresas de menor porte, o investimento anual pode atingir cerca de R$ 300 mil, considerando o salário de um DPO ou a contratação de uma empresa terceirizada que cumprirá com as obrigações estabelecidas na lei.
Sem dúvidas, são gastos relevantes e que podem impactar diretamente a saúde financeira das empresas. Por outro lado, analisando esses custos de maneira mais estratégica, é possível identificar alguns efeitos colaterais que podem gerar oportunidades positivas para as empresas.
Isso porque as premissas acima apresentadas nos levam à reflexão acerca da essencialidade e relevância dos gastos com tratamento de dados pessoais e com compliance à LGPD. Ou mais do que isso, se esses gastos são, na verdade, uma imposição do legislador, sem os quais as empresas podem sofrer sanções administrativas, de modo que estariam dentro dos critérios de insumos para fins de creditamento do PIS e da COFINS, na sistemática de apuração não cumulativa dessas contribuições.
Para entender essa discussão, é necessário voltar um pouco no tempo. No julgamento do REsp n° 1.221.170, o Superior Tribunal de Justiça – STJ reconheceu a ilegalidade das Instruções Normativas nºs 247/2002 e 404/2004 da Receita Federal do Brasil – RFB, que anteriormente definiam que os insumos de PIS/COFINS deveriam ser reconhecidos nos mesmos moldes da legislação do IPI, portanto, um critério muito restritivo.
Nesse contexto, o STJ definiu que o conceito de insumo deve ser aferido à luz dos critérios de essencialidade ou relevância, ou seja, considerando-se a imprescindibilidade ou a importância de determinado item – bem ou serviço – para o desenvolvimento da atividade econômica desempenhada pelo contribuinte.
Com base na tese adotada pelo STJ, a Receita Federal publicou o Parecer Normativo COSIT nº 5/2018, onde buscou trazer sua interpretação sobre o julgado e expôs, entre outros pontos, que critério da relevância é identificável no item cuja finalidade, embora não indispensável à elaboração do próprio produto ou à prestação do serviço, integre o processo de produção, seja pelas singularidades de cada cadeia produtiva, seja por imposição legal.
Há diversos casos em que a própria Receita Federal já reconheceu a possibilidade de créditos de PIS e COFINS com gastos decorrentes de imposição legislativa.
O exemplo mais conhecido talvez seja em relação aos gastos com equipamentos de proteção individual (EPIs), em que há entendimento da RFB em sentido favorável ao contribuinte quando esses integram o processo de produção de bens ou de execução do serviço por imposição legal, como é o caso dos prestadores de serviços de limpeza, conservação e manutenção.
Além disso, na Solução de Consulta DISIT/SRRF07 nº 7.081/2020, concluiu-se que o gasto com vale-transporte fornecido pela pessoa jurídica a seus funcionários que trabalham diretamente na produção de bens ou na prestação de serviços pode ser considerado insumo, por ser despesa decorrente de imposição legal.
Em linha semelhante, recentemente, foi publicada a Solução de Consulta COSIT nº 1/2021, onde entendeu-se que as despesas com tratamento de efluentes para pessoas jurídicas dedicadas às atividades de curtimento e a outras preparações de couro seriam passíveis de créditos de PIS e COFINS não cumulativos, tendo em vista que esses gastos têm o intuito de mitigar danos ambientais e, com isso, afastar multas e sanções administrativas que seriam aplicáveis no caso de descumprimento das normas ambientais.
Veja-se, portanto, que a Receita Federal reconheceu que os gastos do contribuinte com itens que, uma vez suprimidos, poderiam causar danos à coletividade e, sobretudo, gerar sanções à empresa, devem ser entendidos como insumos para fins de créditos de PIS/COFINS não cumulativo.
Com esses conceitos em mente e retornando para a temática da proteção de dados pessoais, nota-se que o mesmo raciocínio é totalmente aplicável aos gastos de adequação à LGPD.
Do mesmo modo que no exemplo anterior, o não atendimento das empresas à LGDP expõe potenciais danos aos titulares como o vazamento de dados pessoais e o tratamento indevido desses, para além disso, é também passível de sanções administrativas e cíveis, como vimos acima.
Dito isso, é importante ressaltar que, a fim de resguardar o titular desses potenciais dados, o legislador estabeleceu os direitos dos titulares (art. 17 a 22), que devem ser respondidos imediatamente ou em até quinze dias. Ocorre que, para o cumprimento desses prazos legais, as empresas devem estabelecer processos de busca, de classificação dos dados e de respostas. Estes que, quando manuais, geram o custo com a hora/homem envolvida no atendimento de cada solicitação (em média R$ 7.000 por solicitação) e, quando automatizados, com a contratação de plataformas (em média R$ 200 mil por ano).
Da mesma forma, em se tratando dos vazamentos de dados e ataques aos sistemas, a gestão dos riscos de incidentes de segurança da informação necessita da implementação de uma série de protocolos, tecnologias e sistemas de identificação das falhas. Consequentemente, evitar multas, como a de R$ 6,6 milhões no caso do vazamento de dados de ao menos 443.000 usuários brasileiros do Facebook em 2019, implica em um alto investimento no compliance com a proteção de dados pessoais.
Também não se pode deixar de mencionar o custo com o DPO, cargo este criado e imposto pelo legislador às empresas que tratem dados. Neste caso, somente foi flexibilizada a forma de contratação da atividade, que pode ser por terceirização (art. 41), mas é eminente a sua obrigatoriedade.
Em outras palavras, são expressivos os investimentos que as empresas devem realizar para atender às exigências da LGPD e, quem assim não fizer, certamente provocará danos à coletividade e experimentará severas sanções, isso sem falar de todo o prejuízo comercial e na imagem da companhia.
Assim sendo, tudo isso nos leva a crer que os gastos das empresas com a adequação à LGPD vão muito além do critério da essencialidade e relevância, tendo em vista se tratar de obrigação legal e que, caso a Receita Federal mantenha o racional adotado em outros casos, devem gerar créditos de PIS e COFINS, por se enquadrarem no conceito de insumos.