O SECRETÁRIO ESPECIAL DA RECEITA FEDERAL DO BRASIL, no uso da atribuição que lhe confere o art. 350, caput, inciso III, do Regimento Interno da Secretaria Especial da Receita Federal do Brasil, aprovado pela Portaria ME nº 284, de 27 de julho de 2020, e tendo em vista o disposto no art. 5º, caput, inciso XXXIII, da Constituição, no art. 198 da Lei nº 5.172, de 25 de outubro de 1966 - Código Tributário Nacional - CTN, na Lei nº 12.527, de 18 de novembro de 2011, na Lei nº 13.709, de 14 de agosto de 2018, na Portaria SRF nº 450, de 28 de abril de 2004, e na Portaria RFB nº 405, de 25 de março de 2024, resolve:

CAPÍTULO I - DISPOSIÇÕES PRELIMINARES

Art. 1º Esta Portaria regulamenta a disponibilização de dados e informações, em ambiente de acesso restrito, a entidades públicas e privadas autorizadas para fins de desenvolvimento de soluções de dados no interesse da Secretaria Especial da Receita Federal do Brasil.

Parágrafo único. A disponibilização a que se refere o caput será após a pactuação de instrumento legal celebrado entre a entidade autorizada e a Secretaria Especial da Receita Federal do Brasil, com as condições, as responsabilidades e as finalidades do uso dos dados e informações disponibilizados.

Art. 2º Para fins do disposto nesta Portaria, considera-se:

I - disponibilização de dados e informações: forma de acesso a dados e informações, destinada à realização de operações com dados, em ambiente restrito, sem que o acesso se caracterize como qualquer forma de fornecimento, transferência, difusão ou extração de dados;

II - ambiente de acesso restrito - ambiente de uso controlado e temporário, hospedado por prestador de serviço e destinado à disponibilização de dados e informações para fins de operações com dados, com infraestrutura segregada e submetido a critérios de segurança, confidencialidade e rastreabilidade;

III - solução de dados e informações: conjunto integrado de processos, estratégias, tecnologias e ferramentas aplicadas à realização de operações com dados e informações, com o objetivo de apoiar a tomada de decisões, aprimorar políticas públicas ou otimizar processos organizacionais;

IV - conjunto de dados e informações: coleção de dados e informações estritamente necessária e suficiente para atingir os objetivos pretendidos pela Secretaria Especial da Receita Federal do Brasil;

V - monitoramento do ambiente de acesso restrito: conjunto de procedimentos destinados a observar, registrar e analisar o uso do ambiente, com o objetivo de detectar anomalias, reforçar a segurança da informação e viabilizar auditorias;

VI - auditoria do ambiente de acesso restrito: processo sistemático de análise do ambiente e de seu uso, com o objetivo de assegurar sua conformidade com políticas de segurança, identificar vulnerabilidades e validar o cumprimento de controles técnicos e legais;

VII - mecanismos de rastreabilidade: conjunto de registros e controles que documentam o acesso e a realização de operações com dados e informações, assegurando a possibilidade de auditoria e a responsabilização dos agentes envolvidos;

VIII - operação com dados: toda atividade realizada com dados, como coleta, produção, recepção, classificação, categorização, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, tratamento de dados pessoais, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, observadas as normas legais específicas aplicáveis às diferentes categorias de dados;

IX - tratamento de dados pessoais: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, nos termos do art. 5º, inciso X, da Lei nº 13.709, de 14 de agosto de 2018;

X - ingestão do conjunto de dados e informações: processo de incorporação controlada e registrada, ao ambiente de acesso restrito, de dados e informações, previamente autorizado e vinculado ao instrumento legal pactuado e à finalidade autorizada, destinado à realização de operações com dados; XIII - segregação por objeto: organização e isolamento de dados e informações no ambiente de acesso restrito com base no instrumento legal pactuado, de forma a limitar o acesso e as operações exclusivamente aos dados necessários à finalidade autorizada;

XI - finalidade: realização de operação com dados para propósitos legítimos, específicos, explícitos e previamente definidos, vedada a utilização posterior de forma incompatível com esses propósitos;

XII - adequação: compatibilidade das operações realizadas com dados em relação às finalidades previamente definidas, considerados o contexto e o propósito do uso dos dados;

XIII - necessidade: limitação das operações realizadas com dados ao mínimo necessário para o atendimento de suas finalidades, com escopo proporcional e não excessivo em relação ao propósito do uso dos dados;

XIV - temporalidade do ambiente: delimitação do período de existência, disponibilidade ou funcionamento do ambiente de acesso restrito vinculado ao instrumento legal pactuado e à finalidade autorizada;

XV - fornecimento: disponibilização de dados ou informações a terceiros, com entrega ou colocação sob posse ou controle do destinatário;

XVI - transferência: deslocamento de dados ou informações de um ambiente para outro, com alteração do domínio de custódia ou de controle sobre esses dados;

XVII - difusão: divulgação ampla ou indeterminada de dados ou informações, de modo a torná-los acessíveis a múltiplos destinatários, sem controle individualizado de acesso;

XVIII - extração de dados: retirada de dados ou informações a partir de um ambiente ou sistema, com geração de cópia ou conjunto derivado passível de utilização em outro ambiente;

XIX - permissões de acesso: autorizações atribuídas a usuários ou perfis para acesso ao ambiente e para a realização de operações específicas com dados e informações, conforme a finalidade autorizada;

XX - anonimização: utilização de meios técnicos razoáveis e disponíveis no momento da operação com dados, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, ao elemento ao qual se refere;

XXI - agregação: técnica de operação realizada com dados que consiste na combinação de múltiplos registros ou valores individuais em conjuntos, totais ou indicadores consolidados, reduzindo o nível de detalhamento das informações;

XXII - perturbação: técnica de proteção de dados que consiste na introdução controlada de alterações, ruído ou variações nos dados, com o objetivo de reduzir o risco de identificação, preservando, tanto quanto possível, suas características estatísticas relevantes;

XXIII - generalização: técnica de operação realizada com dados que consiste na substituição de valores específicos por categorias ou intervalos mais amplos, de modo a reduzir o nível de precisão e o risco de identificação

XXIV - dado: sequência de símbolos ou valores, representados em meio físico ou digital, estruturados ou não, produzidos como resultado de um processo natural ou artificial;

XXV - dado bruto: dado coletado ou registrado em sua forma original, sem ter sido submetido a qualquer operação com dados, transformação, agregação, anonimização ou outra operação de modificação de seu conteúdo;

XXVI - dado pessoal: informação relacionada a pessoa natural identificada ou identificável, nos termos do art. 5º, inciso I, da Lei nº 13.709, de 14 de agosto de 2018;

XXVII - informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;

XXVIII - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes às operações com dados, nos termos do art. 5º, inciso VI, da Lei nº 13.709, de 14 de agosto de 2018; e

XXIX - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza a operação com dados em nome do controlador, nos termos do art. 5º, inciso VII, da Lei nº 13.709, de 14 de agosto de 2018.

Parágrafo único. Para fins do disposto nesta Portaria, deverão ser aplicados os conceitos previstos no art. 2º da Portaria SRF nº 450, de 28 de abril de 2004, no art. 1º da Portaria RFB nº 693, de 13 de fevereiro de 2014, e no art. 2º da Portaria RFB nº 405, de 25 de março de 2024.

CAPÍTULO II - DO AMBIENTE DE ACESSO RESTRITO

Art. 3º No ambiente de acesso restrito, deverão ser observados, no mínimo, os seguintes requisitos:

I - segregação por objeto;

II - gestão e atuação conforme a finalidade, adequação e necessidade; e

III - temporalidade do ambiente.

Parágrafo único. Além dos requisitos estabelecidos no caput, deverão ser observadas também a Política de Segurança da Informação, estabelecida pela Portaria SRF nº 450, de 28 de abril de 2004, e demais normas relativas à segurança da informação, à privacidade, ao compartilhamento e à governança de dados e informações da Secretaria Especial da Receita Federal do Brasil.

Art. 4º O ambiente de acesso restrito deverá permitir, à Secretaria Especial da Receita Federal do Brasil, o monitoramento e a auditoria dos acessos, das atividades realizadas no ambiente e das operações com dados e informações realizadas pelos operadores.

Parágrafo único. As operações realizadas com dados e informações serão avaliadas, de forma contínua ou periódica, quanto à conformidade com as normas aplicáveis e à adequação às finalidades autorizadas.

Art. 5º Na infraestrutura do ambiente de acesso restrito, deverão ser implementados mecanismos e controles que impeçam a retirada, total ou parcial, de dados e informações por qualquer meio, físico ou digital, inclusive por cópia, impressão, reprodução ou captura de telas.

Art. 6º A utilização de softwares e soluções no ambiente de acesso restrito dependerá de anuência da Coordenação-Geral de Tecnologia e Segurança da Informação - Cotec.

Art. 7º A Cotec poderá autorizar, excepcionalmente, a transferência de dados e informações de fontes externas para o ambiente de acesso restrito, desde que vinculados à finalidade e ao objeto do instrumento legal pactuado.

Art. 8º Ao final das atividades previstas ou, a qualquer tempo, conforme manifestação da Cotec, as permissões de acesso deverão ser imediatamente revogadas e os dados e informações excluídos de forma segura, nos termos das políticas de segurança, de forma a impedir sua recuperação por qualquer meio técnico.

Parágrafo único. A adoção das medidas previstas no caput deverá ser comprovada mediante relatório de exclusão segura.

CAPÍTULO III - DOS DADOS E INFORMAÇÕES

Art. 9º A ingestão do conjunto de dados e informações no ambiente de acesso restrito será realizada, sempre que possível, mediante agregação, perturbação, generalização ou outras técnicas de anonimização, de forma a impedir a identificação das pessoas físicas e jurídicas e de seus dados econômicos-fiscais.

§ 1º A ingestão de dados brutos, dados pessoais, informações de pessoas politicamente expostas ou informações protegidas por sigilo fiscal, desde que previamente autorizada no respectivo instrumento legal de que trata o § 1º do art. 1º, será admitida, em caráter excepcional, quando estritamente indispensável à obtenção do produto ou resultado esperado, respeitados todos os requisitos legais aplicáveis.

§ 2º A necessidade de ingestão do conjunto de dados e informações a que se refere o § 1º deverá ser devidamente justificada pela entidade, demonstrando a estrita necessidade e proporcionalidade da medida, e avaliada pela área que celebrou o instrumento legal.

§ 3º Na anonimização dos dados e informações, deverão ser observados os padrões e as técnicas estabelecidas pela autoridade nacional, nos termos da Lei nº 13.709, de 14 de agosto de 2018.

§ 4º Fica vedada a tentativa de reidentificação do titular de dados ou informações por meio de técnicas de reversão do processo de anonimização.

Art. 10. Fica vedada a disponibilização de acesso:

I - - a dados ou informações genéricos, desproporcionais, imotivados ou desvinculados do objeto do instrumento legal pactuado; e

II - a dados ou informações relativos:

a) a procedimentos, investigações, diligências ou operações em curso; e

b) a operações na área de inteligência, protegidas por segredo de justiça.

CAPÍTULO IV - DAS RESTRIÇÕES

Art. 11. O acesso a dados e informações disponibilizados no ambiente de acesso restrito far-se-á com estrita observância da legislação pertinente e do instrumento legal pactuado entre a entidade autorizada e a Secretaria Especial da Receita Federal do Brasil.

Parágrafo único. As pessoas com acesso a dados e informações em ambiente de acesso restrito deverão assinar termo de confidencialidade, nos termos da Portaria RFB nº 405, de 25 de março de 2024.

Art. 12. No tratamento de dados pessoais no ambiente de acesso restrito, deverá ser observada a legislação pertinente, em especial a Portaria RFB nº 440, de 16 de julho de 2024, e a Lei nº 13.709, de 14 de agosto de 2018.

Art. 13. Todo acesso ao ambiente de acesso restrito será identificável e rastreável, vinculado a credencial individual e registrado por mecanismos de rastreabilidade, de modo a viabilizar auditoria e responsabilização.

CAPÍTULO V - DISPOSIÇÕES FINAIS

Art. 14. A Cotec poderá editar normas complementares necessárias à aplicação do disposto nesta Portaria.

Art. 15. Esta Portaria entra em vigor na data de sua publicação no Diário Oficial da União.

ROBINSON SAKIYAMA BARREIRINHAS