Tributação Digital e Proteção de Dados:Desafios da LGPD na Implementação da LC 214/2025
RESUMO
A Lei Complementar n. 214/2025 impõe às plataformas digitais obrigações extensas de coleta, tratamento e reporte de dados pessoais de fornecedores e consumidores como condição de cumprimento de seus deveres de compliance tributário. Esse fluxo compulsório de dados opera em tensão estrutural com os princípios e garantias da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei n. 13.709/2018). O presente artigo analisa os pontos de intersecção e conflito entre as duas normas, examinando: (i) a natureza dos dados envolvidos e sua qualificação jurídica sob a LGPD; (ii) a adequação da base legal de "obrigação legal" para o tratamento fiscalmente compulsório; (iii) as tensões não resolvidas entre o dever de reporte tributário e os princípios de finalidade, necessidade e minimização de dados; (iv) os riscos de desvio de finalidade e de uso comercial secundário de dados coletados sob coerção fiscal; e (v) as medidas de governança de dados que as plataformas devem implementar para operar em conformidade com ambas as normas. Sustenta-se que a implementação da LC 214/2025 depende de governança de dados robusta e que a ausência de orientação específica da ANPD sobre essa interface constitui lacuna regulatória de alto risco para as plataformas.
Palavras-chave: LGPD. Proteção de Dados. Tributação Digital. Plataformas Digitais. Compliance Fiscal. Desvio de Finalidade. Governança de Dados. LC 214/2025.
1. INTRODUÇÃO
A Lei Geral de Proteção de Dados Pessoais e a Lei Complementar n. 214/2025 foram concebidas para endereçar problemas distintos: a primeira, para proteger a privacidade de pessoas naturais no tratamento de seus dados; a segunda, para modernizar a tributação sobre o consumo e garantir a efetividade arrecadatória na economia digital. Nenhuma das duas foi desenhada com a outra em mente. O resultado é uma zona de tensão normativa que as plataformas digitais precisam navegar sem mapa.
A LC 214/2025 impõe às plataformas a obrigação de coletar, processar e transmitir ao Fisco um volume expressivo de dados sobre fornecedores e consumidores: identificação fiscal (CPF e CNPJ), dados de pagamento, histórico de transações, valores de operação e informações de geolocalização do consumo necessárias à tributação pelo destino. Esse fluxo de dados é compulsório — não há opção de não cumprir sem incorrer em responsabilidade tributária solidária.
A LGPD, por sua vez, não distingue entre coleta voluntária e coleta compulsória. Seus princípios — finalidade, necessidade, minimização, transparência, segurança — aplicam-se a todo tratamento de dados pessoais, independentemente de sua origem. A base legal de "obrigação legal" autoriza o tratamento, mas não o desregula. A plataforma que coleta dados de fornecedores para fins fiscais continua sujeita às obrigações de governança, segurança e prestação de contas da LGPD.
O presente artigo tem por objetivo mapear as tensões entre as duas normas e identificar as medidas de governança que as plataformas devem implementar para operar em conformidade com ambas. A análise parte da qualificação dos dados envolvidos, examina a adequação das bases legais disponíveis, identifica os riscos de desvio de finalidade e conclui com um conjunto de obrigações de governança de dados especificamente relevantes para o contexto da LC 214/2025.
2. DADOS TRATADOS PELAS PLATAFORMAS NO CONTEXTO DA LC 214/2025
2.1 Natureza e qualificação jurídica dos dados
O artigo 22, §§ 5º e 6º da LC 214/2025 exige que as plataformas reportem ao Comitê Gestor do IBS e à Receita Federal "todas as informações sobre as operações e importações realizadas por seu intermédio", incluindo a identificação dos fornecedores. Na prática, esse dever abrange ao menos quatro categorias de dados com qualificações jurídicas distintas sob a LGPD.
A primeira categoria é a de dados de identificação de fornecedores: CPF de pessoas físicas, CNPJ de microempreendedores individuais e empresas, nome completo, endereço e dados de contato. Quando o fornecedor é pessoa física — cenário comum em plataformas de serviços, economia do compartilhamento e marketplace de produtos artesanais —, esses dados são inequivocamente dados pessoais nos termos do artigo 5º, I da LGPD. O CPF de um MEI constitui dado pessoal do titular, ainda que usado em contexto empresarial.
A segunda categoria é a de dados de transação: valor das operações, frequência de vendas, ticket médio, categorias de produtos ou serviços e datas de realização. Quando vinculados a uma pessoa física identificável — o que ocorre sempre que o fornecedor é pessoa física ou MEI —, esses dados configuram tratamento de dados pessoais e estão sujeitos à LGPD. O volume e a granularidade dessas informações permitem, adicionalmente, a construção de perfis econômicos detalhados dos fornecedores.
A terceira categoria é a de dados de pagamento: conta bancária, chave Pix, dados de cartão e informações de liquidação financeira necessárias ao split payment. Esses dados têm sensibilidade financeira elevada e são objeto de proteção específica também em outros marcos regulatórios, como a Resolução BCB n. 4/2020 do Banco Central.
A quarta categoria é a de dados de geolocalização do consumo: a tributação pelo destino exige que a plataforma identifique a localização do consumidor final em cada operação. Dependendo da granularidade da informação utilizada, isso pode envolver dados de localização que, isolados ou combinados com outros dados, permitem a identificação de padrões de comportamento do consumidor.
2.2 O fluxo de dados para o Fisco e o Ambiente Nacional de Dados
O artigo 59, § 2º da LC 214/2025 determina que os entes federativos mantenham cooperação técnica obrigatória e integrações de bases cadastrais e fiscais em um Ambiente Nacional de Dados. Isso significa que os dados reportados pelas plataformas ao Comitê Gestor do IBS e à Receita Federal serão compartilhados, em alguma medida, com estados e municípios.
Esse fluxo horizontal de dados — da plataforma ao Fisco federal, e do Fisco federal aos entes subnacionais — é o ponto mais sensível da interface entre a LC 214/2025 e a LGPD. A plataforma é o controlador original dos dados; ao reportá-los ao Fisco, torna-se operadora em relação ao tratamento posterior pelo Estado. Mas o regime de proteção de dados aplicável ao tratamento estatal tem características distintas do regime privado — e a ANPD ainda não publicou orientação específica sobre essa transição de titularidade no contexto fiscal.
3. BASES LEGAIS DA LGPD E SEUS LIMITES
3.1 Obrigação legal como fundamento principal
O inciso II do artigo 7º da LGPD autoriza o tratamento de dados pessoais quando "necessário para o cumprimento de obrigação legal ou regulatória pelo controlador". Essa é a base legal mais diretamente aplicável ao tratamento de dados realizado pelas plataformas no cumprimento das obrigações da LC 214/2025: o reporte de informações ao Fisco é imposição legal expressa, não escolha da plataforma.
A base legal de obrigação legal tem uma vantagem operacional relevante: ela dispensa o consentimento do titular. A plataforma não precisa obter autorização do fornecedor para coletar e reportar seus dados ao Fisco — a lei já autoriza esse tratamento. Isso é necessário para que o modelo funcione: seria inviável condicionar o cumprimento de obrigações tributárias ao consentimento de cada fornecedor.
A obrigação legal, contudo, não é uma base legal irrestrita. A LGPD exige que o tratamento realizado com esse fundamento observe os demais princípios do artigo 6º da lei — em especial os de finalidade, adequação e necessidade. A plataforma que coleta dados sob obrigação legal continua obrigada a demonstrar que o tratamento se limita ao necessário para o cumprimento da obrigação, que a finalidade é específica e delimitada, e que não há uso secundário dos dados para fins que extrapolem o mandato fiscal.
3.2 Execução de contrato e legítimo interesse como bases complementares
Além da obrigação legal, as plataformas podem invocar a execução de contrato (art. 7º, V da LGPD) para o tratamento de dados necessários à gestão da relação comercial com fornecedores — desde que o contrato existente abranja o tratamento em questão e que o dado seja efetivamente necessário para a execução contratual.
O legítimo interesse (art. 7º, IX da LGPD) é uma base legal de aplicação mais restrita e que exige ponderação formal entre o interesse legítimo da plataforma e os direitos e liberdades do titular. Em regra, não é a base mais adequada para o tratamento de dados com fins de compliance fiscal, dado que a obrigação legal já oferece fundamento mais robusto e menos contestável.
3.3 A insuficiência da base legal isolada: a necessidade de governança
Um equívoco recorrente é tratar a identificação da base legal como o fim do processo de conformidade com a LGPD. A base legal autoriza o tratamento — ela não o legitima integralmente. A plataforma que identifica a "obrigação legal" como fundamento para o reporte fiscal ainda precisa demonstrar que o tratamento observa os princípios de finalidade e necessidade, que os dados são protegidos com medidas de segurança adequadas, que os titulares foram informados sobre o tratamento e que há registros de operações de tratamento (ROPA) atualizados.
Essa distinção é especialmente relevante porque a ANPD tem competência para fiscalizar o tratamento de dados realizado sob qualquer base legal, incluindo a obrigação legal. A existência de uma obrigação fiscal não imuniza a plataforma de sanções por tratamento excessivo, uso de dados para finalidade diversa da declarada ou falha de segurança que resulte em vazamento de dados coletados para fins de compliance tributário.
4. TENSÕES NÃO RESOLVIDAS ENTRE A LC 214/2025 E A LGPD
4.1 Finalidade e necessidade: qual é o limite mínimo do dado exigível?
O princípio da necessidade da LGPD exige que o tratamento se limite ao mínimo necessário para a realização de suas finalidades. Aplicado ao contexto da LC 214/2025, isso levanta uma pergunta que a lei não responde: qual é o conjunto mínimo de dados que a plataforma é obrigada a coletar e reportar para cumprir suas obrigações fiscais?
A LC 214/2025 usa a expressão "todas as informações" sobre as operações intermediadas — linguagem deliberadamente ampla que transfere para a regulamentação técnica a definição do escopo concreto do reporte. Enquanto essa regulamentação não é editada, a plataforma enfrenta um dilema: coletar mais dados do que o necessário (risco de excesso sob a LGPD) ou coletar menos (risco de responsabilidade tributária solidária por reporte incompleto).
Esse dilema não tem solução jurídica clara no direito positivo vigente. A saída pragmática disponível é documentar formalmente o raciocínio de proporcionalidade adotado: quais dados foram coletados, com qual justificativa de necessidade para o cumprimento fiscal específico, e quais dados foram deliberadamente excluídos por não serem necessários. Essa documentação é a base de uma eventual defesa perante a ANPD ou o Fisco.
4.2 Desvio de finalidade: o risco do uso comercial secundário
O risco mais significativo na interface entre a LC 214/2025 e a LGPD é o desvio de finalidade: a utilização, para fins comerciais internos, de dados coletados sob obrigação fiscal. Uma plataforma que coleta dados de volume de vendas, ticket médio e categorias de produtos de seus fornecedores para fins de reporte tributário detém informações de alto valor estratégico — informações que, em circunstâncias normais, ela não teria acesso ou teria dificuldade de obter.
O uso dessas informações para decisões de precificação, para o desenvolvimento de produtos próprios concorrentes aos dos fornecedores, ou para a segmentação de publicidade dirigida aos próprios consumidores da plataforma constitui desvio de finalidade nos termos do artigo 6º, I da LGPD. A vedação é clara — mas a fiscalização é complexa, porque o desvio de finalidade ocorre nos sistemas internos da plataforma, sem visibilidade externa.
Esse risco é também um risco concorrencial: plataformas que usam dados fiscais de fornecedores para favorecer produtos próprios praticam conduta com potencial anticompetitivo, que pode atrair tanto a atenção da ANPD quanto do CADE. A sobreposição entre a governança de dados e o direito concorrencial nesse contexto será examinada no quarto artigo desta série.
4.3 Direitos dos titulares: o fornecedor pode questionar o reporte?
O artigo 18 da LGPD assegura ao titular dos dados o direito de acesso, correção, eliminação, portabilidade e informação sobre o compartilhamento de seus dados. Isso cria uma pergunta prática relevante: o fornecedor pessoa física pode invocar esses direitos para questionar o reporte de seus dados ao Fisco?
A resposta é, em princípio, negativa quanto ao direito de eliminação e à revogação do consentimento — a obrigação legal afasta esses direitos quando o tratamento é necessário ao cumprimento da obrigação. Mas o direito de acesso e o direito à informação sobre o compartilhamento persistem: o fornecedor tem o direito de saber quais dados foram coletados, para qual finalidade e com quem foram compartilhados.
Para as plataformas, isso significa que a política de privacidade dirigida a fornecedores precisa contemplar explicitamente o tratamento de dados para fins de compliance tributário, com descrição suficientemente clara do escopo do reporte ao Fisco. A ausência dessa informação não apenas viola a LGPD — ela cria passivo reputacional relevante quando fornecedores questionam, na esfera pública ou judicial, a extensão do monitoramento a que são submetidos.
4.4 Vazamento de dados fiscais: quem responde?
O fluxo de dados da LC 214/2025 envolve múltiplos agentes: a plataforma coleta e processa os dados; os transmite ao Comitê Gestor do IBS e à Receita Federal; esses os compartilham com estados e municípios no Ambiente Nacional de Dados. Em caso de incidente de segurança que resulte em vazamento de dados em qualquer ponto desse fluxo, a alocação de responsabilidade é complexa.
A LGPD responsabiliza o controlador pelas medidas de segurança adotadas em seu domínio de tratamento. A plataforma é controladora dos dados que coleta até o momento em que os transmite ao Fisco; a partir daí, o Fisco assume o controle. Mas a fronteira entre os domínios pode ser contestada, especialmente se o vazamento ocorre durante a transmissão ou em sistemas de integração compartilhados.
A ausência de regulamentação específica sobre responsabilidade por incidentes de segurança no fluxo de dados fiscais é outra lacuna que a ANPD precisa endereçar. Até que o faça, as plataformas devem documentar formalmente os mecanismos de segurança adotados na coleta, armazenamento e transmissão de dados fiscais — e estabelecer contratualmente, com fornecedores de sistemas de integração, a alocação de responsabilidade em caso de incidente.
5. MEDIDAS DE GOVERNANÇA DE DADOS PARA O CONTEXTO DA LC 214/2025
5.1 Registro de Operações de Tratamento (ROPA)
O Registro de Operações de Tratamento (ROPA), previsto no artigo 37 da LGPD, é o instrumento central de accountability no contexto da LC 214/2025. As plataformas devem manter ROPA específico para os fluxos de dados fiscais, documentando: finalidade do tratamento (compliance tributário com base na LC 214/2025); base legal (obrigação legal — art. 7º, II da LGPD); categorias de dados tratados; destinatários (Comitê Gestor do IBS, Receita Federal, entes subnacionais via Ambiente Nacional de Dados); período de retenção; e medidas de segurança adotadas.
O ROPA fiscal deve ser mantido separado do ROPA geral de operações da plataforma e atualizado sempre que o escopo do reporte for alterado por regulamentação do Comitê Gestor ou da Receita Federal. Essa separação facilita tanto a demonstração de conformidade perante a ANPD quanto a resposta a requisições de titulares sobre o tratamento de seus dados para fins fiscais.
5.2 Relatório de Impacto à Proteção de Dados (DPIA/RIPD)
O Relatório de Impacto à Proteção de Dados (DPIA/RIPD), previsto no artigo 38 da LGPD, é recomendável — e possivelmente obrigatório — para plataformas de grande escala que processam dados pessoais de milhares de fornecedores para fins de compliance tributário. O DPIA deve avaliar especificamente os riscos de: coleta excessiva de dados; desvio de finalidade para uso comercial; inadequação das medidas de segurança frente ao volume e sensibilidade dos dados; e impactos discriminatórios derivados do profiling econômico de fornecedores.
A realização do DPIA antes da implementação dos sistemas de compliance da LC 214/2025 é também um instrumento de defesa preventiva: ele documenta que a plataforma avaliou os riscos de privacidade e adotou medidas de mitigação, o que reduz a exposição a sanções administrativas da ANPD em caso de incidente posterior.
5.3 Transparência para fornecedores e atualização de políticas de privacidade
As plataformas devem atualizar suas políticas de privacidade dirigidas a fornecedores para contemplar, de forma clara e específica, o tratamento de dados para fins de compliance tributário com a LC 214/2025. A política deve informar: quais dados são coletados com fins fiscais; a base legal para o tratamento; os destinatários do reporte (Fisco federal e entes subnacionais); o período de retenção; e os direitos do titular aplicáveis nesse contexto.
A atualização das políticas de privacidade deve ser comunicada ativamente aos fornecedores — não apenas publicada no site —, especialmente para fornecedores pessoas físicas que podem não ter ciência de que seus dados transacionais estão sendo reportados ao Fisco. A ausência dessa comunicação ativa pode ser invocada como violação ao princípio da transparência da LGPD.
5.4 O papel do Encarregado de Dados (DPO)
O Encarregado pelo Tratamento de Dados Pessoais (DPO), previsto no artigo 41 da LGPD, deve ser formalmente designado como responsável pela interface entre as obrigações da LC 214/2025 e os requisitos de proteção de dados. Nas plataformas de maior porte, essa função deve ser exercida por profissional com conhecimento específico da interface tributário-privacidade — ou por equipe multidisciplinar que inclua expertise tributária e de proteção de dados.
A designação do DPO como ponto focal para as obrigações de dados fiscais serve também a um propósito prático: centralizar as decisões sobre o escopo do reporte, os sistemas de segurança adotados e as respostas a requisições de titulares, garantindo coerência e documentação adequada das escolhas de governança.
6. CONCLUSÃO
A interface entre a LC 214/2025 e a LGPD é uma zona de tensão normativa real, não resolvida pelo direito positivo vigente e ainda não endereçada pela ANPD com orientação específica. As plataformas digitais operam, nesse espaço, com incerteza jurídica dupla: de um lado, o risco tributário de reporte insuficiente; de outro, o risco de proteção de dados de reporte excessivo ou de uso indevido dos dados coletados sob coerção fiscal.
A base legal de obrigação legal resolve a questão da licitude do tratamento — mas não elimina as obrigações de governança, segurança e transparência. A plataforma que coleta dados de fornecedores para fins tributários continua sujeita a todos os princípios da LGPD, e a identificação da base legal não é um cheque em branco para tratamento irrestrito.
Os riscos mais graves identificados — desvio de finalidade para uso comercial de dados coletados sob coerção fiscal, inadequação das medidas de segurança no fluxo de transmissão ao Fisco e ausência de transparência para fornecedores — têm solução na governança de dados: ROPA atualizado, DPIA realizado antes da implementação, política de privacidade revisada e DPO com mandato específico para a interface tributário-privacidade.
O que falta, e que representa a principal lacuna regulatória deste campo, é orientação da ANPD sobre a interface entre obrigações fiscais de plataformas e a LGPD: definição do que constitui tratamento necessário versus excessivo no contexto do reporte tributário, esclarecimento sobre a transição de responsabilidade de controlador para o Estado após a transmissão dos dados, e posicionamento sobre o uso de dados coletados sob obrigação fiscal para outros fins.[1] Enquanto essa orientação não é publicada, as plataformas precisam construir suas próprias soluções de governança — com o risco inerente de que essas soluções sejam posteriormente contestadas pela própria autoridade regulatória.
REFERÊNCIAS
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Brasília: ANPD, 2021.
BRASIL. Lei n. 5.172, de 25 de outubro de 1966. Código Tributário Nacional. Brasília: Presidência da República, 1966.
BRASIL. Lei n. 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Brasília: Presidência da República, 2018.
BRASIL. Emenda Constitucional n. 132, de 20 de dezembro de 2023. Altera o Sistema Tributário Nacional. Brasília: Congresso Nacional, 2023.
BRASIL. Lei Complementar n. 214, de 16 de janeiro de 2025. Institui o Imposto sobre Bens e Serviços (IBS), a Contribuição Social sobre Bens e Serviços (CBS) e o Imposto Seletivo (IS). Brasília: Presidência da República, 2025.
BRASIL. Lei Complementar n. 227, de 2026. Altera disposições da Lei Complementar n. 214/2025. Brasília: Presidência da República, 2026.
MACHADO, Hugo de Brito. Lei Complementar 214/2025 comentada: IBS, CBS e IS. 1. ed. São Paulo: Atlas Jurídico, 2025.
PEROBA, Luiz Roberto; CARPINETTI, Ana Caroline. A responsabilidade tributária das plataformas digitais na LC 214/25: alcance e limites do modelo brasileiro. In: SANTI, Eurico (org.). Análise e Comentários Sobre a Reforma Tributária do Brasil. São Paulo: JusPodivm, 2025. p. 441-456.
RECEITA FEDERAL DO BRASIL; COMITÊ GESTOR DO IBS. Comunicado Conjunto sobre a entrada em vigor da CBS e do IBS. Brasília: RFB/CGIBS, dezembro de 2025.
SANTI, Eurico de. Análise e Comentários Sobre a Reforma Tributária do Brasil – EC 132/2023 e LC 214/2025. São Paulo: Editora JusPodivm, 2025.
UNIÃO EUROPEIA. Regulamento (UE) 2016/679 (GDPR). Parlamento Europeu e Conselho da União Europeia, 2016.
UNIÃO EUROPEIA. Council Directive (EU) 2021/514 (DAC7). Bruxelas: Conselho da UE, 2021.
Próximo artigo da série: Artigo 4 — Reforma Tributária e competição digital: impactos concorrenciais da LC 214/2025 sobre plataformas digitais.
[1]UNIÃO EUROPEIA. Regulamento (UE) 2016/679 (GDPR), art. 6º, 1, c: base legal equivalente à "obrigação legal" da LGPD. O GDPR, contudo, exige que a obrigação legal seja "suficientemente clara e precisa" quanto ao escopo do tratamento autorizado — critério que a LC 214/2025 satisfaz apenas parcialmente, dado que o padrão técnico de reporte ainda depende de regulamentação.