A Receita Federal pode coletar dados de usuários de redes sociais?

Agora é oficial: a Receita Federal está olhando o que você posta nas redes sociais. Não é mais conversa de bar; no último dia 14 de março, o próprio órgão utilizou uma rede social (Twitter) para confirmar o que já se falava em alguns canais da mídia.

Segundo a nota oficial divulgada, “a Receita Federal utiliza informações de redes sociais de forma rotineira na análise e seleção de contribuintes para fins de fiscalização. Na execução da fiscalização é muito comum que o Auditor-Fiscal analise as redes sociais para identificar bens e possíveis interpostas pessoas (laranjas) nos relacionamentos do contribuinte fiscalizado. Já na área de seleção e programação da ação fiscal, a Receita Federal está utilizando modelos de inteligência artificial que realizam buscas na internet e incluem essas informações dentre os parâmetros para seleção do contribuinte para fiscalização (malha)”.

Basicamente, a Receita Federal vem se utilizando de tecnologias para obtenção de dados disponíveis na internet que já é bastante difundida no setor privado e atendem aos mais diversos fins (ampliação de bancos de dados de empresas de saúde, do setor financeiro, de bureaus de crédito etc).

Dentre outros citados na comunicação, estes são alguns exemplos concretos de usos que o órgão faz ou já fez das informações extraídas de redes sociais:

  • A partir de fotos analisadas, a Receita descobriu relação de um laranja com o real proprietário da uma empresa;
  • A Receita percebeu a real situação financeira de um cidadão em razão de comentários de seu filho (de idade não revelada) sobre bens e viagens caras de seu pai;
  • Constantemente, agentes da Receita monitoram as amizades entre usuários de redes sociais, a fim de descobrir laranjas e transferências patrimoniais; e
  • Determinada vez, a Receita verificou que um laranja, “dono de empresa” que faturava 100 milhões por ano, postava fotos de “churrasco na laje”, demonstrando incompatibilidade de sua situação de proprietário daquela empresa.

Do ponto de vista jurídico, a medida, que, segundo a própria Receita, tem relevante eficácia na caça aos sonegadores, levanta alguns pontos de preocupação, quais sejam:

  1. Qual o fundamento legal que justifica a utilização de redes sociais de forma rotineira na análise e seleção de contribuintes para fins de fiscalização?

Em primeiro lugar, é relevante mencionar que a utilização de dados variados tem se tornado uma tendência na fiscalização de contribuintes ao redor do mundo.

No Brasil, em teoria, o Fisco pode se valer de todas as informações não protegidas por sigilo. Nesse sentido, a fim de analisar a possibilidade de o Fisco obter informações por meio de redes sociais, é importante tecer alguns comentários sobre a oponibilidade de sigilo ao Fisco.

Inicialmente, pode-se citar o sigilo bancário, previsto no artigo 5º, X, da CF/88 e no artigo 1º da Lei Complementar 105/2001. A mesma Lei Complementar nº 105/2001, que garante o sigilo bancário, autoriza o acesso dos dados pelo Fisco, nos casos considerados indispensáveis, não condicionando esse acesso à obtenção de decisão judicial.

Recentemente, a possibilidade de o Fisco acessar os dados bancários dos contribuintes independentemente de decisão judicial foi considerada constitucional pelo Supremo Tribunal Federal, no julgamento das ADI 2390, 2386, 2397 e 2859. Nesses casos, afirmou-se, em suma, que o acesso aos dados bancários pelo fisco coaduna-se com o dever dos contribuintes, de pagar tributos, e do Fisco, de bem tributar e de fiscalizar. Além disso, entendeu-se não se tratar de qualquer quebra de sigilo, mas de transferência do sigilo da instituição financeira para o Fisco.

Esse tema, na realidade, não foi discutido somente no Brasil. Como também é sabido, os Estados Unidos iniciaram os movimentos nesse sentido com o Foreign Account Tax Compliance Act (“FATCA”), que trata do intercâmbio de informações financeiras de cidadãos norte-americanos. A OCDE também inseriu esse ponto em seus avanços mais recentes, com o Common Reporting Standard (“CRS”), que trata da troca de informações entre os países signatários da convenção multilateral sobre assistência mútua em matéria tributária.

Todo esse pano de fundo é relevante para se concluir que os países têm se articulado para obter cada vez mais informações sobre os contribuintes, a fim de evitar o fenômeno mundialmente observado da sonegação fiscal, que ganhou extrema relevância nos últimos anos, sendo o principal enfoque de recentes medidas e recomendações da Organização para a Cooperação e Desenvolvimento Econômico (“OCDE”)[1].

Sopesando esses valores, do direto ao sigilo perante o Fisco e da necessidade de combate à sonegação, apontada como um fator de instabilidade do bem-estar social global, é até compreensível o posicionamento da Receita com relação à obtenção de dados pessoais na internet, tal como recentemente divulgado, pois, se o Fisco pode acessar até mesmo informações protegidas pelo sigilo constitucional, poderia em tese, também, valer-se de dados que o próprio contribuinte disponibiliza na internet.

Portanto, estritamente do ponto de vista do Direito Tributário, a medida formalmente anunciada pela Receita não encontra óbices jurídicos.

  1. Quais são os limites da legalidade da medida?

Em que pese o Fisco, do ponto de vista do Direito Tributário, poder acessar as informações dos contribuintes postadas na internet, tal fato não significa que inexistam limites para esse acesso e tratamento dos dados coletados.

Nesse sentido, a utilização das redes sociais por um ente público deve respeitar os princípios da administração pública, notadamente o da moralidade, previsto no artigo 37 da Constituição Federal. Assim, o Fisco, mesmo arguindo a seu favor a necessidade de combate à sonegação fiscal, não poderia utilizar-se de meios ardilosos para obter informações que o usuário definiu como privadas para determinados grupos. Portanto, hipoteticamente, não poderia o Fisco proceder à criação de perfil de usuário falso nas redes sociais para obter informações que não são divulgadas em modo público e irrestrito.

Ainda assim, na prática tributária, é possível observar uma tendência que confere menor grau de prevalência dos argumentos protetivos de cunho mais formalista. Em outras palavras, tem-se relativizado, cada vez mais, eventuais vícios nos meios de fiscalização e lançamento, se verificada a real existência de crédito tributário, o que também enfraquece argumentos dos contribuintes contrários à utilização de dados pessoais postados em redes sociais nos procedimentos investigativos.

  1. Há norma jurídica específica para coleta de dados de usuários de internet?

Para além da possibilidade genérica de acesso por parte de Receita a dados públicos (e até mesmo sigilosos, como dados bancários) para fins de fiscalização e seleção de contribuintes, especificamente com relação aos dados coletados de usuários de internet, é necessário observar que há regras específicas, aplicáveis a entes públicos e privados, positivadas pelo Marco Civil da Internet (Lei Federal n. 12.965/2014, que, em seu artigo 1o: “estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria”).

Nesse sentido, importante destacar que o Marco Civil determina, sem exceção, que os dados pessoais dos usuários de internet não serão coletados e/ou compartilhados com terceiros sem que haja consentimento do titular (artigo 7o, incisos VII e IX). De tal forma, o artigo 7o do Marco Civil da Internet confere algum controle ao usuário sobre a circulação de seus dados na internet mesmo em hipóteses em que este os publica em redes sociais, por exemplo.

Isso porque, à luz do direito à privacidade e à proteção dos dados pessoais conferido pelo Marco Civil da Internet, ao menos em tese, um dado pessoal publicado por um usuário de rede social (ainda que em modo público) não deveria ser tratado para outra finalidade que não o da mera exposição pública naquela rede social sem o seu consentimento[2]. Nas palavras de Renato Leite Monteiro, “dados públicos também podem ter natureza pessoal, o que deve conferir aos seus titulares controle sobre a sua divulgação e coleta, caso não haja previsão em lei determinando a publicidade”, ou seja, o fato de um dado ser público ou estar disponível publicamente na internet não é suficiente para afastar a proteção que lhe é conferida pelo Marco Civil.

Portanto, do ponto de vista do direito à privacidade no âmbito virtual, regulamentado (parcialmente) pelo Marco Civil da Internet, a prática da Receita Federal ora analisada, em tese, pode ensejar questionamentos, os quais serão contrapostos, por certo, com os fundamentos que autorizam o Fisco a obter dados (especialmente que não estejam acobertados por sigilo) para fins de seleção e fiscalização de contribuintes.

  1. Quais os padrões de segurança adotados pela Receita para evitar o vazamento das informações coletadas?

Superada a possível controvérsia sobre a legalidade (e seus limites) da Receita para coleta e utilização de dados de usuários de redes sociais, a medida oficialmente anunciada desperta preocupação com relação à segurança dos bancos de dados mantidos pelo órgão, agora sabidamente enriquecidos com informações extraídas das redes sociais.

Apesar de admitir que, cada vez mais, as bases de dados apresentam mais detalhes sobre os contribuintes (inclusive informações potencialmente sensíveis), a nota oficial disponibilizada não apresenta os padrões de segurança que são adotados pela Receita Federal. Vale lembrar, inclusive, que, quando o caso do site TudoSobreTodos.se [3] veio à tona, especialistas chegaram a suspeitar de que tais dados poderiam ter sido obtidos a partir de acesso indevido à própria base da Receita Federal, o que até o momento não foi totalmente confirmado (muito menos desmentido).

Ademais, já que a comunicação da Receita Federal não sinalizou quais procedimentos de segurança da informação são adotados, espera-se que sejam seguidos, no mínimo, aqueles trazidos pelo artigo 13 do Decreto 8.771/2016 (que regulamentou o Marco Civil da Internet), aplicáveis a provedores de conexão e aplicação de internet, já que ao menos incluem a encriptação dos dados.

Nesse ponto, é relevante relembrar que no julgamento das ADI 2390, 2386, 2397 e 2859, anteriormente citadas, o STF expressamente consignou a obrigatoriedade de o Fisco prezar pelo sigilo dos dados bancários obtidos. Nessa linha, na hipótese de a Receita acessar os dados dos contribuintes, deve, ao menos, prezar pela maior segurança possível dos dados obtidos.

  1. As leis existentes atualmente são suficientes para garantir a tutela dos dados dos usuários ante a nova realidade de coleta e tratamento de dados por órgãos do Governo?

Em conclusão da análise acerca do anúncio feito recentemente pela Receita Federal, podemos perceber que as leis que temos hoje no Brasil não são suficientes para trazer a necessária segurança à proteção da privacidade dos cidadãos, que representa um direito constitucional fundamental, nem para garantir à Administração Pública o respaldo na coleta e tratamento de dados pessoais de usuários de internet no Brasil.

No caso em comento, se de um lado os fundamentos de Direito Tributário justificam a coleta e uso de dados das redes sociais na atividade desenvolvida pelo Fisco, de outro, a falta de ampla regulamentação sobre o tema é suficiente para nos trazer dúvidas sobre a legalidade de tais atos, sendo que a mesma incômoda sensação de insegurança afeta toda a economia digital no Brasil, que não encontra respostas totalmente objetivas e claras sobre quais as possibilidades e limites da mineração de dados na internet.

Isso porque o Marco Civil da Internet traz uma regra desacompanhada de exceções, segundo a qual a única hipótese clara de tratamento de dados de usuários de internet (seja por entes públicos ou privados) passa pela prévia obtenção de consentimento do usuário.

Diante de tantas dúvidas jurídicas com relação ao ato mais corriqueiro da economia digital atual (a coleta e tratamento de dados pessoais para os mais diversos fins), algumas certezas podem ser extraídas:

(i) precisamos urgentemente de uma Lei Geral sobre Proteção de Dados, que concilie segurança jurídica de quem trata dados com tutela da privacidade dos indivíduos, e

(ii) a regulamentação sobre proteção de dados no Brasil não pode deixar de abranger os atos praticados pela Administração Pública. O atual cenário jurídico da proteção de dados no Brasil é catastrófico tanto para o vigilante quanto para o vigiado.

 

Luis Fernando Prado Chaves é advogado no escritório Opice Blum, Bruno, Abrusio e Vainzof em São Paulo e especialista em Propriedade Intelectual e Novos Negócios pela FGV Direito SP, onde também é pesquisador externo na linha de pesquisa sobre privacidade e proteção de dados do Grupo de Ensino e Pesquisa em Inovação (GEPI).

Guilherme Almeida de Oliveira é advogado no escritório Schneider, Pugliese em São Paulo e especialista em Direito Tributário pelo Instituto Brasileiro de Direito Tributário (IBDT).

 

Artigo publicado em 05.04.2017 no Justificando – Carta Capital e disponível em http://justificando.cartacapital.com.br/2017/04/05/receita-federal-pode-coletar-dados-de-usuarios-de-redes-sociais/.


[1] Como exemplo, note-se que a OCDE já chegou a influenciar em proposta de combate à sonegação no Brasil, apresentada pelo então ministro da Fazenda (Joaquim Levy): https://www.cartacapital.com.br/politica/deputados-derrubam-proposta-ocde-sonegacao-7275.html. Acesso em 04.04.2017.

[2] Os entendimentos jurídicos, por ora, admitem que o consentimento seja obtido por meio de aceite expresso às políticas de privacidade mantidas pela plataforma (opt-in), as quais devem ser redigidas de maneira clara e objetiva, prevendo as formas de acesso de terceiros aos dados pessoais inseridos pelos usuários.

[3] Página na internet que expunha dados pessoais de brasileiros com possibilidade de consulta, entre outros dados, ao número de CPF e endereço.

Por que a Internet das Coisas revolucionará o Direito Digital?

O Governo brasileiro começa a dar seus primeiros passos no estudo dos desafios para a implementação da Internet das Coisas (em inglês, “Internet of Things”, ou simplesmente “IoT”). Mas, antes de começar a falar sobre, pergunta-se: o que é Internet das Coisas e por que este assunto merece ser protagonista de uma agenda própria?

Internet das Coisas[1] é o termo utilizado para designar a interação entre máquinas (“machine to machine”, ou simplesmente “M2M”), a partir de suas identificações por radiofrequência, tags, sensores etc., de forma que, por meio de protocolos de transmissão de dados específicos, elas possam atingir uma finalidade em comum[2]. Resumidamente, IoT é a tecnologia por meio da qual, a partir de determinadas regras técnicas, as máquinas (hardwares) trocam informações e comandos entre si, fazendo com que determinada ação seja executada.

Na Europa, o assunto vem sendo estudado há mais tempo pelas respectivas autoridades competentes. Por exemplo, em março de 2015, a Comissão Europeia lançou o programa de Alliance for Internet of Things Innovation (AIOTI), com o intuito de fomentar o desenvolvimento do ecossistema de IoT no União Europeia. Além disso, foi adotado o plano Digital Single Market (DSM) Strategy, que tem como objetivo colocar a Europa um passo à frente da comunidade global no desenvolvimento da tecnologia de IoT, assim como, promover a interoperabilidade necessária entre os dispositivos para a sua efetiva implementação.

No Brasil, o assunto, em âmbito governamental, é encabeçado pela Câmara IoT do Ministério da Ciência, Tecnologia, Inovações e Comunicações (MCTIC), pelo Banco Nacional de Desenvolvimento (BNDES) e pelo Consórcio composto pelo Centro de Pesquisa e Desenvolvimento em Telecomunicações (CPqD), a consultoria McKinsey Global Institute e o escritório de advocacia Pereira Neto Macedo.

Referido Consórcio apresentou, no final do ano passado, um plano de estudo sobre IoT, a ser executado em nove meses contados a partir de novembro/2016, dividido nas três seguintes fases: (i) diagnóstico do potencial impacto da Internet das Coisas no Brasil, (ii) verificação da situação atual do país para desenvolvimento da tecnologia e (iii) criação do Plano de Ação 2017-2022, o qual, por sua vez, envolve a implementação de políticas públicas de fomento para IoT.

Como uma das medidas para se estudar os desafios para a implementação de políticas públicas de fomento para IoT, foi realizado, no último dia 07, na Escola de Direito de São Paulo da Fundação Getúlio Vargas, workshop de altíssimo nível sobre o tema, no qual foram debatidos assuntos como desafios técnicos para implementação da IoT, entraves regulatórios e, claro, impactos jurídicos da utilização massiva da IoT, sobretudo com relação ao tema da privacidade e proteção de dados pessoais.

E é justamente este último que chama a atenção para o Direito Digital.

Esse novo ramo do direito, multidisciplinar e totalmente dinâmico, sofrerá provavelmente uma de suas grandes revoluções à medida em que a IoT for, de fato, uma realidade de Norte a Sul do País. Atualmente, temos sólida regulamentação dos serviços de conexão e aplicação da Internet, mas fato é que a IoT não abrange apenas tais serviços. Trata-se, na verdade, de ecossistema tecnológico de extrema complexidade, o qual, certamente, ensejará novos desafios jurídicos na medida em que for implementado.

Nesse sentido, especial destaque deve ser feito à questão da privacidade, considerando que muitos dispositivos eletrônicos que fazem ou farão parte do ecossistema de IoT têm como característica intrínseca a coleta e tratamento massivo de dados, o que, muitas vezes, pode envolver o armazenamento e compartilhamento de dados pessoais (até mesmo de dados sensíveis).

Quanto a esse tema, cumpre ressaltar que ainda não existe no Brasil uma Lei Geral de Proteção de Dados Pessoais, mas apenas legislações infraconstitucionais, as quais não são suficientes para conferir adequada segurança jurídica a empresas e usuários/consumidores com relação ao tratamento de dados no âmbito das novas tecnologias, como a de IoT. Hoje, tramitam no Congresso, pelo menos, 3 (três) relevantes Projetos de Lei sobre Proteção de Dados Pessoais (PL 4.060/2012, PL 5.276/2016, PLS 330/2013), os quais ainda estão sendo objeto de estudo e debate.

Para além da defasagem no estudo de políticas públicas para IoT em relação a outras nações, o Brasil também convive com o amargo constrangimento de ser um dos países mais atrasados na edição de Lei Geral sobre Proteção de Dados, fato este que vem freando, inclusive, o investimento de empresas de tecnologia no Brasil, por não sentirem a segurança jurídica necessária para fazê-lo.

Por outro lado, o atraso tupiniquim no debate sobre IoT e sobre proteção de dados pessoais traz, se assim é possível afirmar, alguma vantagem para os debates que atualmente acontecem. Isso porque, no presente contexto, temos a oportunidade de estudar e debater políticas públicas de regulamentação sobre dois temas totalmente correlatos, sendo certo que as discussões sobre o desenvolvimento de IoT não podem deixar de lado o estudo sobre proteção de dados e vice-versa.

Em outras palavras, temos uma chance – que não podemos deixar passar – de estabelecer uma das regulamentações sobre proteção de dados mais avançadas do mundo, ao mesmo tempo em que estamos estudando políticas públicas que devem garantir o desenvolvimento do ecossistema IoT sem abrir mão dos direitos dos usuários.

Nesse contexto, podemos elencar três pontos fundamentais que devem fazer parte do debate sobre proteção de dados e desenvolvimento da IoT no Brasil:

  • O que será considerado como “dado pessoal” para o Direito brasileiro? Responder a essa pergunta é o primeiro passo para a segurança jurídica do desenvolvimento de IoT no País. Assim, os responsáveis pelo funcionamento do ecossistema poderão saber quais atos/produtos estão sujeitos à regulamentação da proteção aos dados pessoais e quais estão à margem da aplicação de tal sistema jurídico;
  • Quais os padrões de segurança que devem ser adotados? Essa questão é fundamental para evitar ataques cibernéticos (que podem colocar em risco a segurança física e psíquica dos usuários), bem como episódios de vigilância estatal em massa dos usuários da tecnologia de IoT. Por outro lado, a discussão entre privacidade e investigação tende a se acirrar, na medida em que as soluções técnicas de segurança da informação e estratégias de negócio forem evoluindo. Por exemplo, no final do ano passado, a gigante Amazon se recusou a fornecer gravações do produto Echo de um pessoa investigada por assassinato, sendo que embates como este devem ser cada vez mais frequentes no cotidiano.

Esses são apenas alguns pontos inicias que relacionam o ecossistema de IoT ao estudo do Direito Digital. Para além de tais entraves e desafios, o fato mais interessante de se notar é a verdadeira revolução da Governança da Internet. À época da construção do Marco Civil da Internet, que serve para regulamentar a Internet das pessoas, os principais atores das discussões a nível de regulamentação eram: representantes do governo, entidades de defesa do consumidor e de usuários de Internet, algumas distribuidoras de mídia e entretenimento e provedores de Internet (sejam eles de conexão ou aplicação).

No caso da Internet das Coisas, considerando a variedade de produtos e serviços que passarão a fazer parte do mundo digital, é, simplesmente, inestimável o número e o tipo de players que deverão estar interessados nos debates sobre sua governança. Em síntese, empresas e diversos setores que nunca estiveram imersos no âmbito de regulação do uso da tecnológica e, até o momento, estavam à margem da discussão sobre Governança da Internet, devem entrar no debate, o que, sem sombra de dúvidas, servirá para enriquecer as futuras regulamentações e políticas públicas sobre IoT no Brasil.

O enredo ainda é semelhante: tirar o atraso do Brasil com relação ao estudo da tecnologia em âmbito jurídico e político e garantir o desenvolvimento tecnológico preservando-se direitos (no caso da IoT, sobretudo o direito à privacidade). Os atores é que vão mudar: além dos velhos conhecidos de outrora, entrarão em cena novos agentes, novas indústrias, novos setores, novas organizações, com novas ideias.

Espera-se que setores técnicos e jurídicos estejam em plena sintonia, a fim de estabelecermos no Brasil uma moderna e exemplar regulamentação sobre o tema, bem como políticas públicas sobre proteção de dados pessoais e IoT que garantam, ao mesmo tempo, o desenvolvimento tecnológico do País e a preservação dos direitos fundamentais dos seus cidadãos.

Luis Fernando Prado Chaves (luisprado@digitalrights.cc)

Maria Cecilia Oliveira Gomes (mariacecilia@digitalrights.cc)

 

Artigo replicado da página Justificando: http://justificando.cartacapital.com.br/2017/02/20/por-que-internet-das-coisas-revolucionara-o-direito-digital/


[1] “This so-called Internet of Things—or machine-to-machine connectivity and communications —promises to usher in “a third computing revolution” and bring about profound changes that will rival the first wave of Internet innovation. The first use of the term “Internet of Things” is attributed to Kevin Ashton, who used it in the title of a 1999 presentation”. Adam Thierer, The Internet of Things and Wearable Technology: Addressing Privacy and Security Concerns without Derailing Innovation, 21 RICH. J.L. & TECH. 6 (2015), http://jolt.richmond.edu/v21i2/article6.pdf.

[2] Atzori et al., The Internet of Things: A survey, Comput. Netw. (2010), doi: 10.1016/j.comnet.2010.05.010.