A Portaria RFB nº 4, de 21 de janeiro de 2021, publicada no DOU de 28 de janeiro, revogou a Portaria RFB nº 1.343, de 24 de agosto de 2018. Ela dispõe sobre o Protocolo de Auditabilidade da Administração Tributária e Aduaneira, utilizado para viabilizar o compartilhamento de dados e informações necessários à realização dos trabalhos ou das atividades de auditoria da Controladoria-Geral da União (CGU) e do Tribunal de Contas da União (TCU), protegidos pelo sigilo fiscal.
O referido protocolo visa proteger os dados e as informações sobre a intimidade e situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades, estabelecendo acesso controlado e restrito aos dados e informações referidos por meio de um conjunto de regras, ferramentas e processos que garantam grau de segurança relativa à sua utilização e confidencialidade compatível com a finalidade de assegurar o sigilo fiscal e viabilizar, à equipe de auditoria, acesso aos dados, às informações, às bases de dados e aos sistemas sob guarda da Secretaria Especial da Receita Federal do Brasil (RFB) indispensáveis à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da administração tributária e aduaneira, da gestão fiscal ou da análise de demonstrações financeiras da União.
Cumpre ressaltar que a Portaria define alguns termos para sua melhor compreensão, tais como:
- dados: fatos ou mensurações acerca de um universo de análise ou observação;
- informações: resultados do processamento, da manipulação e da interpretação de dados organizados, ou obtidos a partir de documentos, de modo a disponibilizar seu significado aos destinatários interessados;
- controles físicos de segurança: barreiras que limitam o contato ou acesso direto a dados, a informações ou à infraestrutura que os suporta;
- controles lógicos de segurança: barreiras que impedem ou limitam o acesso a dados e informações, armazenados em ambiente controlado, geralmente eletrônico;
- informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, nos termos do disposto no art. 23 da Lei nº 12.527, de 18 de novembro de 2011, ou de legislação específica, além de outras hipóteses legais de sigilo;
- informação protegida por sigilo fiscal: informação sobre a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;
- ambiente Seguro e Controlado: conjunto de equipamentos computacionais com controles físicos e lógicos necessários e suficientes à proteção dos dados e das informações sigilosos ou protegidos por sigilo fiscal;
- equipe de auditoria: auditores da CGU ou do TCU que irão efetivamente manipular os dados e as informações sob gestão da RFB;
- extração direta de dados e informações: ação de recuperação de dados e informações por intermédio de funcionalidades gerenciais ou sistemas geradores de relatórios já existentes, diretamente por integrantes do quadro funcional da RFB, sem necessidade de desenvolvimento de funcionalidades específicas ou envolvimento dos prestadores de serviços de Tecnologia da Informação (TI); e
- apuração especial: ação de extração de dados e informações mediante desenvolvimento de funcionalidades específicas para consulta e manipulação de dados, que não estão disponíveis para extração direta por integrantes do quadro funcional da RFB.
Ademais, a solicitação de dados e informações, a ser formalizada por autoridades da Controladoria-Geral da União (CGU) e do Tribunal de Contas da União (TCU) para início do Protocolo de Auditabilidade da Administração Tributária e Aduaneira, deverá indicar:
- os servidores competentes para proceder à solicitação dos dados e das informações protegidos pelo sigilo fiscal;
- a relação dos sistemas eletrônicos, dos dados, das bases de dados ou das informações objeto da solicitação de acesso que poderá ser complementada a qualquer tempo durante a auditoria, em função da necessidade de aprofundamentos ou refinamentos das análises a serem feitas pela equipe de auditoria;
- a informação do processo administrativo regularmente instaurado que contenha clara definição do objetivo e do escopo da auditoria; e
- a manifestação fundamentada que demonstre a pertinência temática dos dados e das informações solicitados com o objeto da auditoria ou da inspeção e a necessidade e a indispensabilidade de acesso a eles, com indicação de que o trabalho não pode ser realizado ou que o seu resultado não pode ser alcançado por outro modo, mesmo com a anonimização.
A disponibilização de dados e informações pela RFB será realizada mediante: extração direta dos dados e das informações dos sistemas informatizados da RFB pelos auditores da CGU ou do TCU ou extração que possa ser realizada pelos próprios servidores da RFB, bem como a execução de apuração especial pelos prestadores de serviços de TI, na hipótese de ausência de funcionalidade de extração direta ou acesso aos sistemas informatizados gerenciadores das bases de dados no “Ambiente Seguro e Controlado”.
Serão vedadas as solicitações de acesso a dados genéricos, desproporcionais, imotivados ou desvinculados dos procedimentos de auditoria ou de inspeção, inclusive os relativos: a procedimentos, investigações, diligências ou operações em curso na atividade de inteligência da RFB; a operações na área de inteligência protegidas por segredo de justiça; à fase preparatória de ação fiscal e aos procedimentos fiscais em curso, até a data de constituição do crédito tributário, salvo aqueles que não impactem a ação fiscal, tais como as demandas de direitos creditórios efetuadas pelo contribuinte; às fases preparatória e executória de procedimentos e ações referentes a ilícitos aduaneiros e as solicitações de acesso que exijam trabalhos de consolidação de dados ou de informações cujos esforços operacionais, prazos de extração e consolidação ou custos orçamentários ou financeiros de realização sejam desarrazoados.
Assim, em quaisquer das hipóteses previstas acima, a disponibilização de dados e informações à equipe de auditoria fica condicionada ao prévio preenchimento e assinatura, pelos integrantes da equipe de auditoria, de Declaração para Compartilhamento de Dados e Informações Protegidos por Sigilo Fiscal, com expressa manifestação de atendimento aos requisitos legais e regulamentares, conforme modelo previsto no Anexo Único da Portaria, sendo a Coordenação-Geral de Auditoria Interna e Gestão de Riscos (Audit) da RFB responsável pelo recebimento e pela guarda da declaração.
A Portaria também dispõe sobre o “Ambiente Seguro e Controlado”, que será realizado por um conjunto de equipamentos, localizados exclusivamente em Brasília, Distrito Federal. Estes serão utilizados quando houver necessidade de acesso a sistemas informatizados da RFB ou de manipulação de dados e informações protegidos por sigilo fiscal pela equipe de auditoria.
São finalidades e requisitos do “Ambiente Seguro e Controlado”: possibilitar acesso, pela equipe de auditoria, a informações, dados, bases ou sistemas informatizados gerenciadores das bases de dados da RFB, permitir a utilização de programas de computador, previamente autorizados pela Coordenação-Geral de Tecnologia e Segurança da Informação (Cotec) e acompanhada das respectivas licenças de utilização, para análise e manipulação de dados e possibilitar a utilização, pela equipe de auditoria, de bases de dados externas à RFB, previamente validadas pela Cotec, a fim de realizar o cruzamento de dados.
O “Ambiente Seguro e Controlado” deverá implementar os seguintes controles físicos de segurança para computadores isolados da internet; computadores, servidores, ativos de rede e demais equipamentos mantidos com travas ou em gabinetes que impeçam o acesso direto aos seus componentes internos e com bloqueio de portas de comunicação e de dispositivos que permitam leitura, gravação e comunicação de dados, acesso físico, pela equipe de auditoria, mediante registro formal e individualizado dos horários de utilização e impedimento de conexão, pela equipe de auditoria, de dispositivos de gravação ou armazenamento com computadores, servidores, ativos de rede e demais equipamentos.
Por meio dele, haverá implementação, no mínimo, dos seguintes controles lógicos de segurança: identificação lógica, única e intransferível de cada usuário integrante da equipe de auditoria, por meio de certificação digital emitida pela RFB, registro eletrônico de acesso lógico aos equipamentos, aos dados, às bases de dados, às informações e aos sistemas para fins de auditoria, habilitação individualizada dos integrantes da equipe de auditoria, limitada aos perfis estritamente necessários ao acesso às informações solicitadas e exclusão das informações dos equipamentos utilizados após o término da utilização do “Ambiente Seguro e Controlado”.
Além disso, são requisitos para a retirada de informações do “Ambiente Seguro e Controlado”: registro, pela equipe de auditoria, de solicitação de retirada de arquivos de informações, que deverá conter: a indicação do diretório que contém os referidos arquivos e a descrição do conteúdo das informações geradas; armazenamento dos dados gerados, pela RFB, para fins de análise e auditoria; criptografia dos arquivos digitais a serem entregues e entrega das informações mediante recibo que formalize a transferência, facultado o uso de tecnologia de transmissão de dados, observadas as políticas de segurança da informação e de comunicação do gestor de dados.
Por fim, a Portaria autoriza a disponibilização de mídia criptográfica e a concessão de certificado digital e-CPF vinculado à Autoridade de Registro RFB Funcionários para os integrantes da equipe de auditoria a ser destinado ao uso exclusivo no “Ambiente Seguro e Controlado”, sendo vedada sua utilização em outro ambiente.
A Coordenação-Geral de Auditoria Interna e Gestão de Riscos (Audit) disponibilizará à Cotec a relação dos integrantes da equipe de auditoria que utilizarão o “Ambiente Seguro e Controlado”, e informará sobre o término da utilização desse ambiente.
A solicitação e emissão dos certificados para os integrantes da equipe de auditoria se dará em conformidade com as normas editadas pela Cotec, que enviará a relação dos integrantes da equipe de auditoria ao Posto de Agente de Registro (PAGR) das Unidades Centrais, a qual será responsável pela aprovação da emissão e revogação dos certificados digitais.
A relação dos integrantes da equipe de auditoria, comporá o dossiê dos titulares de certificados emitidos em adição aos documentos já previstos nas normas editadas pela Cotec. A Audit solicitará a revogação dos certificados digitais no momento do término de sua utilização e a mídia criptográfica deverá ser recolhida imediatamente após o seu uso no “Ambiente Seguro e Controlado”.
Fica autorizada, ainda, a concessão de perfil de sistema aos integrantes da equipe de auditoria, independentemente de previsão em portaria de acesso a sistemas e a utilização dos perfis de sistema destina-se exclusivamente ao acesso a sistemas no “Ambiente Seguro e Controlado”, sendo vedada sua utilização em outro ambiente.
A Cotec ficará responsável pelas solicitações de cadastramento, exclusão, habilitação e desabilitação dos usuários da equipe de auditoria em segmentos e sistemas da RFB, a serem efetuadas pelo Coordenador-Geral da Audit. Os Coordenadores-Gerais da RFB autorizarão e informarão à Cotec, mediante assinatura do Formulário de Cadastramento e Habilitação de Usuário (FAU), as habilitações em perfis de sistema necessários aos integrantes da equipe de auditoria.
As solicitações e as autorizações serão atendidas pelo Serviço de Tecnologia e Segurança da Informação das Unidades Centrais (Setec) da Cotec e a Audit solicitará à Cotec o cancelamento das habilitações em perfis de sistema da equipe de auditoria no momento do término de sua utilização no “Ambiente Seguro e Controlado”.
Em conclusão, a despeito dos termos técnicos utilizados pela nova regulamentação, entende-se benéfico o maior rigor tecnológico conferido na proteção de dados resguardados por sigilo fiscal. O enrijecimento dos meios de armazenamento e acesso às informações dos contribuintes dever ser continuamente aperfeiçoado.