Desde o julgamento do Recurso Especial n° 1.221.170, pelo Superior Tribunal de Justiça (STJ), a essencialidade e relevância das despesas incorridas pelo contribuinte têm sido basilares para a categorização dos insumos passíveis de tomada de crédito das contribuições ao PIS e à Cofins.
Neste contexto, não se pode desprezar aquelas despesas que, muito embora não estejam diretamente vinculadas ao objeto social do contribuinte, são essenciais e relevantes às suas atividades. Exemplo disso são as despesas necessárias para a implementação de medidas organizacionais e de segurança para o compliance à Lei Geral de Proteção de Dados (LGPD).
Com efeito, a Lei nº 13.709/18, cuja vigência teve início em setembro de 2020, contém uma série de exigências legais aos agentes de tratamento de dados pessoais, isto é, controladores e operadores, relacionadas à instituição de uma estrutura corporativa de compliance com a proteção de dados pessoais e segurança da informação.
Entre as exigências previstas na LGPD, está a necessidade de adoção de medidas técnicas e organizacionais de segurança capazes de proteger os dados pessoais sob seu tratamento e responsabilidade, além de outras obrigações acessórias como, por exemplo, manutenção de um registro detalhado de todas as atividades de tratamento realizadas, implementação de mecanismos e procedimentos que assegurem o exercício dos direitos dos titulares, contratação do profissional encarregado pelo tratamento dos dados, também conhecido como Data Protection Officer, despesas com treinamento e capacitação dos colaboradores, modificação dos instrumentos jurídicos em vigor, dentre outros.
A lei ainda prevê que qualquer infração verificada às normas de LGPD pode ensejar a aplicação de penalidades que vão desde multa de até 2% do faturamento da pessoa jurídica de direito privado até proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Bem por isso, a implementação de medidas capazes de conter qualquer infração à lei não pode ser desprezada, o que acaba por gerar despesas descomunais para garantir a conformidade com a legislação. Isto se deve, preponderantemente, ao fato de que a maioria das empresas que realiza atividades de tratamento de dados pessoais não possui uma estrutura de compliance suficientemente adequada para garantir o cumprimento das disposições introduzidas pela LGPD.
Com base, justamente na premissa de que a infração à lei gera penalidades e, bem por isso, os dispêndios incorridos com a implementação e manutenção de programas de proteção de dados e de conformidade com a LGPD são indispensáveis para qualquer empresa que lida com dados de terceiros, foi recentemente interposta medida judicial no estado de São Paulo, requerendo, via mandado de segurança, o reconhecimento quanto à possibilidade de tomada de crédito de PIS e Cofins sobre tais despesas.
Não obstante a concessão de segurança em primeira instância, a decisão foi revertida pelo Tribunal Regional Federal, com base nos seguintes argumentos (1) a impetrante não teria comprovado nem sequer especificado quais gastos teriam sido incorridos; (2) a via mandamental não se presta à comprovar os gastos incorridos, eis que demanda prova pré-constituída; (3) a lei 13.709/18 não impõe à impetrante (ou a qualquer empresa) a obrigatoriedade de assunção de despesas; e (4) a implementação e manutenção de programas de proteção de dados, frente a atividades tais como indústria ou comércio, não constituem insumo para fins de tomada de crédito de PIS e Cofins.
Em que pese o precedente em desfavor do contribuinte, importa verificar a abordagem utilizada pelo TRF, que denegou a segurança por falta da efetiva comprovação das despesas incorridas e sua indispensabilidade (essencialidade e relevância) às atividades da empresa.
Isto porque, embora estas despesas não incrementem a produção de mercadorias e a prestação de serviços, importa comprovar que, acaso elas não tivessem sido incorridas, os dados trabalhados pelo contribuinte estariam sob risco, o que poderia gerar a aplicação das penalidades instituídas pela Lei 13.709/18, fato este que, no pior dos cenários, poderia descreditar as suas atividades diante do mercado em geral.
Frente a estes argumentos, defendemos como plausível a interposição de ação declaratória visando a tomada de crédito de PIS e Cofins sobre despesas com LGPD, desde que comprovadas sua destinação e imprescindibilidade nas atividades do contribuinte.