O SECRETÁRIO ESPECIAL DA SECRETARIA ESPECIAL DA RECEITA FEDERAL DO BRASIL, no uso da atribuição que lhe confere o art. 350, caput, inciso III, do Regimento Interno da Secretaria Especial da Receita Federal do Brasil, aprovado pela Portaria ME nº 284, de 27 de julho de 2020, e tendo em vista o disposto no art. 198 da Lei nº 5.172, de 25 de outubro de 1996 - Código Tributário Nacional - CTN, no art. 26 da Lei nº 10.180, de 6 de fevereiro de 2001, na Lei nº 13.709, de 14 de agosto de 2018, no art. 49, § 5º da Lei nº 14.600, de 19 de junho de 2023, e no Decreto nº 10.209, de 22 de janeiro de 2020, resolve:

CAPÍTULO I - DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Portaria dispõe sobre o Protocolo de Auditabilidade da Administração Tributária e Aduaneira, destinado a viabilizar o compartilhamento de dados e informações no interesse da administração pública, inclusive aqueles protegidos por sigilo fiscal, necessários para a realização dos trabalhos ou das atividades de auditoria da Controladoria-Geral da União e do Tribunal de Contas da União, observado o disposto no art. 198 da Lei nº 5.172, de 25 de outubro de 1996 - Código Tributário Nacional - CTN, e no Decreto nº 10.209, de 22 de janeiro de 2020.

Parágrafo único. O protocolo a que se refere o caput visa a:

I - proteger os dados e as informações sobre a intimidade e a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;

II - estabelecer acesso controlado e restrito aos dados e informações referidos no inciso I disponibilizados por meio de um conjunto de regras, ferramentas e processos que garantam grau de segurança relativa à sua utilização e confidencialidade compatível com a finalidade de assegurar o sigilo fiscal; e

III - viabilizar, à equipe de auditoria, o acesso a dados, informações, bases de dados e sistemas sob guarda da Secretaria Especial da Receita Federal do Brasil indispensáveis à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou controles operacionais da administração tributária e aduaneira, de gestão fiscal ou de análise de demonstrações financeiras da União.

Art. 2º Para fins do disposto nesta Portaria, consideram-se:

I - dados: fatos ou mensurações acerca de um universo de análise ou observação;

II - informações: resultados do processamento, da manipulação e da interpretação de dados organizados, ou obtidos a partir de documentos, de modo a disponibilizar seu significado aos destinatários interessados;

III - controles físicos de segurança: barreiras que limitam o contato ou acesso direto a dados e informações ou à infraestrutura que os suporta;

IV - controles lógicos de segurança: barreiras que impedem ou limitam o acesso a dados e informações armazenados em ambiente controlado, geralmente eletrônico;

V - informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, nos termos do disposto no art. 23 da Lei nº 12.527, de 18 de novembro de 2011, ou de legislação específica, além de outras hipóteses legais de sigilo;

VI - informação protegida por sigilo fiscal: informação sobre a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;

VII - Ambiente Seguro e Controlado: conjunto de equipamentos computacionais com controles físicos e lógicos necessários e suficientes à proteção dos dados e informações da Secretaria Especial da Receita Federal do Brasil, inclusive sigilosos ou protegidos por sigilo fiscal;

VIII - equipe de auditoria: auditores da Controladoria-Geral da União ou do Tribunal de Contas da União responsáveis pela manipulação dos dados e informações sob gestão da Secretaria Especial da Receita Federal do Brasil;

IX - extração direta de dados e informações: ação de recuperação de dados e informações por intermédio de funcionalidades gerenciais ou sistemas geradores de relatórios já existentes, sem necessidade de desenvolvimento de funcionalidades específicas ou envolvimento dos prestadores de serviços de Tecnologia da Informação; e

X - apuração especial: ação de extração de dados e informações mediante desenvolvimento de funcionalidades específicas para consulta e manipulação de dados, que não estão disponíveis para extração direta por integrantes do quadro funcional da Secretaria Especial da Receita Federal do Brasil.

CAPÍTULO II - DA SOLICITAÇÃO E DO COMPARTILHAMENTO DE DADOS E INFORMAÇÕES

Art. 3º A solicitação de dados e informações para início do Protocolo de Auditabilidade da Administração Tributária e Aduaneira, dirigida à Secretaria Especial da Receita Federal do Brasil, deverá ser formalizada por autoridade administrativa dos órgãos mencionados no art. 1º, com indicação das seguintes informações:

I - nome e qualificação dos servidores competentes para proceder à solicitação dos dados e informações, inclusive protegidos pelo sigilo fiscal;

II - a indicação dos sistemas eletrônicos, dados, bases de dados ou informações objeto da solicitação de acesso;

III - a informação do processo administrativo regularmente instaurado que contenha clara definição do objetivo e do escopo da auditoria; e

IV - manifestação fundamentada que demonstre a pertinência temática entre a relação a que se refere o inciso II e o objeto da auditoria ou inspeção, com fundamentação que justifique a necessidade e a indispensabilidade do acesso solicitado, inclusive com indicação expressa de que o trabalho não pode ser realizado ou que o seu resultado não pode ser alcançado por outro modo, mesmo com a anonimização.

Parágrafo único. A relação a que se refere o inciso II do caput pode ser complementada a qualquer tempo durante a auditoria, em função da necessidade de aprofundamentos ou refinamentos das análises a serem realizadas pela equipe de auditoria, observado o disposto no inciso IV do caput.

Art. 4º A disponibilização de dados e informações será realizada mediante:

I - extração direta dos dados e informações dos sistemas informatizados da Secretaria Especial da Receita Federal do Brasil pelos auditores da Controladoria-Geral da União ou do Tribunal de Contas da União ou extração realizada pelos próprios servidores da Secretaria Especial da Receita Federal do Brasil;

II - execução de apuração especial pelos prestadores de serviços de tecnologia da informação, na hipótese de ausência de funcionalidade de extração direta; ou

III - acesso aos sistemas informatizados gerenciadores das bases de dados no Ambiente Seguro e Controlado da Secretaria Especial da Receita Federal do Brasil.

§ 1º Para fins do disposto no caput, são vedadas:

I - as solicitações de acesso a dados genéricos, desproporcionais, imotivados ou desvinculados dos procedimentos de auditoria ou de inspeção, inclusive os relativos a:

a) procedimentos, investigações, diligências ou operações em curso na atividade de inteligência da Secretaria Especial da Receita Federal do Brasil;

b) operações realizadas pela área de inteligência protegidas por segredo de justiça;

c) fases preparatórias de ações fiscais e procedimentos fiscais em curso, até a data de constituição do crédito tributário, salvo aqueles que não impactem a ação fiscal, tais como as demandas de direitos creditórios efetuadas pelo contribuinte; e

d) fases preparatória e executória de procedimentos e ações referentes a ilícitos aduaneiros; e

II - as solicitações de acesso que exijam trabalhos de consolidação de dados ou de informações cujos esforços operacionais, prazos de extração e consolidação ou custos orçamentários ou financeiros sejam desarrazoados.

§ 2º A disponibilização de dados e informações protegidos por sigilo fiscal à equipe de auditoria, em quaisquer das hipóteses previstas no caput, fica condicionada ao prévio preenchimento e assinatura, pelos integrantes da equipe de auditoria, de Declaração para Compartilhamento de Dados e Informações Protegidos por Sigilo Fiscal, com expressa manifestação de atendimento aos requisitos legais e regulamentares, conforme modelo constante do Anexo Único.

§ 3º Fica a Coordenação-Geral de Auditoria Interna e Gestão de Riscos - Audit, da Secretaria Especial da Receita Federal do Brasil, responsável pelo recebimento e pela guarda da declaração a que se refere o § 2º.

CAPÍTULO III - DO AMBIENTE SEGURO E CONTROLADO

Art. 5º O Ambiente Seguro e Controlado será utilizado quando houver necessidade de acesso a sistemas informatizados da Instituição ou de manipulação de dados e informações protegidos por sigilo fiscal pela equipe de auditoria.

Parágrafo único. O Ambiente Seguro e Controlado está localizado exclusivamente em Brasília, Distrito Federal, nas dependências da Audit.

Art. 6º São finalidades do Ambiente Seguro e Controlado:

I - possibilitar o acesso, pela equipe de auditoria, a informações, dados, bases ou sistemas informatizados gerenciadores das bases de dados da Secretaria Especial da Receita Federal do Brasil;

II - permitir a utilização de programas de computador para análise e manipulação de dados e informações, em concordância com as normas internas da Secretaria Especial da Receita Federal do Brasil estabelecidas para sua instalação e uso nas estações de trabalho; e

III - possibilitar a utilização, pela equipe de auditoria, de bases de dados externas à Secretaria Especial da Receita Federal do Brasil, a fim de realizar o cruzamento de dados.

Art. 7º Serão implementados no Ambiente Seguro e Controlado os seguintes controles físicos e lógicos de segurança:

I - acesso físico, pela equipe de auditoria, mediante registro formal e individualizado dos horários de utilização;

II - identificação lógica, única e intransferível de cada usuário integrante da equipe de auditoria, por meio de certificação digital emitida pela Secretaria Especial da Receita Federal do Brasil;

III - habilitação individualizada dos integrantes da equipe de auditoria, limitada aos perfis estritamente necessários ao acesso às informações solicitadas;

IV - registro eletrônico de acesso lógico a equipamentos, dados, bases de dados, informações e sistemas para fins de auditoria;

V - manutenção de computadores e demais equipamentos com travas ou em gabinetes que impeçam o acesso direto a seus componentes internos;

VI - bloqueio de portas, de canais de comunicação e de dispositivos que permitam a leitura, gravação e comunicação de dados e informações pela equipe de auditoria, em desacordo com as regras estabelecidas nesta Portaria ou em normas complementares editadas conforme disposto no art. 13; e

VII - exclusão, após o término da utilização do Ambiente Seguro e Controlado, dos dados e informações gravados pela equipe de auditoria.

Art. 8º São requisitos para a retirada de informações do Ambiente Seguro e Controlado:

I - registro, pela equipe de auditoria, de solicitação de retirada de arquivos de dados e informações, que deverá conter a descrição do conteúdo gerado;

II - armazenamento do conteúdo gerado, pela Secretaria Especial da Receita Federal do Brasil, para fins de análise e auditoria;

III - criptografia dos arquivos digitais a serem entregues; e

IV - entrega dos dados e informações mediante recibo que formalize a transferência, facultado o uso de tecnologia de transmissão de dados, observadas as políticas de segurança da informação e de comunicação do gestor de dados.

CAPÍTULO IV - DA CONCESSÃO DE CERTIFICADO DIGITAL E DE PERFIL DE SISTEMA

Art. 9º Fica autorizada a disponibilização de mídia criptográfica e a concessão de certificado digital e-CPF vinculado à Autoridade de Registro RFB Funcionários para os integrantes da equipe de auditoria.

§ 1º A utilização do certificado digital a que se refere o caput destina-se ao uso exclusivo no Ambiente Seguro e Controlado, sendo vedada sua utilização em outro ambiente.

§ 2º A solicitação e emissão dos certificados para os integrantes da equipe de auditoria se dará em conformidade com as normas editadas pela Coordenação-Geral de Tecnologia e Segurança da Informação - Cotec.

Art. 10. Fica autorizada a concessão de perfil de sistema aos integrantes da equipe de auditoria, independentemente de previsão em portaria de acesso a sistemas.

Parágrafo único. A utilização dos perfis de sistema a que se refere o caput destina-se exclusivamente ao acesso a sistemas no Ambiente Seguro e Controlado, sendo vedada sua utilização em outro ambiente.

Art. 11. As solicitações de cadastramento, exclusão, habilitação, desabilitação, bloqueio e desbloqueio dos usuários da equipe de auditoria se darão em conformidade com as normas editadas pela Cotec.

CAPÍTULO V - DISPOSIÇÕES FINAIS

Art. 12. Fica a Audit responsável por promover reunião com a equipe de auditoria dos órgãos mencionados no art. 1º previamente à utilização do Ambiente Seguro e Controlado, de forma a esclarecer as regras e os procedimentos a serem observados durante o acesso àquele ambiente.

Art. 13. Ficam a Audit e a Cotec autorizadas, no âmbito de suas competências, a editar normas complementares necessárias à operacionalização do Protocolo de Auditabilidade da Administração Tributária e Aduaneira de que trata esta Portaria.

Art. 14. Ficam revogadas:

I - a Portaria RFB nº 4, de 22 de janeiro de 2021; e

II - a Portaria RFB nº 385, de 11 de dezembro de 2023.

Art. 15. Esta Portaria entra em vigor na data de sua publicação no Diário Oficial da União.

ROBINSON SAKIyAMA BARREIRINHAS

ANEXO ÚNICO

DECLARAÇÃO PARA COMPARTILHAMENTO DE DADOS E INFORMAÇÕES PROTEGIDOS POR SIGILO FISCAL NA FORMA

ESTABELECIDA PELO DECRETO Nº 10.209, DE 22 DE JANEIRO DE 2020

1. SOLICITANTE

1.1 (__) Tribunal de Contas da União (TCU)

1.2 (__) Controladoria-Geral da União (CGU)

2. FUNDAMENTO

2.1 (__) Instauração regular de processo administrativo no órgão com o objetivo de investigar a pessoa a que se refere a informação por prática de eventual infração administrativa (Decreto nº 10.209, de 2020, art. 3º, inciso I).

2.2 (__) Indispensável à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da administração tributária e aduaneira da União (Decreto nº 10.209, de 2020, art. 3º, inciso II).

2.3 (__) Indispensável à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da gestão fiscal da União (Decreto nº 10.209, de 2020, art. 3º, inciso II).

2.4 (__) Indispensável à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou de controles operacionais da análise de demonstrações financeiras da União (Decreto nº 10.209, de 2020, art. 3º, inciso II).

3. INDICAÇÃO DE ELEMENTOS QUE DEMONSTRAM O CUMPRIMENTO DAS CONDIÇÕES E DOS REQUISITOS DE SOLICITAÇÃO COM FUNDAMENTO NO ITEM 2.1 - PROCESSO ADMINISTRATIVO

3.1 Identificação do processo

Nº do(s) processo(s) administrativo(s):

Ato e data da instauração:

Identificação da autoridade instauradora:

Documento da solicitação (ofício, nota, termo etc.):

3.2 Dados solicitados e fundamentos do pedido

Nome do(s) investigado(s):

CPF ou CNPJ do(s) investigado(s):

Fundamento legal da competência do órgão ou da autoridade para investigar:

Fundamento legal da infração administrativa investigada:

Descrição fática da infração administrativa investigada:

Dados fiscais necessários para a investigação:

Justificativa quanto à pertinência temática da informação solicitada com a prática da infração administrativa investigada:

4. INDICAÇÃO DE ELEMENTOS QUE DEMONSTRAM O CUMPRIMENTO DAS CONDIÇÕES E DOS REQUISITOS DE SOLICITAÇÃO COM FUNDAMENTO NOS ITENS 2.2 A 2.4 - AUDITORIA OU INSPEÇÃO

4.1 Detalhamento ou identificação de documento formal que contenha todas as seguintes informações

Nº do(s) processo(s) administrativo(s):

Ato e data da instauração:

Identificação da unidade de auditoria:

Nome da autoridade administrativa responsável pela auditoria ou inspeção:

Nome e matrícula dos servidores que integram a equipe de auditoria ou inspeção:

Dados, nº e data, do documento da solicitação (ofício, nota, termo etc.):

Objetivo da auditoria ou inspeção:

Escopo da auditoria ou inspeção:

4.2 Dados solicitados e fundamentos do pedido

Relação dos sistemas e perfis ou das informações desejadas:

Relação das bases de dados:

Descrição dos dados e das informações:

Justificativa quanto à pertinência temática da informação com o objeto da auditoria ou da inspeção:

Justificativa quanto à necessidade da informação para o alcance do objeto da auditoria ou da inspeção:

Justificativa quanto à indispensabilidade de acesso, com indicação de que o trabalho não pode ser realizado ou que o seu resultado não pode ser alcançado por outro modo, mesmo com a anonimização:

5. ATENDIMENTO AOS REQUISITOS LEGAIS E REGULAMENTARES

Declaro atendidas as condições estabelecidas no Decreto nº 10.209, de 22 de janeiro de 2020, e no Convênio firmado com a Secretaria Especial da Receita Federal do Brasil (RFB) para fins de compartilhamento de dados e informações protegidos por sigilo fiscal, e, sob pena de responsabilização civil, penal e administrativa, que os dados e as informações protegidos por sigilo fiscal contidos nos sistemas de informações ou nas bases de dados de que trata a presente solicitação:

I - são necessários para a realização dos trabalhos e das atividades do órgão solicitante;

II - serão utilizados de forma restrita ao fim específico da auditoria ou da inspeção de dados, de processos ou de controles operacionais descritas neste pedido;

III - permanecerão sob sigilo, vedada sua publicação sob qualquer forma ou utilização para finalidade diversa, caso em que os servidores do órgão solicitante dos dados e das informações ficam obrigados a preservar e a zelar pelo sigilo a eles transferido, observado o disposto no caput do art. 198 da Lei nº 5.172, de 1966 - Código Tributário Nacional (CTN);

IV - terão garantia, pelo receptor, da aplicação, no mínimo, dos mesmos requisitos de segurança da informação e de comunicações adotados pelo órgão cedente, vedado o acesso por terceiros não autorizados; e

V - deverão ter sua preservação e rastreabilidade zeladas pelo receptor, observado o disposto na Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD).

Brasília, __ de ________________ de ______

Assinatura

Nome

(Cargo/função)