A Receita Federal pode coletar dados de usuários de redes sociais?

Agora é oficial: a Receita Federal está olhando o que você posta nas redes sociais. Não é mais conversa de bar; no último dia 14 de março, o próprio órgão utilizou uma rede social (Twitter) para confirmar o que já se falava em alguns canais da mídia.

Segundo a nota oficial divulgada, “a Receita Federal utiliza informações de redes sociais de forma rotineira na análise e seleção de contribuintes para fins de fiscalização. Na execução da fiscalização é muito comum que o Auditor-Fiscal analise as redes sociais para identificar bens e possíveis interpostas pessoas (laranjas) nos relacionamentos do contribuinte fiscalizado. Já na área de seleção e programação da ação fiscal, a Receita Federal está utilizando modelos de inteligência artificial que realizam buscas na internet e incluem essas informações dentre os parâmetros para seleção do contribuinte para fiscalização (malha)”.

Basicamente, a Receita Federal vem se utilizando de tecnologias para obtenção de dados disponíveis na internet que já é bastante difundida no setor privado e atendem aos mais diversos fins (ampliação de bancos de dados de empresas de saúde, do setor financeiro, de bureaus de crédito etc).

Dentre outros citados na comunicação, estes são alguns exemplos concretos de usos que o órgão faz ou já fez das informações extraídas de redes sociais:

  • A partir de fotos analisadas, a Receita descobriu relação de um laranja com o real proprietário da uma empresa;
  • A Receita percebeu a real situação financeira de um cidadão em razão de comentários de seu filho (de idade não revelada) sobre bens e viagens caras de seu pai;
  • Constantemente, agentes da Receita monitoram as amizades entre usuários de redes sociais, a fim de descobrir laranjas e transferências patrimoniais; e
  • Determinada vez, a Receita verificou que um laranja, “dono de empresa” que faturava 100 milhões por ano, postava fotos de “churrasco na laje”, demonstrando incompatibilidade de sua situação de proprietário daquela empresa.

Do ponto de vista jurídico, a medida, que, segundo a própria Receita, tem relevante eficácia na caça aos sonegadores, levanta alguns pontos de preocupação, quais sejam:

  1. Qual o fundamento legal que justifica a utilização de redes sociais de forma rotineira na análise e seleção de contribuintes para fins de fiscalização?

Em primeiro lugar, é relevante mencionar que a utilização de dados variados tem se tornado uma tendência na fiscalização de contribuintes ao redor do mundo.

No Brasil, em teoria, o Fisco pode se valer de todas as informações não protegidas por sigilo. Nesse sentido, a fim de analisar a possibilidade de o Fisco obter informações por meio de redes sociais, é importante tecer alguns comentários sobre a oponibilidade de sigilo ao Fisco.

Inicialmente, pode-se citar o sigilo bancário, previsto no artigo 5º, X, da CF/88 e no artigo 1º da Lei Complementar 105/2001. A mesma Lei Complementar nº 105/2001, que garante o sigilo bancário, autoriza o acesso dos dados pelo Fisco, nos casos considerados indispensáveis, não condicionando esse acesso à obtenção de decisão judicial.

Recentemente, a possibilidade de o Fisco acessar os dados bancários dos contribuintes independentemente de decisão judicial foi considerada constitucional pelo Supremo Tribunal Federal, no julgamento das ADI 2390, 2386, 2397 e 2859. Nesses casos, afirmou-se, em suma, que o acesso aos dados bancários pelo fisco coaduna-se com o dever dos contribuintes, de pagar tributos, e do Fisco, de bem tributar e de fiscalizar. Além disso, entendeu-se não se tratar de qualquer quebra de sigilo, mas de transferência do sigilo da instituição financeira para o Fisco.

Esse tema, na realidade, não foi discutido somente no Brasil. Como também é sabido, os Estados Unidos iniciaram os movimentos nesse sentido com o Foreign Account Tax Compliance Act (“FATCA”), que trata do intercâmbio de informações financeiras de cidadãos norte-americanos. A OCDE também inseriu esse ponto em seus avanços mais recentes, com o Common Reporting Standard (“CRS”), que trata da troca de informações entre os países signatários da convenção multilateral sobre assistência mútua em matéria tributária.

Todo esse pano de fundo é relevante para se concluir que os países têm se articulado para obter cada vez mais informações sobre os contribuintes, a fim de evitar o fenômeno mundialmente observado da sonegação fiscal, que ganhou extrema relevância nos últimos anos, sendo o principal enfoque de recentes medidas e recomendações da Organização para a Cooperação e Desenvolvimento Econômico (“OCDE”)[1].

Sopesando esses valores, do direto ao sigilo perante o Fisco e da necessidade de combate à sonegação, apontada como um fator de instabilidade do bem-estar social global, é até compreensível o posicionamento da Receita com relação à obtenção de dados pessoais na internet, tal como recentemente divulgado, pois, se o Fisco pode acessar até mesmo informações protegidas pelo sigilo constitucional, poderia em tese, também, valer-se de dados que o próprio contribuinte disponibiliza na internet.

Portanto, estritamente do ponto de vista do Direito Tributário, a medida formalmente anunciada pela Receita não encontra óbices jurídicos.

  1. Quais são os limites da legalidade da medida?

Em que pese o Fisco, do ponto de vista do Direito Tributário, poder acessar as informações dos contribuintes postadas na internet, tal fato não significa que inexistam limites para esse acesso e tratamento dos dados coletados.

Nesse sentido, a utilização das redes sociais por um ente público deve respeitar os princípios da administração pública, notadamente o da moralidade, previsto no artigo 37 da Constituição Federal. Assim, o Fisco, mesmo arguindo a seu favor a necessidade de combate à sonegação fiscal, não poderia utilizar-se de meios ardilosos para obter informações que o usuário definiu como privadas para determinados grupos. Portanto, hipoteticamente, não poderia o Fisco proceder à criação de perfil de usuário falso nas redes sociais para obter informações que não são divulgadas em modo público e irrestrito.

Ainda assim, na prática tributária, é possível observar uma tendência que confere menor grau de prevalência dos argumentos protetivos de cunho mais formalista. Em outras palavras, tem-se relativizado, cada vez mais, eventuais vícios nos meios de fiscalização e lançamento, se verificada a real existência de crédito tributário, o que também enfraquece argumentos dos contribuintes contrários à utilização de dados pessoais postados em redes sociais nos procedimentos investigativos.

  1. Há norma jurídica específica para coleta de dados de usuários de internet?

Para além da possibilidade genérica de acesso por parte de Receita a dados públicos (e até mesmo sigilosos, como dados bancários) para fins de fiscalização e seleção de contribuintes, especificamente com relação aos dados coletados de usuários de internet, é necessário observar que há regras específicas, aplicáveis a entes públicos e privados, positivadas pelo Marco Civil da Internet (Lei Federal n. 12.965/2014, que, em seu artigo 1o: “estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil e determina as diretrizes para atuação da União, dos Estados, do Distrito Federal e dos Municípios em relação à matéria”).

Nesse sentido, importante destacar que o Marco Civil determina, sem exceção, que os dados pessoais dos usuários de internet não serão coletados e/ou compartilhados com terceiros sem que haja consentimento do titular (artigo 7o, incisos VII e IX). De tal forma, o artigo 7o do Marco Civil da Internet confere algum controle ao usuário sobre a circulação de seus dados na internet mesmo em hipóteses em que este os publica em redes sociais, por exemplo.

Isso porque, à luz do direito à privacidade e à proteção dos dados pessoais conferido pelo Marco Civil da Internet, ao menos em tese, um dado pessoal publicado por um usuário de rede social (ainda que em modo público) não deveria ser tratado para outra finalidade que não o da mera exposição pública naquela rede social sem o seu consentimento[2]. Nas palavras de Renato Leite Monteiro, “dados públicos também podem ter natureza pessoal, o que deve conferir aos seus titulares controle sobre a sua divulgação e coleta, caso não haja previsão em lei determinando a publicidade”, ou seja, o fato de um dado ser público ou estar disponível publicamente na internet não é suficiente para afastar a proteção que lhe é conferida pelo Marco Civil.

Portanto, do ponto de vista do direito à privacidade no âmbito virtual, regulamentado (parcialmente) pelo Marco Civil da Internet, a prática da Receita Federal ora analisada, em tese, pode ensejar questionamentos, os quais serão contrapostos, por certo, com os fundamentos que autorizam o Fisco a obter dados (especialmente que não estejam acobertados por sigilo) para fins de seleção e fiscalização de contribuintes.

  1. Quais os padrões de segurança adotados pela Receita para evitar o vazamento das informações coletadas?

Superada a possível controvérsia sobre a legalidade (e seus limites) da Receita para coleta e utilização de dados de usuários de redes sociais, a medida oficialmente anunciada desperta preocupação com relação à segurança dos bancos de dados mantidos pelo órgão, agora sabidamente enriquecidos com informações extraídas das redes sociais.

Apesar de admitir que, cada vez mais, as bases de dados apresentam mais detalhes sobre os contribuintes (inclusive informações potencialmente sensíveis), a nota oficial disponibilizada não apresenta os padrões de segurança que são adotados pela Receita Federal. Vale lembrar, inclusive, que, quando o caso do site TudoSobreTodos.se [3] veio à tona, especialistas chegaram a suspeitar de que tais dados poderiam ter sido obtidos a partir de acesso indevido à própria base da Receita Federal, o que até o momento não foi totalmente confirmado (muito menos desmentido).

Ademais, já que a comunicação da Receita Federal não sinalizou quais procedimentos de segurança da informação são adotados, espera-se que sejam seguidos, no mínimo, aqueles trazidos pelo artigo 13 do Decreto 8.771/2016 (que regulamentou o Marco Civil da Internet), aplicáveis a provedores de conexão e aplicação de internet, já que ao menos incluem a encriptação dos dados.

Nesse ponto, é relevante relembrar que no julgamento das ADI 2390, 2386, 2397 e 2859, anteriormente citadas, o STF expressamente consignou a obrigatoriedade de o Fisco prezar pelo sigilo dos dados bancários obtidos. Nessa linha, na hipótese de a Receita acessar os dados dos contribuintes, deve, ao menos, prezar pela maior segurança possível dos dados obtidos.

  1. As leis existentes atualmente são suficientes para garantir a tutela dos dados dos usuários ante a nova realidade de coleta e tratamento de dados por órgãos do Governo?

Em conclusão da análise acerca do anúncio feito recentemente pela Receita Federal, podemos perceber que as leis que temos hoje no Brasil não são suficientes para trazer a necessária segurança à proteção da privacidade dos cidadãos, que representa um direito constitucional fundamental, nem para garantir à Administração Pública o respaldo na coleta e tratamento de dados pessoais de usuários de internet no Brasil.

No caso em comento, se de um lado os fundamentos de Direito Tributário justificam a coleta e uso de dados das redes sociais na atividade desenvolvida pelo Fisco, de outro, a falta de ampla regulamentação sobre o tema é suficiente para nos trazer dúvidas sobre a legalidade de tais atos, sendo que a mesma incômoda sensação de insegurança afeta toda a economia digital no Brasil, que não encontra respostas totalmente objetivas e claras sobre quais as possibilidades e limites da mineração de dados na internet.

Isso porque o Marco Civil da Internet traz uma regra desacompanhada de exceções, segundo a qual a única hipótese clara de tratamento de dados de usuários de internet (seja por entes públicos ou privados) passa pela prévia obtenção de consentimento do usuário.

Diante de tantas dúvidas jurídicas com relação ao ato mais corriqueiro da economia digital atual (a coleta e tratamento de dados pessoais para os mais diversos fins), algumas certezas podem ser extraídas:

(i) precisamos urgentemente de uma Lei Geral sobre Proteção de Dados, que concilie segurança jurídica de quem trata dados com tutela da privacidade dos indivíduos, e

(ii) a regulamentação sobre proteção de dados no Brasil não pode deixar de abranger os atos praticados pela Administração Pública. O atual cenário jurídico da proteção de dados no Brasil é catastrófico tanto para o vigilante quanto para o vigiado.

 

Luis Fernando Prado Chaves é advogado no escritório Opice Blum, Bruno, Abrusio e Vainzof em São Paulo e especialista em Propriedade Intelectual e Novos Negócios pela FGV Direito SP, onde também é pesquisador externo na linha de pesquisa sobre privacidade e proteção de dados do Grupo de Ensino e Pesquisa em Inovação (GEPI).

Guilherme Almeida de Oliveira é advogado no escritório Schneider, Pugliese em São Paulo e especialista em Direito Tributário pelo Instituto Brasileiro de Direito Tributário (IBDT).

 

Artigo publicado em 05.04.2017 no Justificando – Carta Capital e disponível em http://justificando.cartacapital.com.br/2017/04/05/receita-federal-pode-coletar-dados-de-usuarios-de-redes-sociais/.


[1] Como exemplo, note-se que a OCDE já chegou a influenciar em proposta de combate à sonegação no Brasil, apresentada pelo então ministro da Fazenda (Joaquim Levy): https://www.cartacapital.com.br/politica/deputados-derrubam-proposta-ocde-sonegacao-7275.html. Acesso em 04.04.2017.

[2] Os entendimentos jurídicos, por ora, admitem que o consentimento seja obtido por meio de aceite expresso às políticas de privacidade mantidas pela plataforma (opt-in), as quais devem ser redigidas de maneira clara e objetiva, prevendo as formas de acesso de terceiros aos dados pessoais inseridos pelos usuários.

[3] Página na internet que expunha dados pessoais de brasileiros com possibilidade de consulta, entre outros dados, ao número de CPF e endereço.