O SECRETÁRIO ESPECIAL DA RECEITA FEDERAL DO BRASIL, no uso da atribuição que lhe confere o inciso III do art. 350 do Regimento Interno da Secretaria Especial da Receita Federal do Brasil, aprovado pela Portaria ME nº 284, de 27 de julho de 2020, e tendo em vista o disposto no Decreto nº 10.209, de 22 de janeiro de 2020, resolve:
CAPÍTULO I
DISPOSIÇÕES PRELIMINARES
Art. 1º O Protocolo de Auditabilidade da Administração Tributária e Aduaneira destina-se a viabilizar o compartilhamento de dados e informações protegidos por sigilo fiscal necessários para a realização dos trabalhos ou das atividades de auditoria da Controladoria-Geral da União (CGU) e do Tribunal de Contas da União (TCU), observado o disposto no art. 198 da Lei nº 5.172, de 25 de outubro de 1996 – Código Tributário Nacional (CTN), e no Decreto nº 10.209, de 22 de janeiro de 2020, e será realizado nos termos desta Portaria.
Parágrafo único. O protocolo a que se refere o caput visa:
I – proteger os dados e as informações sobre a intimidade e a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;
II – estabelecer acesso controlado e restrito aos dados e informações referidos no inciso I disponibilizados por meio de um conjunto de regras, ferramentas e processos que garantam grau de segurança relativa à sua utilização e confidencialidade compatível com a finalidade de assegurar o sigilo fiscal; e
III – viabilizar, à equipe de auditoria, acesso aos dados, às informações, às bases de dados e aos sistemas sob guarda da Secretaria Especial da Receita Federal do Brasil (RFB) indispensáveis à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da administração tributária e aduaneira, da gestão fiscal ou da análise de demonstrações financeiras da União.
CAPÍTULO II
DISPOSIÇÕES GERAIS
Art. 2º Para fins do disposto nesta Portaria, considera-se:
I – dados: fatos ou mensurações acerca de um universo de análise ou observação;
II – informações: resultados do processamento, da manipulação e da interpretação de dados organizados, ou obtidos a partir de documentos, de modo a disponibilizar seu significado aos destinatários interessados;
III – controles físicos de segurança: barreiras que limitam o contato ou acesso direto a dados, a informações ou à infraestrutura que os suporta;
IV – controles lógicos de segurança: barreiras que impedem ou limitam o acesso a dados e informações, armazenados em ambiente controlado, geralmente eletrônico;
V – informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, nos termos do disposto no art. 23 da Lei nº 12.527, de 18 de novembro de 2011, ou de legislação específica, além de outras hipóteses legais de sigilo;
VI – informação protegida por sigilo fiscal: informação sobre a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;
VII – Ambiente Seguro e Controlado: conjunto de equipamentos computacionais com controles físicos e lógicos necessários e suficientes à proteção dos dados e das informações sigilosos ou protegidos por sigilo fiscal;
VIII – equipe de auditoria: auditores da CGU ou do TCU que irão efetivamente manipular os dados e as informações sob gestão da RFB;
IX – extração direta de dados e informações: ação de recuperação de dados e informações por intermédio de funcionalidades gerenciais ou sistemas geradores de relatórios já existentes, diretamente por integrantes do quadro funcional da RFB, sem necessidade de desenvolvimento de funcionalidades específicas ou envolvimento dos prestadores de serviços de Tecnologia da Informação (TI); e
X – apuração especial: ação de extração de dados e informações mediante desenvolvimento de funcionalidades específicas para consulta e manipulação de dados, que não estão disponíveis para extração direta por integrantes do quadro funcional da RFB.
CAPÍTULO III
SOLICITAÇÃO E COMPARTILHAMENTO DE DADOS E INFORMAÇÕES SOB SIGILO FISCAL
Art. 3º A solicitação de dados e informações, a ser formalizada por autoridade administrativa dos órgãos citados no caput do art. 1º, no interesse da Administração Pública, para início do Protocolo de Auditabilidade da Administração Tributária e Aduaneira, deverá indicar:
I – os servidores competentes para proceder à solicitação dos dados e das informações protegidos pelo sigilo fiscal;
II – a relação dos sistemas eletrônicos, dos dados, das bases de dados ou das informações objeto da solicitação de acesso;
III – a informação do processo administrativo regularmente instaurado que contenha clara definição do objetivo e do escopo da auditoria; e
IV – manifestação fundamentada que demonstre a pertinência temática dos dados e das informações solicitados com o objeto da auditoria ou da inspeção e a necessidade e a indispensabilidade de acesso a eles, com indicação de que o trabalho não pode ser realizado ou que o seu resultado não pode ser alcançado por outro modo, mesmo com a anonimização.
Parágrafo único. A relação a que se refere o inciso II do caput pode ser complementada a qualquer tempo durante a auditoria, em função da necessidade de aprofundamentos ou refinamentos das análises a serem feitas pela equipe de auditoria, observado o disposto no inciso IV do caput.
Art. 4º A disponibilização de dados e informações pela RFB será realizada mediante:
I – extração direta dos dados e das informações dos sistemas informatizados da RFB pelos auditores da CGU ou do TCU, ou extração que possa ser realizada pelos próprios servidores da RFB;
II – execução de apuração especial pelos prestadores de serviços de TI, na hipótese de ausência de funcionalidade de extração direta; ou
III – acesso aos sistemas informatizados gerenciadores das bases de dados no Ambiente Seguro e Controlado.
§ 1º Para fins do disposto no caput, são vedadas:
I – as solicitações de acesso a dados genéricos, desproporcionais, imotivados ou desvinculados dos procedimentos de auditoria ou de inspeção, inclusive os relativos:
a) a procedimentos, investigações, diligências ou operações em curso na atividade de inteligência da RFB;
b) a operações na área de inteligência protegidas por segredo de justiça;
c) à fase preparatória de ação fiscal e aos procedimentos fiscais em curso, até a data de constituição do crédito tributário, salvo aqueles que não impactem a ação fiscal, tais como as demandas de direitos creditórios efetuadas pelo contribuinte; e
d) às fases preparatória e executória de procedimentos e ações referentes a ilícitos aduaneiros; e
II – as solicitações de acesso que exijam trabalhos de consolidação de dados ou de informações cujos esforços operacionais, prazos de extração e consolidação ou custos orçamentários ou financeiros de realização sejam desarrazoados.
§ 2º A disponibilização de dados e informações à equipe de auditoria, em quaisquer das hipóteses previstas no caput, fica condicionada ao prévio preenchimento e assinatura, pelos integrantes da equipe de auditoria, de Declaração para Compartilhamento de Dados e Informações Protegidos por Sigilo Fiscal, com expressa manifestação de atendimento aos requisitos legais e regulamentares, conforme modelo previsto no Anexo Único desta Portaria.
§ 3º Fica a Coordenação-Geral de Auditoria Interna e Gestão de Riscos (Audit) da RFB responsável pelo recebimento e pela guarda da declaração a que se refere o § 2º.
CAPÍTULO IV
AMBIENTE SEGURO E CONTROLADO
Art. 5º O Ambiente Seguro e Controlado será utilizado quando houver necessidade de acesso a sistemas informatizados da RFB ou de manipulação de dados e informações protegidos por sigilo fiscal pela equipe de auditoria.
§ 1º O Ambiente Seguro e Controlado está localizado exclusivamente em Brasília, Distrito Federal, nas dependências da Audit.
§ 2º São finalidades e requisitos do Ambiente Seguro e Controlado:
I – possibilitar acesso, pela equipe de auditoria, a informações, dados, bases ou sistemas informatizados gerenciadores das bases de dados da RFB;
II – permitir a utilização de programas de computador, previamente autorizados pela Coordenação-Geral de Tecnologia e Segurança da Informação (Cotec) e acompanhada das respectivas licenças de utilização, para análise e manipulação de dados; e
III – possibilitar a utilização, pela equipe de auditoria, de bases de dados externas à RFB, previamente validadas pela Cotec, a fim de realizar o cruzamento de dados.
§ 3º O Ambiente Seguro e Controlado deverá implementar os seguintes controles físicos de segurança:
I – computadores isolados da internet;
II – computadores, servidores, ativos de rede e demais equipamentos mantidos com travas ou em gabinetes que impeçam o acesso direto aos seus componentes internos e com bloqueio de portas de comunicação e de dispositivos que permitam leitura, gravação e comunicação de dados;
III – acesso físico, pela equipe de auditoria, mediante registro formal e individualizado dos horários de utilização; e
IV – impedimento de conexão, pela equipe de auditoria, de dispositivos de gravação ou armazenamento com computadores, servidores, ativos de rede e demais equipamentos do Ambiente Seguro e Controlado.
§ 4º O Ambiente Seguro e Controlado deverá implementar, no mínimo, os seguintes controles lógicos de segurança:
I – identificação lógica, única e intransferível de cada usuário integrante da equipe de auditoria, por meio de certificação digital emitida pela RFB;
II – registro eletrônico de acesso lógico aos equipamentos, aos dados, às bases de dados, às informações e aos sistemas para fins de auditoria;
III – habilitação individualizada dos integrantes da equipe de auditoria, limitada aos perfis estritamente necessários ao acesso às informações solicitadas; e
IV – exclusão das informações dos equipamentos utilizados após o término da utilização do Ambiente Seguro e Controlado.
§ 5º São requisitos para a retirada de informações do Ambiente Seguro e Controlado:
I – registro, pela equipe de auditoria, de solicitação de retirada de arquivos de informações, que deverá conter:
a) a indicação do diretório que contém os referidos arquivos; e
b) a descrição do conteúdo das informações geradas;
II – armazenamento dos dados gerados, pela RFB, para fins de análise e auditoria;
III – criptografia dos arquivos digitais a serem entregues; e
IV – entrega das informações mediante recibo que formalize a transferência, facultado o uso de tecnologia de transmissão de dados, observadas as políticas de segurança da informação e de comunicação do gestor de dados.
CAPÍTULO V
CONCESSÃO DE CERTIFICADO DIGITAL E PERFIL DE SISTEMA
Art. 6º Fica autorizada a disponibilização de mídia criptográfica e a concessão de certificado digital e-CPF vinculado à Autoridade de Registro RFB Funcionários para os integrantes da equipe de auditoria.
§ 1º A utilização do certificado digital a que se refere o caput destina-se ao uso exclusivo no Ambiente Seguro e Controlado, sendo vedada sua utilização em outro ambiente.
§ 2º A Audit disponibilizará à Cotec a relação dos integrantes da equipe de auditoria que utilizarão o Ambiente Seguro e Controlado, e informará sobre o término da utilização desse ambiente.
§ 3º A solicitação e emissão dos certificados para os integrantes da equipe de auditoria se dará em conformidade com as normas editadas pela Cotec.
§ 4º A Cotec enviará a relação dos integrantes da equipe de auditoria ao Posto de Agente de Registro (PAGR) das Unidades Centrais, que será responsável pela aprovação da emissão e revogação dos certificados digitais.
§ 5º A relação dos integrantes da equipe de auditoria, a que se referem os §§ 2º e 4º, comporá o dossiê dos titulares de certificados emitidos em adição aos documentos já previstos nas normas editadas pela Cotec.
§ 6º A Audit solicitará a revogação dos certificados digitais no momento do término de sua utilização no Ambiente Seguro e Controlado.
§ 7º A mídia criptográfica deverá ser recolhida imediatamente após o seu uso no Ambiente Seguro e Controlado.
Art. 7º Fica autorizada a concessão de perfil de sistema aos integrantes da equipe de auditoria, independentemente de previsão em portaria de acesso a sistemas.
§ 1º A utilização dos perfis de sistema a que se refere o caput destina-se exclusivamente ao acesso a sistemas no Ambiente Seguro e Controlado, sendo vedada sua utilização em outro ambiente.
§ 2º As solicitações de cadastramento, exclusão, habilitação e desabilitação dos usuários da equipe de auditoria em segmentos e sistemas da RFB, a serem efetuadas pelo Coordenador-Geral da Audit, deverão seguir o fluxo estabelecido pela Cotec.
§ 3º Compete aos Coordenadores-Gerais da RFB autorizar e informar à Cotec, mediante assinatura do Formulário de Cadastramento e Habilitação de Usuário (FAU), as habilitações em perfis de sistema necessários aos integrantes da equipe de auditoria.
§ 4º As solicitações e as autorizações a que se referem os §§ 2º e 3º serão atendidas pelo Serviço de Tecnologia e Segurança da Informação das Unidades Centrais (Setec) da Cotec.
§ 5º A Audit solicitará à Cotec o cancelamento das habilitações em perfis de sistema da equipe de auditoria no momento do término de sua utilização no Ambiente Seguro e Controlado.
CAPÍTULO VI
DISPOSIÇÕES FINAIS
Art. 8º Fica a Audit responsável por promover reunião com a equipe de auditoria previamente à utilização do Ambiente Seguro e Controlado, de forma a esclarecer as regras e os procedimentos a serem observados durante o acesso àquele ambiente.
Art. 9º Ficam a Audit e a Cotec autorizadas, no âmbito de suas competências, a editar normas complementares que se fizerem necessárias à operacionalização do Protocolo de Auditabilidade da Administração Tributária e Aduaneira de que trata esta Portaria.
Art. 10. Fica revogada a Portaria RFB nº 1.343, de 24 de agosto de 2018.
Art. 11. Esta Portaria entra em vigor na data de sua publicação no Diário Oficial da União.
JOSÉ BARROSO TOSTES NETO
ANEXO ÚNICO
DECLARAÇÃO PARA COMPARTILHAMENTO DE DADOS E INFORMAÇÕES PROTEGIDOS POR SIGILO FISCAL NA FORMA ESTABELECIDA PELO DECRETO Nº 10.209, DE 22 DE JANEIRO DE 2020
1. SOLICITANTE
1.1 (__) Tribunal de Contas da União (TCU)
1.2 (__) Controladoria-Geral da União (CGU)
2. FUNDAMENTO
2.1 (__) Instauração regular de processo administrativo no órgão com o objetivo de investigar a pessoa a que se refere a informação por prática de eventual infração administrativa (Decreto nº 10.209, de 2020, art. 3º, inciso I).
2.2 (__) Indispensável à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da administração tributária e aduaneira da União (Decreto nº 10.209, de 2020, art. 3º, inciso II).
2.3 (__) Indispensável à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da gestão fiscal da União (Decreto nº 10.209, de 2020, art. 3º, inciso II).
2.4 (__) Indispensável à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da análise de demonstrações financeiras da União (Decreto nº 10.209, de 2020, art. 3º, inciso II).
3. INDICAÇÃO DE ELEMENTOS QUE DEMONSTRAM O CUMPRIMENTO DAS CONDIÇÕES E DOS REQUISITOS DE SOLICITAÇÃO COM FUNDAMENTO NO ITEM 2.1 – PROCESSO ADMINISTRATIVO
3.1 Identificação do processo
Nº do(s) processo(s) administrativo(s):
Ato e data da instauração:
Identificação da autoridade instauradora:
Documento da solicitação (ofício, nota, termo etc.):
3.2 Dados solicitados e fundamentos do pedido
Nome do(s) investigado(s):
CPF ou CNPJ do(s) investigado(s):
Fundamento legal da competência do órgão ou da autoridade para investigar:
Fundamento legal da infração administrativa investigada:
Descrição fática da infração administrativa investigada:
Dados fiscais necessários para a investigação:
Justificativa quanto à pertinência temática da informação solicitada com a prática da infração administrativa investigada:
4. INDICAÇÃO DE ELEMENTOS QUE DEMONSTRAM O CUMPRIMENTO DAS CONDIÇÕES E DOS REQUISITOS DE SOLICITAÇÃO COM FUNDAMENTO NOS ITENS 2.2 A 2.4 – AUDITORIA OU INSPEÇÃO
4.1 Detalhamento ou identificação de documento formal que contenha todas as seguintes informações
Nº do(s) processo(s) administrativo(s):
Ato e data da instauração:
Identificação da unidade de auditoria:
Nome da autoridade administrativa responsável pela auditoria ou inspeção:
Nome e matrícula dos servidores que integram a equipe de auditoria ou inspeção:
Dados, nº e data, do documento da solicitação (ofício, nota, termo etc.):
Objetivo da auditoria ou inspeção:
Escopo da auditoria ou inspeção:
4.2 Dados solicitados e fundamentos do pedido
Relação dos sistemas e perfis ou das informações desejadas:
Relação das bases de dados:
Descrição dos dados e das informações:
Justificativa quanto à pertinência temática da informação com o objeto da auditoria ou da inspeção:
Justificativa quanto à necessidade da informação para o alcance do objeto da auditoria ou da inspeção:
Justificativa quanto à indispensabilidade de acesso, com indicação de que o trabalho não pode ser realizado ou que o seu resultado não pode ser alcançado por outro modo, mesmo com a anonimização:
5. ATENDIMENTO AOS REQUISITOS LEGAIS E REGULAMENTARES
Declaro atendidas as condições estabelecidas no Decreto nº 10.209, de 22 de janeiro de 2020, e no Convênio firmado com a Secretaria Especial da Receita Federal do Brasil (RFB) para fins de compartilhamento de dados e informações protegidos por sigilo fiscal, e, sob pena de responsabilização civil, penal e administrativa, que os dados e as informações protegidos por sigilo fiscal contidos nos sistemas de informações ou nas bases de dados de que trata a presente solicitação:
I – são necessários para a realização dos trabalhos e das atividades do órgão solicitante;
II – serão utilizados de forma restrita ao fim específico da auditoria ou da inspeção de dados, de processos ou de controles operacionais descritas neste pedido;
III – permanecerão sob sigilo, vedada sua publicação sob qualquer forma ou utilização para finalidade diversa, caso em que os servidores do órgão solicitante dos dados e das informações ficam obrigados a preservar e a zelar pelo sigilo a eles transferido, observado o disposto no caput do art. 198 da Lei nº 5.172, de 1966 – Código Tributário Nacional (CTN);
IV – terão garantia, pelo receptor, da aplicação, no mínimo, dos mesmos requisitos de segurança da informação e de comunicações adotados pelo órgão cedente, vedado o acesso por terceiros não autorizados; e
V – deverão ter sua preservação e rastreabilidade zeladas pelo receptor, observado o disposto na Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD).