Dispõe sobre o Protocolo de Auditabilidade da Administração Tributária e Aduaneira, utilizado inclusive para viabilizar o compartilhamento de dados e informações protegidos pelo sigilo fiscal.
O SECRETÁRIO ESPECIAL DA SECRETARIA ESPECIAL DA RECEITA FEDERAL DO BRASIL, no uso da atribuição que lhe confere o art. 350, caput, inciso III, do Regimento Interno da Secretaria Especial da Receita Federal do Brasil, aprovado pela
Portaria ME nº 284, de 27 de julho de 2020, e tendo em vista o disposto no art. 198 da
Lei nº 5.172, de 25 de outubro de 1996 - Código Tributário Nacional - CTN, no art. 26 da
Lei nº 10.180, de 6 de fevereiro de 2001, na
Lei nº 13.709, de 14 de agosto de 2018, no art. 49, § 5º da
Lei nº 14.600, de 19 de junho de 2023, e no
Decreto nº 10.209, de 22 de janeiro de 2020, resolve:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Parágrafo único. O protocolo a que se refere o caput visa a:
I - proteger os dados e as informações sobre a intimidade e a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;
II - estabelecer acesso controlado e restrito aos dados e informações referidos no inciso I disponibilizados por meio de um conjunto de regras, ferramentas e processos que garantam grau de segurança relativa à sua utilização e confidencialidade compatível com a finalidade de assegurar o sigilo fiscal; e
III - viabilizar, à equipe de auditoria, o acesso a dados, informações, bases de dados e sistemas sob guarda da Secretaria Especial da Receita Federal do Brasil indispensáveis à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou controles operacionais da administração tributária e aduaneira, de gestão fiscal ou de análise de demonstrações financeiras da União.
Art. 2º Para fins do disposto nesta Portaria, consideram-se:
I - dados: fatos ou mensurações acerca de um universo de análise ou observação;
II - informações: resultados do processamento, da manipulação e da interpretação de dados organizados, ou obtidos a partir de documentos, de modo a disponibilizar seu significado aos destinatários interessados;
III - controles físicos de segurança: barreiras que limitam o contato ou acesso direto a dados e informações ou à infraestrutura que os suporta;
IV - controles lógicos de segurança: barreiras que impedem ou limitam o acesso a dados e informações armazenados em ambiente controlado, geralmente eletrônico;
V - informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, nos termos do disposto no art. 23 da
Lei nº 12.527, de 18 de novembro de 2011, ou de legislação específica, além de outras hipóteses legais de sigilo;
VI - informação protegida por sigilo fiscal: informação sobre a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;
VII - Ambiente Seguro e Controlado: conjunto de equipamentos computacionais com controles físicos e lógicos necessários e suficientes à proteção dos dados e informações da Secretaria Especial da Receita Federal do Brasil, inclusive sigilosos ou protegidos por sigilo fiscal;
VIII - equipe de auditoria: auditores da Controladoria-Geral da União ou do Tribunal de Contas da União responsáveis pela manipulação dos dados e informações sob gestão da Secretaria Especial da Receita Federal do Brasil;
IX - extração direta de dados e informações: ação de recuperação de dados e informações por intermédio de funcionalidades gerenciais ou sistemas geradores de relatórios já existentes, sem necessidade de desenvolvimento de funcionalidades específicas ou envolvimento dos prestadores de serviços de Tecnologia da Informação; e
X - apuração especial: ação de extração de dados e informações mediante desenvolvimento de funcionalidades específicas para consulta e manipulação de dados, que não estão disponíveis para extração direta por integrantes do quadro funcional da Secretaria Especial da Receita Federal do Brasil.
CAPÍTULO II
DA SOLICITAÇÃO E DO COMPARTILHAMENTO DE DADOS E INFORMAÇÕES
Art. 3º A solicitação de dados e informações para início do Protocolo de Auditabilidade da Administração Tributária e Aduaneira, dirigida à Secretaria Especial da Receita Federal do Brasil, deverá ser formalizada por autoridade administrativa dos órgãos mencionados no art. 1º, com indicação das seguintes informações:
I - nome e qualificação dos servidores competentes para proceder à solicitação dos dados e informações, inclusive protegidos pelo sigilo fiscal;
II - a indicação dos sistemas eletrônicos, dados, bases de dados ou informações objeto da solicitação de acesso;
III - a informação do processo administrativo regularmente instaurado que contenha clara definição do objetivo e do escopo da auditoria; e
IV - manifestação fundamentada que demonstre a pertinência temática entre a relação a que se refere o inciso II e o objeto da auditoria ou inspeção, com fundamentação que justifique a necessidade e a indispensabilidade do acesso solicitado, inclusive com indicação expressa de que o trabalho não pode ser realizado ou que o seu resultado não pode ser alcançado por outro modo, mesmo com a anonimização.
Parágrafo único. A relação a que se refere o inciso II do caput pode ser complementada a qualquer tempo durante a auditoria, em função da necessidade de aprofundamentos ou refinamentos das análises a serem realizadas pela equipe de auditoria, observado o disposto no inciso IV do caput.
Art. 4º A disponibilização de dados e informações será realizada mediante:
I - extração direta dos dados e informações dos sistemas informatizados da Secretaria Especial da Receita Federal do Brasil pelos auditores da Controladoria-Geral da União ou do Tribunal de Contas da União ou extração realizada pelos próprios servidores da Secretaria Especial da Receita Federal do Brasil;
II - execução de apuração especial pelos prestadores de serviços de tecnologia da informação, na hipótese de ausência de funcionalidade de extração direta; ou
III - acesso aos sistemas informatizados gerenciadores das bases de dados no Ambiente Seguro e Controlado da Secretaria Especial da Receita Federal do Brasil.
§ 1º Para fins do disposto no caput, são vedadas:
I - as solicitações de acesso a dados genéricos, desproporcionais, imotivados ou desvinculados dos procedimentos de auditoria ou de inspeção, inclusive os relativos a:
a) procedimentos, investigações, diligências ou operações em curso na atividade de inteligência da Secretaria Especial da Receita Federal do Brasil;
b) operações realizadas pela área de inteligência protegidas por segredo de justiça;
c) fases preparatórias de ações fiscais e procedimentos fiscais em curso, até a data de constituição do crédito tributário, salvo aqueles que não impactem a ação fiscal, tais como as demandas de direitos creditórios efetuadas pelo contribuinte; e
d) fases preparatória e executória de procedimentos e ações referentes a ilícitos aduaneiros; e
II - as solicitações de acesso que exijam trabalhos de consolidação de dados ou de informações cujos esforços operacionais, prazos de extração e consolidação ou custos orçamentários ou financeiros sejam desarrazoados.
§ 2º A disponibilização de dados e informações protegidos por sigilo fiscal à equipe de auditoria, em quaisquer das hipóteses previstas no caput, fica condicionada ao prévio preenchimento e assinatura, pelos integrantes da equipe de auditoria, de Declaração para Compartilhamento de Dados e Informações Protegidos por Sigilo Fiscal, com expressa manifestação de atendimento aos requisitos legais e regulamentares, conforme modelo constante do Anexo Único.
§ 3º Fica a Coordenação-Geral de Auditoria Interna e Gestão de Riscos - Audit, da Secretaria Especial da Receita Federal do Brasil, responsável pelo recebimento e pela guarda da declaração a que se refere o § 2º.
CAPÍTULO III
DO AMBIENTE SEGURO E CONTROLADO
Art. 5º O Ambiente Seguro e Controlado será utilizado quando houver necessidade de acesso a sistemas informatizados da Instituição ou de manipulação de dados e informações protegidos por sigilo fiscal pela equipe de auditoria.
Parágrafo único. O Ambiente Seguro e Controlado está localizado exclusivamente em Brasília, Distrito Federal, nas dependências da Audit.
Art. 6º São finalidades do Ambiente Seguro e Controlado:
I - possibilitar o acesso, pela equipe de auditoria, a informações, dados, bases ou sistemas informatizados gerenciadores das bases de dados da Secretaria Especial da Receita Federal do Brasil;
II - permitir a utilização de programas de computador para análise e manipulação de dados e informações, em concordância com as normas internas da Secretaria Especial da Receita Federal do Brasil estabelecidas para sua instalação e uso nas estações de trabalho; e
III - possibilitar a utilização, pela equipe de auditoria, de bases de dados externas à Secretaria Especial da Receita Federal do Brasil, a fim de realizar o cruzamento de dados.
Art. 7º Serão implementados no Ambiente Seguro e Controlado os seguintes controles físicos e lógicos de segurança:
I - acesso físico, pela equipe de auditoria, mediante registro formal e individualizado dos horários de utilização;
II - identificação lógica, única e intransferível de cada usuário integrante da equipe de auditoria, por meio de certificação digital emitida pela Secretaria Especial da Receita Federal do Brasil;
III - habilitação individualizada dos integrantes da equipe de auditoria, limitada aos perfis estritamente necessários ao acesso às informações solicitadas;
IV - registro eletrônico de acesso lógico a equipamentos, dados, bases de dados, informações e sistemas para fins de auditoria;
V - manutenção de computadores e demais equipamentos com travas ou em gabinetes que impeçam o acesso direto a seus componentes internos;
VI - bloqueio de portas, de canais de comunicação e de dispositivos que permitam a leitura, gravação e comunicação de dados e informações pela equipe de auditoria, em desacordo com as regras estabelecidas nesta Portaria ou em normas complementares editadas conforme disposto no art. 13; e
VII - exclusão, após o término da utilização do Ambiente Seguro e Controlado, dos dados e informações gravados pela equipe de auditoria.
Art. 8º São requisitos para a retirada de informações do Ambiente Seguro e Controlado:
I - registro, pela equipe de auditoria, de solicitação de retirada de arquivos de dados e informações, que deverá conter a descrição do conteúdo gerado;
II - armazenamento do conteúdo gerado, pela Secretaria Especial da Receita Federal do Brasil, para fins de análise e auditoria;
III - criptografia dos arquivos digitais a serem entregues; e
IV - entrega dos dados e informações mediante recibo que formalize a transferência, facultado o uso de tecnologia de transmissão de dados, observadas as políticas de segurança da informação e de comunicação do gestor de dados.
CAPÍTULO IV
DA CONCESSÃO DE CERTIFICADO DIGITAL E DE PERFIL DE SISTEMA
Art. 9º Fica autorizada a disponibilização de mídia criptográfica e a concessão de certificado digital e-CPF vinculado à Autoridade de Registro RFB Funcionários para os integrantes da equipe de auditoria.
§ 1º A utilização do certificado digital a que se refere o caput destina-se ao uso exclusivo no Ambiente Seguro e Controlado, sendo vedada sua utilização em outro ambiente.
§ 2º A solicitação e emissão dos certificados para os integrantes da equipe de auditoria se dará em conformidade com as normas editadas pela Coordenação-Geral de Tecnologia e Segurança da Informação - Cotec.
Art. 10. Fica autorizada a concessão de perfil de sistema aos integrantes da equipe de auditoria, independentemente de previsão em portaria de acesso a sistemas.
Parágrafo único. A utilização dos perfis de sistema a que se refere o caput destina-se exclusivamente ao acesso a sistemas no Ambiente Seguro e Controlado, sendo vedada sua utilização em outro ambiente.
Art. 11. As solicitações de cadastramento, exclusão, habilitação, desabilitação, bloqueio e desbloqueio dos usuários da equipe de auditoria se darão em conformidade com as normas editadas pela Cotec.
CAPÍTULO V
DISPOSIÇÕES FINAIS
Art. 12. Fica a Audit responsável por promover reunião com a equipe de auditoria dos órgãos mencionados no art. 1º previamente à utilização do Ambiente Seguro e Controlado, de forma a esclarecer as regras e os procedimentos a serem observados durante o acesso àquele ambiente.
Art. 13. Ficam a Audit e a Cotec autorizadas, no âmbito de suas competências, a editar normas complementares necessárias à operacionalização do Protocolo de Auditabilidade da Administração Tributária e Aduaneira de que trata esta Portaria.
Art. 14. Ficam revogadas:
I - a Portaria RFB nº 4, de 22 de janeiro de 2021; e
II - a Portaria RFB nº 385, de 11 de dezembro de 2023.
Art. 15. Esta Portaria entra em vigor na data de sua publicação no Diário Oficial da União.
ROBINSON SAKIYAMA BARREIRINHAS