00261.000821/2022-99
PRESIDÊNCIA DA REPÚBLICA
Autoridade Nacional de Proteção de Dados
Coordenação-Geral de Fiscalização
Nota Técnica nº 68/2022/CGF/ANPD
- INTERESSADO
1.1. Ministério da Economia – Secretaria Especial da Receita Federal do Brasil. - ASSUNTO
2.1. Portaria RFB nº 167 de 19 de abril de 2022. - REFERÊNCIAS
3.1. Lei nº 13.709, de 14 de agosto de 2018 – Lei de Geral de Proteção de
Dados Pessoais (LGPD);
3.2. Processo SEI nº 00261.000821/2022-99;
3.3. Portaria RFB nº 167, de 19 de abril de 2022 (SEI nº 3319716);
3.4. Ofício nº 118/2022/CGF/ANPD/PR (SEI nº 3319506);
3.5. Matéria Noticiosa: Convergência Digital (SEI nº 3319702);
3.6. Matéria Noticiosa: Capital Digital (SEI nº 3319707);
3.7. Nota Conjunta Cotec/Cocad/Ouvidoria nº 24, de 2 de maio de 2022 (SEI
nº 3340772);
3.8. Ofício nº 8/2022 – OUVIDORIA/RFB (SEI nº 3340773);
3.9. Planilha Lista de Clientes (SEI nº 3376496);
3.10. Ofício nº 149/2022/CGF/ANPD/PR (SEI nº 3388163);
3.11. Nota Cocad nº 47/2022 (SEI nº 3459515);
3.12. Relatório RIPD CNPJ (SEI nº 3459516);
3.13. Relatório RIPD Certidão Negativa (SEI nº 3459517);
3.14. Relatório RIPD CPF (SEI nº 3477352);
3.15. Ata de Reunião (SEI nº 3462912); e
3.16. Nota Conjunta Cotec/Cocad/Ouvidoria nº 38, de 27 de junho de 2022 (SEI
nº 3464119). - RELATÓRIO
4.1. Trata-se de matérias noticiosas por meio das quais a Autoridade Nacional
de Proteção de Dados (ANPD) tomou conhecimento da publicação da Portaria RFB nº
167/2022, de 19 de abril de 2022, que autoriza o Serviço Federal de Processamento
de Dados (SERPRO) a disponibilizar acesso, para terceiros, dos dados e informações
que especifica.
4.2. Considerando que a referida Portaria trata, em parte, sobre dados
pessoais e tendo em vista que compete a esta Autoridade Nacional de Proteção de
Dados (ANPD) zelar pela proteção dos dados pessoais, com fundamento no art. 55-J,
incisos I e IV da Lei nº 13.709 (Lei Geral de Proteção de Dados Pessoais – LGPD), de
14 de agosto de 2018, solicitou-se, por intermédio do Ofício nº
118/2022/CGF/ANPD/PR (SEI nº 3319506), que a Receita Federal do Brasil (RFB)
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 1
esclarecesse alguns pontos acerca do compartilhamento de dados autorizado
pela normativa.
4.3. A ANPD levantou à RFB os seguintes questionamentos:
a) esclareça, em detalhes, como se dará o compartilhamento de dados
no âmbito da Portaria RFB nº 167/2022;
b)esclareça de que forma o compartilhamento atenderá aos
preceitos elencados no art. 6º, da LGPD;
c)informe quais as políticas públicas estão sendo executadas a partir
do compartilhamento de dados pessoais com terceiros, nos termos da
Portaria RFB nº 167/2022 ou da Portaria RFB nº 2.189/2017 e
antecessoras;
d)informe quais órgãos e entidades estão tendo acesso aos dados da
RFB, com fundamento na Portaria RFB nº 167/2022 ou que vinham
tendo acesso com fundamento na Portaria RFB nº 2.189/2017 e
antecessoras;
e) esclareça como se dará a formalização deste compartilhamento
entre o Serpro e o terceiro recebedor;
f) apresente o processo de identificação de risco institucional ou risco
ao sigilo da pessoa física a que se referem os dados e informações
compartilhadas, previsto no art. 3º da Portaria RFB nº 167/2022;
g)esclareça como a RFB verifica se o pedido de acesso aos dados
pessoais está amparado no atendimento de política púbica prevista em
lei ou regulamento;
h)indique quais as medidas de segurança, técnicas e
administrativas, serão adotadas no compartilhamento dos dados
pessoais em tela, em atendimento ao art. 46, da LGPD; e
i) encaminhe outras informações que, no seu entendimento, possam
contribuir para o esclarecimento do assunto.
4.4. Em resposta ao Ofício, a RFB remeteu o Ofício 8/2022 – Ouvidoria/RFB
(SEI nº 3340773), acompanhado da Nota Conjunta Cotec/Cocad/Ouvidoria nº 24, de
2 de maio de 2022 (SEI nº 3340772). No aludido Ofício, informou que as informações
foram produzidas pela Coordenação-Geral de Tecnologia e Segurança da Informação
(Cotec), gestora das soluções de tecnologia, da Coordenação-Geral de Gestão de
Cadastros e Benefícios Fiscais (Cocad), gestora dos cadastros da Receita Federal e
da Ouvidoria, cuja ouvidora é a Encarregada pelo Tratamento de Dados Pessoais.
4.5. Esclareceu, na Nota Conjunta Cotec/Cocad/Ouvidoria nº 24, de 2 de maio
de 2022 (SEI nº 3340772), através de breve resumo, do que trata o normativo
editado e passou, então, a tecer comentários acerca das informações
disponibilizadas no site e sistemas da Receita Federal, bem como a responder os
questionamentos levantados no Ofício nº 118/2022/CGF/ANPD/PR (SEI nº 3319506).
4.6. No documento apresentado em resposta às questões propostas, a
Receita Federal elaborou um breve resumo acerca da Portaria RFB nº 167/2022. De
acordo com a RFB, o normativo permite que o interessado possa consultar algumas
informações disponíveis no site ou sistemas da Receita Federal de forma
automatizada. Frisou-se que se trata de fornecimento automatizado de informações
que são públicas, como algumas informações cadastrais de identificação do CPF,
CNPJ e da certidão negativa, e outras informações restritas aos terceiros
interessados conforme o nível de procuração ou do perfil de acesso ao sistema.
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 2
4.7. Destacou-se que, com a edição da Portaria nº 167/2022, não houve
inovação no mundo jurídico no que diz respeito ao acesso aos dados. A inovação se
deu no mundo técnico, ao fornecer um mecanismo tecnológico para acesso aos
dados em alta frequência, além do acesso manual. De acordo com o documento
apresentado, esse novo mecanismo tecnológico foi previsto na Portaria MF nº 457,
de 8 de dezembro de 2016, do Ministro da Economia, com o aval da ProcuradoriaGeral da Fazenda Nacional (PGFN). De acordo com a Receita Federal, a Portaria RFB
nº 2.189/2017, antecessora da Portaria nº 167/2022, foi editada para assegurar que
o SERPRO não está operando à revelia da Receita Federal.
4.8. Frisou a RFB que a Portaria supra cria um canal alternativo ao site da
Receita Federal na internet, capaz de suportar elevado volume de acessos e
que ambos os acessos (consulta manual ou consulta automatizada) possuem as
mesmas características, ou seja, não há diferença, sob o aspecto de mérito, entre o
fornecimento da informação pelo site da Receita Federal e a infraestrutura da Portaria
RFB nº 167/2022, exceto pela tecnologia utilizada.
4.9. O órgão entende que a discussão não gira em torno da Portaria nº
167/2022, mas sim acerca das informações disponibilizadas no site ou sistemas da
Receita Federal. Neste sentido, para a Receita Federal, “não caberia questionamento
no que diz respeito ao rol de informações que são entregues ao próprio titular do
dado ou para aqueles que têm direito de conhecer o dado ou para aqueles que
acessam mediante procuração e sim a análise acerca dos dados cadastrais, do CPF e
CNPJ, e de certidão negativa disponibilizados de forma pública no site da Receita
Federal para consulta por toda a sociedade”.
4.10. Sobre os dados públicos, a Receita Federal informa que, de acordo com a
Lei nº 6.015, de 31 de dezembro de 1973 (Lei dos Registros Públicos), nome e data
de nascimento são dados pessoais públicos. Ainda, conforme a Lei nº 8.935, de 18
de novembro de 1994, a publicidade registral, no âmbito das serventias extrajudiciais,
visa dar publicidade a determinadas ações, sejam elas de natureza pessoal ou geral,
de forma a garantir a autenticidade, segurança e eficácia dos atos jurídicos.
4.11. De acordo com as informações apresentadas, a RFB opera o site
governamental mais acessado de todo o Governo Brasileiro, e é o Órgão com o
maior número de serviços digitais disponíveis ao cidadão e às empresas, sendo a
consulta ao Comprovante da Situação Cadastral no CPF o serviço digital atualmente
mais acessado do governo. Em relação ao fornecimento do Comprovante da
Situação Cadastral no CPF, a base normativa é a Instrução Normativa RFB nº 1.548,
de 13 de fevereiro de 2015, decorrente do Decreto-Lei nº 401, de 30 de dezembro
de 1968. O órgão esclarece que os dados divulgados no site da Receita Federal são
da situação cadastral do contribuinte (regular, suspenso, cancelado, etc.), acrescida
apenas de informações mínimas para evitar fraude frente a homônimos.
4.12. Explica a Receita Federal que o Decreto nº 9.723, de 11 de março de
2019, instituiu o CPF como instrumento suficiente e substitutivo para apresentação
de dados do cidadão no exercício de obrigações e direitos e na obtenção de
benefícios, passando portanto, o conjunto de dados que compõe o banco
cadastral, a ser imprescindível na implementação de políticas públicas. Dessa forma,
os dados vinculados à pessoa física passam a ser objeto de demanda pelos órgãos
da Administração Pública em todas as esferas de governo, no intuito primordial de
sanear seus respectivos bancos de dados e proporcionar políticas públicas
assertivas, pautadas pela moralidade e eficiência.
4.13. A RFB também pontua que, de acordo com o Decreto nº 10.977, de 23
de fevereiro de 2022, em seu art. 3º, a Carteira de Identidade nacional passa a adotar
o número de inscrição do Cadastro de Pessoas Físicas (CPF) como registro geral
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 3
nacional e que a edição do Decreto está alinhada com a redação da Lei nº
14.129/2021, que estabelece que “o número de inscrição no Cadastro de Pessoas
Físicas (CPF) como número suficiente para identificação do cidadão (…)”. Alega ainda
que o Decreto nº 10.222, de 05 de fevereiro de 2020, define a estratégia nacional de
segurança cibernética e nela destaca a importância do Estado em garantir às
empresas mecanismos para certificar a segurança de seus produtos/serviços e,
assim, proteger seus usuários. Por fim, informa que os dados da Situação Cadastral
no CPF previsto no item 1 do Anexo Único da Portaria RFB nº 167/2022, são os
mesmos dados disponibilizados pela consulta pública disponível em Comprovante de
Situação Cadastral no CPF.
4.14. Relativamente aos dados de CNPJ, a RFB discorre sobre a
obrigatoriedade da inscrição do empresário no Registro Público de Empresas
Mercantis, de modo que as informações divulgadas no site da Receita Federal são
públicas. Ainda, os dados constantes da base de dados do CNPJ são públicos, de
acordo com a Lei nº 6.015/1973.
4.15. No que concerne aos dados constantes na Certidão Negativa de Débitos,
a Receita Federal aponta que o Código Tributário Nacional estabelece que a prova da
quitação de determinado tributo, quando exigível, deve ser feita por certidão negativa
que contenha todas as informações necessárias à identificação de sua pessoa,
domicílio fiscal e ramo de negócio ou atividade e indique o período a que se refere o
pedido. Nessa senda, a Portaria Conjunta RFB / PGFN Nº 1.751, de 02 de outubro de
2014, definiu que a certidão negativa seria solicitada e emitida pela internet, e os
dados da Certidão Negativa de Débitos prevista no item 3 do Anexo Único da Portaria
RFB nº 167/2022 são os mesmos dados disponibilizados pela consulta pública
disponível em Certidão de Débitos Relativos a Créditos Tributários Federais e à Dívida
Ativa da União.
4.16. Em resumo, a RFB reforça que não há novidade na norma editada, pois
todo o seu mecanismo já constava da Portaria RFB nº 2.189/2017, com alterações de
automatização de acesso e acréscimo de grupo de informações que diz respeito
somente ao titular do dado, podendo ser acessada apenas pelo próprio ou mediante
procuração. Ainda, alega que não aumentou ou permitiu acesso a dados que já não
estivessem disponíveis, assim como também não autorizou nenhuma venda de
dados e informações.
4.17. Passou então, a responder os questionamentos encaminhados pela
ANPD no Ofício nº 118/2022/CGF/ANPD/PR.
4.18. Com relação ao compartilhamento de dados no âmbito da Portaria RFB
nº 167/2022, contido na pergunta ‘a’, a Receita Federal esclarece que a
disponibilização dos dados é feita mediante consulta automatizada (pelo titular ou por
toda a sociedade), como alternativa às consultas manuais disponíveis no site ou nos
sistemas informatizados da Receita Federal aos dados para os quais já tenha acesso
autorizado. Tais dados poderão sofrer restrição de disponibilização em função das
permissões de acesso nos sistemas informatizados ou da outorga de poderes
constantes das procurações digitais.
4.19. Consoante as informações apresentadas, a referida Portaria tem o
objetivo de automatizar o que já é realizado de forma manual, sendo o terceiro
interessado o responsável por ressarcir os custos junto ao Serpro. Para a RFB, a
solução em questão aprimora o acesso aos dados, atendendo e aprimorando os
princípios da LGPD.
4.20. Sobre a pergunta ‘b’, relativa ao atendimento aos preceitos elencados no
art. 6º da LGPD, a Receita Federal alega o que a Portaria nº 167/2022 é apenas a
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 4
solução tecnológica que permite a disponibilização dos dados já acessados
anteriormente de forma manual. Dessa forma, segundo a RFB, o normativo segue
todas as autorizações já existentes para o tratamento de dados e são adotadas as
medidas de segurança e prevenção adequadas, sendo que todos os princípios
estabelecidos no art. supra continuam sendo observados no âmbito da Portaria.
4.21. No tocante à informação de quais políticas públicas estão sendo
executadas a partir do compartilhamento de dados pessoais com terceiros (pergunta
‘c’), a Receita Federal listou, em sua resposta, Leis, Decretos, Instruções Normativas
e Portarias, relacionando-as com o item do anexo único da Portaria nº 167/2022,
quais sejam: Cadastro de Pessoas Físicas (CPF), Cadastro Nacional de Pessoas
Jurídicas (CNPJ) e Certidão Negativa de Débitos (CND).
4.22. Quanto à pergunta ‘d’, que trata da informação acerca de quais órgãos
ou entidades têm acesso aos dados da RFB com fundamento nas Portarias nº
167/2022 ou nº 2.189/2017 e antecessoras, a Receita Federal informou que os
órgãos e entidades se utilizam da Portaria RFB nº 34/2021 para acessar os dados.
Comunica que encaminha em anexo planilha eletrônica com as informações de quem
são os terceiros que estão tendo acesso aos dados e informações no âmbito da
Portaria RFB nº 167/2022, especificamente do CPF, CNPJ e da Certidão Negativa. Por
fim, ressalta que os dados acessados da Situação Cadastral do CPF, do CNPJ e da
CND, pela solução automatizada da Portaria RFB nº 167/2022 são também
disponíveis no site da Receita Federal ou em seus sistemas informatizados, onde não
há registro de acesso.
4.23. Quanto à pergunta ‘e’, em que se pede esclarecimento sobre como se
dará a formalização deste compartilhamento entre o Serpro e o terceiro recebedor, a
Receita Federal informa que para os dados públicos não há o que se falar em
formalização, no sentido de consentimento, uma vez que que a LGPD permite a
disponibilização de acesso aos dados e informações em seus arts. 26 §1º inciso III
c/c art. 27 inciso I e III.
4.24. Para os demais dados, a RFB informa que o o terceiro interessado
celebrará contrato com o Serpro, o qual contém as regras para ressarcimento dos
custos envolvidos.
4.25. No que toca à pergunta ‘f’, em que a ANPD solicita a apresentação do
processo de identificação de risco institucional ou risco ao sigilo da pessoa física a
que se referem os dados e informações compartilhadas, previsto no art. 3º da
Portaria RFB nº 167/2022, a Receita Federal alega que o processo de identificação de
risco institucional ou risco ao sigilo da pessoa física ocorre no âmbito do sistema
informatizado da RFB de relacionamento entre a instituição e seus prestadores de
serviços de TI. Quando da formalização das propostas de disponibilização de acesso
aos dados e informações, o gestor da área responsável pelo dado e informação
avalia se: a informação está disponível no site da Receita Federal ou em sistema
informatizado da Receita Federal; a informação é pública ou se é acessada com
controle de acesso; e caso a informação acessada careça de controle de acesso,
verifica se a proposta mantém os requisitos de controle de acesso existentes para
acesso via sistema da Receita Federal. Após fazer as verificações pertinentes,
assinala no sistema informatizado que não há risco institucional ou risco ao sigilo da
pessoa física.
4.26. Quanto à pergunta ‘g’, em que se solicita esclarecimentos sobre como a
RFB verifica se o pedido de acesso aos dados pessoais está amparado no
atendimento de política pública prevista em lei ou regulamento, a Receita Federal
informa que o acesso se dá através do processo de avaliação do risco institucional
ou risco ao sigilo da pessoa física, que tem o objetivo de avaliar se a informação é
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 5
pública ou se é acessada com controle de acesso.
4.27. Sobre a pergunta ‘h’, que trata da indicação de quais medidas de
segurança, técnicas e administrativas serão adotadas no compartilhamento de dados
pessoais, a RFB informa que serão aplicados os requisitos de controle de acesso,
conforme preveem as diretrizes da Política de Segurança da Informação da Receita
Federal (Portaria SRF, nº 450, de 28 de abril de 2004). Já os sistemas informatizados,
construídos em conjunto com o Serpro ou com outro prestador de serviços, contam
com os seguintes requisitos: (i) registro de informações (log) com prazos de
retenção e formas de acesso definidas, com vistas a permitir a recuperação do
sistema em caso de falha; (ii) registro de informações (trilha de auditoria) com prazos
de retenção e formas de acesso definidas, com vistas a permitir auditoria,
identificação de situações de violação e contabilização individual do uso dos sistemas;
e (iii) as permissões de acesso são graduadas de acordo com as atribuições dos
intervenientes do sistema.
4.28. Por último, no que concerne ao item ‘i’, em que se solicita o
encaminhamento de outras informações que possam contribuir para o
esclarecimento do assunto, a Receita Federal retoma alguns esclarecimentos
elaborados em tópicos anteriores.
4.29. Além disso, alega que uma eventual discussão sobre LGPD não é sobre a
Portaria RFB nº 167/2022, mas sim se a Receita Federal pode manter em seu site a
consulta à situação cadastral do CPF, junto com os dados para evitar fraudes em
homônimos, aos dados cadastrais do CNPJ, bem como da certidão negativa. Todavia,
o órgão entende não ser apropriado, com base na LGPD, que a Receita Federal retire
do seu site as informações da situação cadastral do CPF ou demais informações
cadastrais e de certidão negativa.
4.30. Relata, ainda, que um dos motivos do fornecimento das informações de
forma automatizada vem justamente de demanda da sociedade em geral, que tem
um grande volume de trabalho e precisa de soluções facilitadas para evoluir o
trabalho manual.
4.31. Embora a RFB tenha respondido a todas as perguntas formuladas pela
ANPD, fez-se necessária a complementação ou esclarecimento das respostas para
completa compreensão do tratamento de dados efetuado. Além disso, a CGF
solicitou reunião conjunta com os representantes da Receita Federal, para dirimir
eventuais dúvidas, conforme Ata de Reunião (SEI nº 3464119).
4.32. Para tanto, a CGF encaminhou Ofício nº 149/2022/CGF/ANPD/PR (SEI nº
3388163), solicitando que a RFB, especialmente em relação à nova solução de
compartilhamento disposta na portaria, esclarecesse os seguintes pontos:
a) de que forma o compartilhamento atenderá aos preceitos elencados
no art. 6º, da LGPD, especialmente no que tange os princípios da
segurança, transparência e prevenção; e
b)quais são os mecanismos adotados para que os titulares de dados
pessoais exerçam seus direitos, indicando onde constam as
informações necessárias para o exercício de tais direitos, conforme
disposto nos art. 9º e 18, da LGPD. Nesse ponto, a título
exemplificativo, cita-se o direito à correção de dados incompletos,
inexatos ou desatualizados e o direito de acesso.
4.33. Como resposta, a RFB anexou ao processo a Nota Cocad nº
47/2022 (SEI nº 3459515); o Relatório RIPD CNPJ (SEI nº 3459516); o Relatório
RIPD Certidão Negativa (SEI nº 3459517); o Relatório RIPD CPF (SEI nº 3477352); e a
Nota Conjunta Cotec/Cocad/Ouvidoria nº 38, de 27 de junho de 2022 (SEI nº
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 6
3464119).
4.34. A RFB alega, na Nota Conjunta nº 38/2022, que a adoção da tecnologia
não pode ser vista como significativa a ponto de gerar riscos não existentes
anteriormente aos direitos e garantias dos titulares e que a LGPD não cita a
relevância da tecnologia para avaliar a proteção de dados.
4.35. Em seguida, discorre sobre como atenderá aos princípios da
transparência, segurança e prevenção, dispostos no art. 6º, da LGPD, bem como
sobre os mecanismos para que os titulares de dados pessoais exerçam seus
direitos.
4.36. Para a Receita Federal, a Portaria nº 167/2022 não é citada como
resposta nos pedidos de esclarecimento, já que: “quem faz o tratamento de dados
pessoais, em sentido amplo, são outros normativos”. Ainda, alega que o escopo da
referida portaria é dar acesso acesso às informações pessoais públicas ou privadas e
que, considerando esse escopo, é desproporcional pretender avaliar o ciclo de vida
das informações do CPF, por exemplo, por meio do normativo objeto da fiscalização.
4.37. Por fim, a RFB aponta que o que se espera é a verificação, por parte da
ANPD, se o acesso à informação está ocorrendo somente àqueles que deveriam ter
acesso e que o órgão, muito antes da LGPD, segue rigorosas disposições legais no
que se refere ao compartilhamento de dados, especialmente com relação ao Sigilo
Fiscal, previsto no Código Tributário Nacional.
4.38. Assim, passa-se a seguir, à análise das informações apresentadas. - ANÁLISE
5.1. A Receita Federal do Brasil, mediante Nota Conjunta
Cotec/Cocad/Ouvidoria nº 24, de 2 de maio de 2022 (SEI nº 3340772) e Nota
Conjunta Cotec/Cocad/Ouvidoria nº 38, de 27 de junho de 2022 (SEI nº 3464119)
esclareceu os questionamentos levantados pela Autoridade Nacional de Proteção de
Dados nos Ofícios nº 118/2022/CGF/ANPD/PR (SEI nº 3319506) e
nº 149/2022/CGF/ANPD/PR (SEI nº 3388163).
5.2. Após a análise das respostas enviadas pela RFB, bem como os
esclarecimentos prestados em reunião, ficou claro que o objeto da Portaria nº
167/2022 é instrumentalizar o acesso já existente a dados pré-determinados, tais
como informações acerca de CPF, CNPJ e certidão negativa de débitos.
5.3. Com relação ao posicionamento da Receita Federal acerca do fato de que
a simples adição da tecnologia ao acesso aos dados públicos que trata a Portaria nº
167/2022 não traria novos riscos aos direitos e garantias aos titulares (item 4.34),
esta Coordenação-Geral de Fiscalização acata as justificativas trazidas no bojo do
processo, considerando que o órgão já tenha elaborado e mapeado os riscos
inerentes ao tratamento, especialmente quando da confecção dos Relatórios de
Impacto à Proteção de Dados Pessoais.
5.4. No que toca à afirmação, por parte da RFB, de que a discussão não gira
em torno da Portaria nº 167/2022, mas sim acerca das informações disponibilizadas
no site ou sistemas da Receita Federal e que “não caberia questionamento no que diz
respeito ao rol de informações que são entregues ao próprio titular do dado ou para
aqueles que têm direito de conhecer o dado ou para aqueles que acessam mediante
procuração e sim a análise acerca dos dados cadastrais, do CPF e CNPJ, e de
certidão negativa disponibilizados de forma pública no site da Receita Federal para
consulta por toda a sociedade” (SEI nº 3340772, p.2), destacamos, nesse ponto, que
há uma leitura equivocada da legislação.
5.5. Isso porque a LGPD incide mesmo quando o titular entrega seus dados
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 7
voluntariamente, seja mediante consentimento ou outra hipótese legal, como a
execução de contrato, por exemplo. Quando a hipótese de tratamento é o
consentimento do titular, a própria lei, em seu art. 8º, determina como o controlador
deverá agir caso a base legal escolhida para o tratamento dos dados seja o
consentimento. Além disso, independente da hipótese de tratamento adotada, o
controlador deverá obedecer aos fundamentos e princípios prescritos na legislação,
notadamente os dispostos no art. 2º e 6º da Lei Geral de Proteção de Dados. Assim,
caso entenda necessário, a ANPD pode fiscalizar quaisquer fluxos de tratamento de
dados pessoais, incluindo a hipótese de tratamento de dados pessoais baseada no
consentimento do titular.
5.6. Com relação ao tratamento de dados relativo ao serviço de consulta ao
comprovante de situação cadastral no CPF, a partir das respostas encaminhadas
pela Receita Federal e considerando o conteúdo do Relatório de Impacto à Proteção
de Dados Pessoais juntado ao processo, é possível visualizar como é
disponibilizado o acesso aos dados públicos de CPF pela RFB, quais sejam: o nº de
inscrição no CPF, o Nome social, se houver, o Nome, a Data de nascimento,
a Situação Cadastral, a Data de inscrição e o Ano de óbito, se houver. Frise-se que
para que a consulta seja efetivada, é necessário informar como chave de pesquisa o
número de inscrição no CPF e a data de nascimento correspondente.
5.7. Além disso, a RFB comprovou a necessidade de compartilhamento de
tais dados, especialmente no tocante à execução de políticas públicas de
identificação, expressamente previstos em normativos legais tais como o Decreto nº
6.289, de 06 de dezembro de 2007, o Decreto nº 9.723/2019, de 11 de março de
2019, o Decreto nº 10.900 de 17 de dezembro de 2021 e o Decreto nº 10.977 em
23 de fevereiro de 2022, que preveem, em síntese, a necessidade do CPF como
documento básico do cidadão, além de compor o cadastro de Identificação Civil
Nacional (ICN), como número público de identificação e como parte do programa de
desburocratização do serviço público.
5.8. Assim, tratando-se de compartilhamento de dados amparado por política
pública e normativos legais e considerando não haver compartilhamento irrestrito de
tais dados, uma vez que os dados disponibilizados são públicos e concedidos apenas
aos interessados que já possuem chave de pesquisa prévia, entende-se que o
tratamento de dados pessoais relativos ao CPF e no que tange à Portaria nº
167/2022 é lícito e adequado aos ditames da LGPD.
5.9. Com relação ao tratamento de dados relativo ao serviço de cadastro
nacional de pessoa jurídica – CNPJ, importa destacar que, embora dados de pessoas
jurídicas não sejam abrangidos pela LGPD, há, na divulgação de tais dados por parte
da Receita Federal, publicização de dados dos sócios e integrantes da entidades,
esses sim podendo ser submetidos à regulação pela LGPD, conforme disposto no
art. 5º , I, dessa lei.
5.10. De acordo com RIPD elaborado pelo órgão, os dados de sócios
disponibilizados conforme Portaria RFB nº 167/2022 são os seguintes:
Sócio:
Identificador de sócio
Nome do sócio (no caso de PF) ou razão social (no caso de PJ)
CNPJ/CPF do sócio
Código de qualificação do sócio
Data de entrada na sociedade
Código do país do sócio estrangeiro
Nome do país do sócio estrangeiro
CPF do representante legal
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 8
Nome do representante
Código de qualificação do representante legal
5.11. Embora sejam divulgados nome e CPF dos sócios, tal informação, por
imposição normativa, é considerada dado público. Conforme já abordado no item
4.14 e ainda, por força da Lei nº 8.934, de 18 de novembro de 1994, uma das
finalidades do Registro Público de empresas mercantis é justamente dar garantia,
publicidade, autenticidade, segurança e eficácia aos atos jurídicos das empresas
mercantis. Como já esclarecido pela Receita Federal quando da elaboração de seu
RIPD, a divulgação de dados de pessoa jurídica é feita de forma restrita, sendo
publicados apenas os dados não protegidos por sigilo fiscal.
5.12. Nessa senda, não se vislumbrou, inicialmente, irregularidades no
tratamento de dados pessoais no âmbito do acesso a dados de CNPJ, viabilizado pela
Portaria nº 167/2022, da RFB.
5.13. Com relação ao tratamento de dados relativo ao serviço certidão negativa
de débitos – CND, os dados divulgados não têm correlação com a LGPD, uma vez
que tratam de dados estritamente empresariais. De acordo com Relatório de Impacto
à Proteção de Dados Pessoais elaborado pela RFB (SEI nº 3459517), o retorno da
informação disponibilizada com base em chave de pesquisa é o seguinte:
Certidão Negativa (CND) dentro do prazo de validade e com maior data final de
validade
Certidão Positiva com Efeitos de Negativa (CPEND) dentro do prazo de validade e
com maior data final de validade
Inexistência de CND ou CPEND emitida dentro do prazo de validade
Data final de validade da CND ou CPEND recuperada
Número de controle da certidão recuperada
5.14. Dessa forma, não há tratamento de dados pessoais conforme definição
do art. 5º , I, da LGPD, no caso da disponibilização de dados da certidão negativa de
débitos pela Receita Federal, motivo pelo qual não incide a competência fiscalizatória
da ANPD.
5.15. Relativamente à afirmação, por parte da Receita Federal, sobre o que se
espera da fiscalização, é imprescindível que seja elucidada a competência fiscalizatória
da ANPD, bem como suas atividades. De acordo com o disposto no art. 55-J,
compete à ANPD:
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
(…)
IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em
descumprimento à legislação, mediante processo administrativo que assegure o
contraditório, a ampla defesa e o direito de recurso;
(…)
XI – solicitar, a qualquer momento, às entidades do poder público que realizem
operações de tratamento de dados pessoais informe específico sobre o âmbito, a
natureza dos dados e os demais detalhes do tratamento realizado, com a
possibilidade de emitir parecer técnico complementar para garantir o
cumprimento desta Lei;
(…)
XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de
fiscalização de que trata o inciso IV e com a devida observância do disposto no
inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado
pelos agentes de tratamento, incluído o poder público;
(…)
5.16. Ainda, de acordo com o Regulamento de Fiscalização:
Art. 21. O Mapa de Temas Prioritários será bianual e estabelecerá os temas
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 9
prioritários que serão considerados pela ANPD para fins de estudo e
planejamento da atividade de fiscalização no período.
(…)
Art. 40. A Coordenação-Geral de Fiscalização poderá, de ofício ou diante de
requerimento, mediante procedimento preparatório, efetuar averiguações
preliminares, quando os indícios da prática de infração não forem suficientes para
a instauração imediata de processo administrativo sancionador.
5.17. A ANPD delibera pelas matérias objeto de sua fiscalização conforme
definido no plano de fiscalização e mapa de temas prioritários e ainda, nas demandas
que considera, por sua conveniência e oportunidade, como prioritárias, como o foi o
caso da Portaria RFB nº 167/2022. Assim, o seu escopo de atuação é definido pela
própria Coordenação-Geral de Fiscalização e não pela expectativa do fiscalizado.
5.18. No tocante à declaração, pela RFB, que o órgão, anteriormente à edição
da LGPD, já seguia rigorosas disposições legais no que se refere ao
compartilhamento de dados, especialmente com relação ao Sigilo Fiscal, cumpre
reafirmar que o objeto da LGPD não inclui somente dados abrangidos pelo sigilo fiscal
imposto no Código Tributário Nacional (CTN). Em verdade, vai muito mais além,
quando preceitua, em seu art. 1º que: “esta Lei dispõe sobre o tratamento de dados
pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de
direito público ou privado, com o objetivo de proteger os direitos fundamentais de
liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa
natural” e em seu art. 5º, I, quando define que o dado pessoal: “é a informação
relacionada a pessoa natural identificada ou identificável”.
5.19. Importante esclarecer, igualmente, a diferença entre privacidade e
proteção de dados. Tais termos operam, inicialmente, em uma lógica diversa, uma
vez que a privacidade é um direito negativo do cidadão, ou seja, é o direito que o
cidadão possui de manter sua vida privada em sigilo. Já a proteção de dados é um
direito positivo, que importa na circulação de tais dados de maneira apropriada,
garantindo que o titular dos dados saiba quais dados serão utilizados, com qual
finalidade e por quanto tempo. Nessa senda, conforme disposto na legislação,
a LGPD carrega em sua espinha dorsal a proteção de dados pessoais.
5.20. De acordo com tal raciocínio, o sigilo fiscal está inserido no campo da
privacidade, enquanto que os tratamentos de dados pessoais exercidos pela Receita
Federal, nessa análise focados especialmente na Portaria 167/2022, estão abarcados
no campo da proteção de dados pessoais. Dessarte, embora a RFB afirme que já
exercia os ditames legais dispostos no CTN, o objeto da LGPD e da atuação por parte
da ANPD é mais abrangente e singular, não se confundindo com os mandamentos
relativos ao sigilo fiscal. - CONCLUSÕES
6.1. Ante o exposto até o momento, acerca do tratamento de dados pessoais
no âmbito da Portaria 167/2022 pela Receita Federal do Brasil, considerando as
competências que a Lei nº 13.709, de 14 de agosto de 2018, concedeu à Autoridade
Nacional de Proteção de Dados (ANPD), em especial aquelas previstas no art. 31, nos
incisos I, VI, XI e XX, todos do Art. 55-J, bem como as atribuições que foram
concedidas à Coordenação-Geral de Fiscalização desta ANPD, por meio do Art. 17,
caput e incisos I, III e VIII do Anexo da Portaria ANPD nº 1, de 8 de março de 2021,
que estabeleceu o Regimento Interno da ANPD, conclui-se que:
6.2. Consoante com o informado pela Receita Federal (itens 4.6 a 4.8 e 4.16),
a Portaria 167/2022 somente viabiliza, de forma mais tecnológica que as
soluções adotadas anteriormente, o acesso a determinados dados pessoais como
dados de CPF, CNPJ e Certidão Negativa de Débitos, além de outros dados que não
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 10
se enquadram na definição de dados pessoais, tais como dados de manifesto
marítimo, dados de declaração de importação, entre outros.
6.3. Os dados considerados pessoais já eram, em sua maioria, dados
públicos por força de normativos e de políticas públicas, conforme itens 4.10 a 4.15.
De acordo com as informações trazidas pela Receita Federal, aqueles dados que não
possuem a natureza de dado público continuam carecendo de autorização prévia de
acesso, pelo titular, ao terceiro, mediante procuração.
6.4. Uma vez que os dados compartilhados foram mapeados pela RFB
através dos Relatórios de Impacto apresentados, além de estarem inseridos em
políticas públicas e possuírem finalidade definida, conforme determina a LGPD, não se
vislumbrou incompatibilidade do tratamento pretendido pela Portaria 167/2022 com
os ditames da legislação de proteção de dados pessoais. - ENCAMINHAMENTO
7.1. Sugere-se o encaminhamento desta Nota Técnica à Encarregada pelo
Tratamento de Dados Pessoais da Receita Federal, para ciência de seu conteúdo.
Documento assinado eletronicamente por Fabricio Guimarães Madruga
Lopes, Coordenador(a)-Geral, em 29/07/2022, às 18:52, conforme horário
oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543,
de 13 de novembro de 2020.
Documento assinado eletronicamente por Camila Falchetto Romero, ANPD
- Autoridade Nacional de Proteção de Dados, em 01/08/2022, às 09:03,
conforme horário oficial de Brasília, com fundamento no § 3º do art. 4º, do
Decreto nº 10.543, de 13 de novembro de 2020.
Documento assinado eletronicamente por Cristiane Landerdahl de
Albuquerque, Coordenador(a), em 01/08/2022, às 13:26, conforme horário
oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543,
de 13 de novembro de 2020.
A autenticidade do documento pode ser conferida informando o código
verificador 3481730 e o código CRC E7C351FD no site:
https://sei-pr.presidencia.gov.br/sei/controlador_externo.php?
acao=documento_conferir&id_orgao_acesso_externo=0
Referência: Processo nº 00261.000821/2022-99 SEI nº 3481730
Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 11