Primeiramente cumpre esclarecer aqui o porquê da criação e existência da inserção do CPF nas Notas Fiscais.
Os governos estaduais criaram a opção de colocar o CPF na Nota Fiscal como forma de controlar a tributação fiscal do comércio, a fim de reduzir a sonegação de impostos.
Para “induzir” que os consumidores criem o hábito de solicitar o CPF na Nota, alguns estados oferecem abatimento de 10% no pagamento do IPVA; outros oferecem o mesmo desconto só que no pagamento do IPTU; outros fazem sorteio de prêmios que vão de R$ 5 mil a até R$ 1 milhão de reais; outros ainda disponibilizam um resgate de créditos acumulados que podem ser convertidos em crédito para celulares ou troca de ingressos para shows.
É importante não se esquecer que cada Estado possui seus próprio programas e diretrizes, então é interessante pesquisar.
Bom, mas e como fica essa tratativa dos dados pessoais que cedemos, tendo em vista o advento da Lei Geral de Proteção de Dados (LGPD) - Lei. 13.709/2018?
O artigo 7º, em seu incido II da LGPD traz expressamente que:
“Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
II. para o cumprimento de obrigação legal ou regulatória pelo controlador”
Ou seja, as empresas estão obrigadas a coletar o CPF dos clientes que consentirem com a cessão, para a finalidade específica de cumprir obrigação da Lei Estadual.
Caso a empresa resolva utilizar o CPF para qualquer outra finalidade, deverá seguir processos previstos na legislação, sempre respeitando os respectivos princípios.
Tal informação é confirmada pelo mesmo artigo 7º em seu Parágrafo 6º, que prescreve o seguinte:
“(...) §6º. A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular.
Até aqui, tudo bem! Mas e quanto à responsabilidade do Poder Público quando toma posse dessas informações?
O mesmo artigo 7º, em seu inciso III prescreve que:
“Art. 7º. O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
III. pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei.”
Essa previsão encontra fundamento no princípio da supremacia do interesse público. Então, uma vez que a lei visa atender interesse geral, considera-se dispensado o atendimento a quaisquer outros requisitos do referido artigo.
Mas não se preocupe porque o Estado também assume responsabilidades ao realizar o tratamento de dados pessoais; e essas responsabilidades estão elencadas no artigo 23 da LGPD, não ficando eximida ainda de cumprir com todos os princípios elencados no artigo 6º da mesma Lei.
Tendo em vista o foco do artigo que é a inclusão do CPF na nota fiscal, cumpre esclarecer que, os estados de São Paulo e Paraná exigem o consentimento do titular para coleta de dados pessoais quando a finalidade é a restituição de parcela do ICMS obtidos pela nota fiscal.
Em complemento ao informado acima, os artigos 25, 26 e 27 da LGPD descrevem expressamente quando e como os dados pessoais sob tutela da administração pública poderão ou deverão ser compartilhados, determinando ainda em qual formato deve estar. Para fiscalizar sua atuação, os artigos 29 e 30 da mesma legislação expõem que, a qualquer momento, a autoridade nacional podem solicitar aos órgãos e entidades do poder público a realização de operações de tratamento de dados pessoas, informações específicas sobre o âmbito e a natureza dos dados e outros detalhes do tratamento realizando, podendo ainda, emitir parecer técnico complementar para garantir o cumprimento da lei. Podendo a autoridade nacional ainda, estabelecer normas complementares para as atividades de comunicação e de uso compartilhado dos dados pessoais.
E se acontecer da administração pública não cumprir quaisquer das exigências explicitadas nesse artigo?
Nesse caso, o artigo 52 em seus incisos, elencam as sanções administrativas que estão sujeitos, são elas:
“I. Advertência, com indicação de prazo para adoção das medidas corretivas;
IV. Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI. Eliminação dos dados pessoais a que se refere a infração;
X. Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 06 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI. Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 06 (seis) meses, prorrogável por igual período;
XII. Proibição parcial ou total do exercício das atividades relacionadas a tratamento de dados.”
É fato que a administração pública é um dos maiores controladores de dados do país. É fato também que há tempos ela vem caminhando a passos lentos e que ainda existem muitos pontos obscuros passíveis de discussão. Porém estamos caminhando para a passos largos para um futuro em que a Lei Geral de Proteção de Dados tenha peso crescente. A conscientização e cobrança do consumidor tem papel fundamental para esse fim.
Cibeli Marques Bannitz