00261.000821/2022-99
PRESIDÊNCIA DA REPÚBLICA
Autoridade Nacional de Proteção de Dados
Coordenação-Geral de Fiscalização
Nota Técnica nº 68/2022/CGF/ANPD

  1. INTERESSADO
    1.1. Ministério da Economia – Secretaria Especial da Receita Federal do Brasil.
  2. ASSUNTO
    2.1. Portaria RFB nº 167 de 19 de abril de 2022.
  3. REFERÊNCIAS
    3.1. Lei nº 13.709, de 14 de agosto de 2018 – Lei de Geral de Proteção de
    Dados Pessoais (LGPD);
    3.2. Processo SEI nº 00261.000821/2022-99;
    3.3. Portaria RFB nº 167, de 19 de abril de 2022 (SEI nº 3319716);
    3.4. Ofício nº 118/2022/CGF/ANPD/PR (SEI nº 3319506);
    3.5. Matéria Noticiosa: Convergência Digital (SEI nº 3319702);
    3.6. Matéria Noticiosa: Capital Digital (SEI nº 3319707);
    3.7. Nota Conjunta Cotec/Cocad/Ouvidoria nº 24, de 2 de maio de 2022 (SEI
    nº 3340772);
    3.8. Ofício nº 8/2022 – OUVIDORIA/RFB (SEI nº 3340773);
    3.9. Planilha Lista de Clientes (SEI nº 3376496);
    3.10. Ofício nº 149/2022/CGF/ANPD/PR (SEI nº 3388163);
    3.11. Nota Cocad nº 47/2022 (SEI nº 3459515);
    3.12. Relatório RIPD CNPJ (SEI nº 3459516);
    3.13. Relatório RIPD Certidão Negativa (SEI nº 3459517);
    3.14. Relatório RIPD CPF (SEI nº 3477352);
    3.15. Ata de Reunião (SEI nº 3462912); e
    3.16. Nota Conjunta Cotec/Cocad/Ouvidoria nº 38, de 27 de junho de 2022 (SEI
    nº 3464119).
  4. RELATÓRIO
    4.1. Trata-se de matérias noticiosas por meio das quais a Autoridade Nacional
    de Proteção de Dados (ANPD) tomou conhecimento da publicação da Portaria RFB nº
    167/2022, de 19 de abril de 2022, que autoriza o Serviço Federal de Processamento
    de Dados (SERPRO) a disponibilizar acesso, para terceiros, dos dados e informações
    que especifica.
    4.2. Considerando que a referida Portaria trata, em parte, sobre dados
    pessoais e tendo em vista que compete a esta Autoridade Nacional de Proteção de
    Dados (ANPD) zelar pela proteção dos dados pessoais, com fundamento no art. 55-J,
    incisos I e IV da Lei nº 13.709 (Lei Geral de Proteção de Dados Pessoais – LGPD), de
    14 de agosto de 2018, solicitou-se, por intermédio do Ofício nº
    118/2022/CGF/ANPD/PR (SEI nº 3319506), que a Receita Federal do Brasil (RFB)
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 1
    esclarecesse alguns pontos acerca do compartilhamento de dados autorizado
    pela normativa.
    4.3. A ANPD levantou à RFB os seguintes questionamentos:
    a) esclareça, em detalhes, como se dará o compartilhamento de dados
    no âmbito da Portaria RFB nº 167/2022;
    b)esclareça de que forma o compartilhamento atenderá aos
    preceitos elencados no art. 6º, da LGPD;
    c)informe quais as políticas públicas estão sendo executadas a partir
    do compartilhamento de dados pessoais com terceiros, nos termos da
    Portaria RFB nº 167/2022 ou da Portaria RFB nº 2.189/2017 e
    antecessoras;
    d)informe quais órgãos e entidades estão tendo acesso aos dados da
    RFB, com fundamento na Portaria RFB nº 167/2022 ou que vinham
    tendo acesso com fundamento na Portaria RFB nº 2.189/2017 e
    antecessoras;
    e) esclareça como se dará a formalização deste compartilhamento
    entre o Serpro e o terceiro recebedor;
    f) apresente o processo de identificação de risco institucional ou risco
    ao sigilo da pessoa física a que se referem os dados e informações
    compartilhadas, previsto no art. 3º da Portaria RFB nº 167/2022;
    g)esclareça como a RFB verifica se o pedido de acesso aos dados
    pessoais está amparado no atendimento de política púbica prevista em
    lei ou regulamento;
    h)indique quais as medidas de segurança, técnicas e
    administrativas, serão adotadas no compartilhamento dos dados
    pessoais em tela, em atendimento ao art. 46, da LGPD; e
    i) encaminhe outras informações que, no seu entendimento, possam
    contribuir para o esclarecimento do assunto.
    4.4. Em resposta ao Ofício, a RFB remeteu o Ofício 8/2022 – Ouvidoria/RFB
    (SEI nº 3340773), acompanhado da Nota Conjunta Cotec/Cocad/Ouvidoria nº 24, de
    2 de maio de 2022 (SEI nº 3340772). No aludido Ofício, informou que as informações
    foram produzidas pela Coordenação-Geral de Tecnologia e Segurança da Informação
    (Cotec), gestora das soluções de tecnologia, da Coordenação-Geral de Gestão de
    Cadastros e Benefícios Fiscais (Cocad), gestora dos cadastros da Receita Federal e
    da Ouvidoria, cuja ouvidora é a Encarregada pelo Tratamento de Dados Pessoais.
    4.5. Esclareceu, na Nota Conjunta Cotec/Cocad/Ouvidoria nº 24, de 2 de maio
    de 2022 (SEI nº 3340772), através de breve resumo, do que trata o normativo
    editado e passou, então, a tecer comentários acerca das informações
    disponibilizadas no site e sistemas da Receita Federal, bem como a responder os
    questionamentos levantados no Ofício nº 118/2022/CGF/ANPD/PR (SEI nº 3319506).
    4.6. No documento apresentado em resposta às questões propostas, a
    Receita Federal elaborou um breve resumo acerca da Portaria RFB nº 167/2022. De
    acordo com a RFB, o normativo permite que o interessado possa consultar algumas
    informações disponíveis no site ou sistemas da Receita Federal de forma
    automatizada. Frisou-se que se trata de fornecimento automatizado de informações
    que são públicas, como algumas informações cadastrais de identificação do CPF,
    CNPJ e da certidão negativa, e outras informações restritas aos terceiros
    interessados conforme o nível de procuração ou do perfil de acesso ao sistema.
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 2
    4.7. Destacou-se que, com a edição da Portaria nº 167/2022, não houve
    inovação no mundo jurídico no que diz respeito ao acesso aos dados. A inovação se
    deu no mundo técnico, ao fornecer um mecanismo tecnológico para acesso aos
    dados em alta frequência, além do acesso manual. De acordo com o documento
    apresentado, esse novo mecanismo tecnológico foi previsto na Portaria MF nº 457,
    de 8 de dezembro de 2016, do Ministro da Economia, com o aval da ProcuradoriaGeral da Fazenda Nacional (PGFN). De acordo com a Receita Federal, a Portaria RFB
    nº 2.189/2017, antecessora da Portaria nº 167/2022, foi editada para assegurar que
    o SERPRO não está operando à revelia da Receita Federal.
    4.8. Frisou a RFB que a Portaria supra cria um canal alternativo ao site da
    Receita Federal na internet, capaz de suportar elevado volume de acessos e
    que ambos os acessos (consulta manual ou consulta automatizada) possuem as
    mesmas características, ou seja, não há diferença, sob o aspecto de mérito, entre o
    fornecimento da informação pelo site da Receita Federal e a infraestrutura da Portaria
    RFB nº 167/2022, exceto pela tecnologia utilizada.
    4.9. O órgão entende que a discussão não gira em torno da Portaria nº
    167/2022, mas sim acerca das informações disponibilizadas no site ou sistemas da
    Receita Federal. Neste sentido, para a Receita Federal, “não caberia questionamento
    no que diz respeito ao rol de informações que são entregues ao próprio titular do
    dado ou para aqueles que têm direito de conhecer o dado ou para aqueles que
    acessam mediante procuração e sim a análise acerca dos dados cadastrais, do CPF e
    CNPJ, e de certidão negativa disponibilizados de forma pública no site da Receita
    Federal para consulta por toda a sociedade”.
    4.10. Sobre os dados públicos, a Receita Federal informa que, de acordo com a
    Lei nº 6.015, de 31 de dezembro de 1973 (Lei dos Registros Públicos), nome e data
    de nascimento são dados pessoais públicos. Ainda, conforme a Lei nº 8.935, de 18
    de novembro de 1994, a publicidade registral, no âmbito das serventias extrajudiciais,
    visa dar publicidade a determinadas ações, sejam elas de natureza pessoal ou geral,
    de forma a garantir a autenticidade, segurança e eficácia dos atos jurídicos.
    4.11. De acordo com as informações apresentadas, a RFB opera o site
    governamental mais acessado de todo o Governo Brasileiro, e é o Órgão com o
    maior número de serviços digitais disponíveis ao cidadão e às empresas, sendo a
    consulta ao Comprovante da Situação Cadastral no CPF o serviço digital atualmente
    mais acessado do governo. Em relação ao fornecimento do Comprovante da
    Situação Cadastral no CPF, a base normativa é a Instrução Normativa RFB nº 1.548,
    de 13 de fevereiro de 2015, decorrente do Decreto-Lei nº 401, de 30 de dezembro
    de 1968. O órgão esclarece que os dados divulgados no site da Receita Federal são
    da situação cadastral do contribuinte (regular, suspenso, cancelado, etc.), acrescida
    apenas de informações mínimas para evitar fraude frente a homônimos.
    4.12. Explica a Receita Federal que o Decreto nº 9.723, de 11 de março de
    2019, instituiu o CPF como instrumento suficiente e substitutivo para apresentação
    de dados do cidadão no exercício de obrigações e direitos e na obtenção de
    benefícios, passando portanto, o conjunto de dados que compõe o banco
    cadastral, a ser imprescindível na implementação de políticas públicas. Dessa forma,
    os dados vinculados à pessoa física passam a ser objeto de demanda pelos órgãos
    da Administração Pública em todas as esferas de governo, no intuito primordial de
    sanear seus respectivos bancos de dados e proporcionar políticas públicas
    assertivas, pautadas pela moralidade e eficiência.
    4.13. A RFB também pontua que, de acordo com o Decreto nº 10.977, de 23
    de fevereiro de 2022, em seu art. 3º, a Carteira de Identidade nacional passa a adotar
    o número de inscrição do Cadastro de Pessoas Físicas (CPF) como registro geral
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 3
    nacional e que a edição do Decreto está alinhada com a redação da Lei nº
    14.129/2021, que estabelece que “o número de inscrição no Cadastro de Pessoas
    Físicas (CPF) como número suficiente para identificação do cidadão (…)”. Alega ainda
    que o Decreto nº 10.222, de 05 de fevereiro de 2020, define a estratégia nacional de
    segurança cibernética e nela destaca a importância do Estado em garantir às
    empresas mecanismos para certificar a segurança de seus produtos/serviços e,
    assim, proteger seus usuários. Por fim, informa que os dados da Situação Cadastral
    no CPF previsto no item 1 do Anexo Único da Portaria RFB nº 167/2022, são os
    mesmos dados disponibilizados pela consulta pública disponível em Comprovante de
    Situação Cadastral no CPF.
    4.14. Relativamente aos dados de CNPJ, a RFB discorre sobre a
    obrigatoriedade da inscrição do empresário no Registro Público de Empresas
    Mercantis, de modo que as informações divulgadas no site da Receita Federal são
    públicas. Ainda, os dados constantes da base de dados do CNPJ são públicos, de
    acordo com a Lei nº 6.015/1973.
    4.15. No que concerne aos dados constantes na Certidão Negativa de Débitos,
    a Receita Federal aponta que o Código Tributário Nacional estabelece que a prova da
    quitação de determinado tributo, quando exigível, deve ser feita por certidão negativa
    que contenha todas as informações necessárias à identificação de sua pessoa,
    domicílio fiscal e ramo de negócio ou atividade e indique o período a que se refere o
    pedido. Nessa senda, a Portaria Conjunta RFB / PGFN Nº 1.751, de 02 de outubro de
    2014, definiu que a certidão negativa seria solicitada e emitida pela internet, e os
    dados da Certidão Negativa de Débitos prevista no item 3 do Anexo Único da Portaria
    RFB nº 167/2022 são os mesmos dados disponibilizados pela consulta pública
    disponível em Certidão de Débitos Relativos a Créditos Tributários Federais e à Dívida
    Ativa da União.
    4.16. Em resumo, a RFB reforça que não há novidade na norma editada, pois
    todo o seu mecanismo já constava da Portaria RFB nº 2.189/2017, com alterações de
    automatização de acesso e acréscimo de grupo de informações que diz respeito
    somente ao titular do dado, podendo ser acessada apenas pelo próprio ou mediante
    procuração. Ainda, alega que não aumentou ou permitiu acesso a dados que já não
    estivessem disponíveis, assim como também não autorizou nenhuma venda de
    dados e informações.
    4.17. Passou então, a responder os questionamentos encaminhados pela
    ANPD no Ofício nº 118/2022/CGF/ANPD/PR.
    4.18. Com relação ao compartilhamento de dados no âmbito da Portaria RFB
    nº 167/2022, contido na pergunta ‘a’, a Receita Federal esclarece que a
    disponibilização dos dados é feita mediante consulta automatizada (pelo titular ou por
    toda a sociedade), como alternativa às consultas manuais disponíveis no site ou nos
    sistemas informatizados da Receita Federal aos dados para os quais já tenha acesso
    autorizado. Tais dados poderão sofrer restrição de disponibilização em função das
    permissões de acesso nos sistemas informatizados ou da outorga de poderes
    constantes das procurações digitais.
    4.19. Consoante as informações apresentadas, a referida Portaria tem o
    objetivo de automatizar o que já é realizado de forma manual, sendo o terceiro
    interessado o responsável por ressarcir os custos junto ao Serpro. Para a RFB, a
    solução em questão aprimora o acesso aos dados, atendendo e aprimorando os
    princípios da LGPD.
    4.20. Sobre a pergunta ‘b’, relativa ao atendimento aos preceitos elencados no
    art. 6º da LGPD, a Receita Federal alega o que a Portaria nº 167/2022 é apenas a
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 4
    solução tecnológica que permite a disponibilização dos dados já acessados
    anteriormente de forma manual. Dessa forma, segundo a RFB, o normativo segue
    todas as autorizações já existentes para o tratamento de dados e são adotadas as
    medidas de segurança e prevenção adequadas, sendo que todos os princípios
    estabelecidos no art. supra continuam sendo observados no âmbito da Portaria.
    4.21. No tocante à informação de quais políticas públicas estão sendo
    executadas a partir do compartilhamento de dados pessoais com terceiros (pergunta
    ‘c’), a Receita Federal listou, em sua resposta, Leis, Decretos, Instruções Normativas
    e Portarias, relacionando-as com o item do anexo único da Portaria nº 167/2022,
    quais sejam: Cadastro de Pessoas Físicas (CPF), Cadastro Nacional de Pessoas
    Jurídicas (CNPJ) e Certidão Negativa de Débitos (CND).
    4.22. Quanto à pergunta ‘d’, que trata da informação acerca de quais órgãos
    ou entidades têm acesso aos dados da RFB com fundamento nas Portarias nº
    167/2022 ou nº 2.189/2017 e antecessoras, a Receita Federal informou que os
    órgãos e entidades se utilizam da Portaria RFB nº 34/2021 para acessar os dados.
    Comunica que encaminha em anexo planilha eletrônica com as informações de quem
    são os terceiros que estão tendo acesso aos dados e informações no âmbito da
    Portaria RFB nº 167/2022, especificamente do CPF, CNPJ e da Certidão Negativa. Por
    fim, ressalta que os dados acessados da Situação Cadastral do CPF, do CNPJ e da
    CND, pela solução automatizada da Portaria RFB nº 167/2022 são também
    disponíveis no site da Receita Federal ou em seus sistemas informatizados, onde não
    há registro de acesso.
    4.23. Quanto à pergunta ‘e’, em que se pede esclarecimento sobre como se
    dará a formalização deste compartilhamento entre o Serpro e o terceiro recebedor, a
    Receita Federal informa que para os dados públicos não há o que se falar em
    formalização, no sentido de consentimento, uma vez que que a LGPD permite a
    disponibilização de acesso aos dados e informações em seus arts. 26 §1º inciso III
    c/c art. 27 inciso I e III.
    4.24. Para os demais dados, a RFB informa que o o terceiro interessado
    celebrará contrato com o Serpro, o qual contém as regras para ressarcimento dos
    custos envolvidos.
    4.25. No que toca à pergunta ‘f’, em que a ANPD solicita a apresentação do
    processo de identificação de risco institucional ou risco ao sigilo da pessoa física a
    que se referem os dados e informações compartilhadas, previsto no art. 3º da
    Portaria RFB nº 167/2022, a Receita Federal alega que o processo de identificação de
    risco institucional ou risco ao sigilo da pessoa física ocorre no âmbito do sistema
    informatizado da RFB de relacionamento entre a instituição e seus prestadores de
    serviços de TI. Quando da formalização das propostas de disponibilização de acesso
    aos dados e informações, o gestor da área responsável pelo dado e informação
    avalia se: a informação está disponível no site da Receita Federal ou em sistema
    informatizado da Receita Federal; a informação é pública ou se é acessada com
    controle de acesso; e caso a informação acessada careça de controle de acesso,
    verifica se a proposta mantém os requisitos de controle de acesso existentes para
    acesso via sistema da Receita Federal. Após fazer as verificações pertinentes,
    assinala no sistema informatizado que não há risco institucional ou risco ao sigilo da
    pessoa física.
    4.26. Quanto à pergunta ‘g’, em que se solicita esclarecimentos sobre como a
    RFB verifica se o pedido de acesso aos dados pessoais está amparado no
    atendimento de política pública prevista em lei ou regulamento, a Receita Federal
    informa que o acesso se dá através do processo de avaliação do risco institucional
    ou risco ao sigilo da pessoa física, que tem o objetivo de avaliar se a informação é
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 5
    pública ou se é acessada com controle de acesso.
    4.27. Sobre a pergunta ‘h’, que trata da indicação de quais medidas de
    segurança, técnicas e administrativas serão adotadas no compartilhamento de dados
    pessoais, a RFB informa que serão aplicados os requisitos de controle de acesso,
    conforme preveem as diretrizes da Política de Segurança da Informação da Receita
    Federal (Portaria SRF, nº 450, de 28 de abril de 2004). Já os sistemas informatizados,
    construídos em conjunto com o Serpro ou com outro prestador de serviços, contam
    com os seguintes requisitos: (i) registro de informações (log) com prazos de
    retenção e formas de acesso definidas, com vistas a permitir a recuperação do
    sistema em caso de falha; (ii) registro de informações (trilha de auditoria) com prazos
    de retenção e formas de acesso definidas, com vistas a permitir auditoria,
    identificação de situações de violação e contabilização individual do uso dos sistemas;
    e (iii) as permissões de acesso são graduadas de acordo com as atribuições dos
    intervenientes do sistema.
    4.28. Por último, no que concerne ao item ‘i’, em que se solicita o
    encaminhamento de outras informações que possam contribuir para o
    esclarecimento do assunto, a Receita Federal retoma alguns esclarecimentos
    elaborados em tópicos anteriores.
    4.29. Além disso, alega que uma eventual discussão sobre LGPD não é sobre a
    Portaria RFB nº 167/2022, mas sim se a Receita Federal pode manter em seu site a
    consulta à situação cadastral do CPF, junto com os dados para evitar fraudes em
    homônimos, aos dados cadastrais do CNPJ, bem como da certidão negativa. Todavia,
    o órgão entende não ser apropriado, com base na LGPD, que a Receita Federal retire
    do seu site as informações da situação cadastral do CPF ou demais informações
    cadastrais e de certidão negativa.
    4.30. Relata, ainda, que um dos motivos do fornecimento das informações de
    forma automatizada vem justamente de demanda da sociedade em geral, que tem
    um grande volume de trabalho e precisa de soluções facilitadas para evoluir o
    trabalho manual.
    4.31. Embora a RFB tenha respondido a todas as perguntas formuladas pela
    ANPD, fez-se necessária a complementação ou esclarecimento das respostas para
    completa compreensão do tratamento de dados efetuado. Além disso, a CGF
    solicitou reunião conjunta com os representantes da Receita Federal, para dirimir
    eventuais dúvidas, conforme Ata de Reunião (SEI nº 3464119).
    4.32. Para tanto, a CGF encaminhou Ofício nº 149/2022/CGF/ANPD/PR (SEI nº
    3388163), solicitando que a RFB, especialmente em relação à nova solução de
    compartilhamento disposta na portaria, esclarecesse os seguintes pontos:
    a) de que forma o compartilhamento atenderá aos preceitos elencados
    no art. 6º, da LGPD, especialmente no que tange os princípios da
    segurança, transparência e prevenção; e
    b)quais são os mecanismos adotados para que os titulares de dados
    pessoais exerçam seus direitos, indicando onde constam as
    informações necessárias para o exercício de tais direitos, conforme
    disposto nos art. 9º e 18, da LGPD. Nesse ponto, a título
    exemplificativo, cita-se o direito à correção de dados incompletos,
    inexatos ou desatualizados e o direito de acesso.
    4.33. Como resposta, a RFB anexou ao processo a Nota Cocad nº
    47/2022 (SEI nº 3459515); o Relatório RIPD CNPJ (SEI nº 3459516); o Relatório
    RIPD Certidão Negativa (SEI nº 3459517); o Relatório RIPD CPF (SEI nº 3477352); e a
    Nota Conjunta Cotec/Cocad/Ouvidoria nº 38, de 27 de junho de 2022 (SEI nº
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 6
    3464119).
    4.34. A RFB alega, na Nota Conjunta nº 38/2022, que a adoção da tecnologia
    não pode ser vista como significativa a ponto de gerar riscos não existentes
    anteriormente aos direitos e garantias dos titulares e que a LGPD não cita a
    relevância da tecnologia para avaliar a proteção de dados.
    4.35. Em seguida, discorre sobre como atenderá aos princípios da
    transparência, segurança e prevenção, dispostos no art. 6º, da LGPD, bem como
    sobre os mecanismos para que os titulares de dados pessoais exerçam seus
    direitos.
    4.36. Para a Receita Federal, a Portaria nº 167/2022 não é citada como
    resposta nos pedidos de esclarecimento, já que: “quem faz o tratamento de dados
    pessoais, em sentido amplo, são outros normativos”. Ainda, alega que o escopo da
    referida portaria é dar acesso acesso às informações pessoais públicas ou privadas e
    que, considerando esse escopo, é desproporcional pretender avaliar o ciclo de vida
    das informações do CPF, por exemplo, por meio do normativo objeto da fiscalização.
    4.37. Por fim, a RFB aponta que o que se espera é a verificação, por parte da
    ANPD, se o acesso à informação está ocorrendo somente àqueles que deveriam ter
    acesso e que o órgão, muito antes da LGPD, segue rigorosas disposições legais no
    que se refere ao compartilhamento de dados, especialmente com relação ao Sigilo
    Fiscal, previsto no Código Tributário Nacional.
    4.38. Assim, passa-se a seguir, à análise das informações apresentadas.
  5. ANÁLISE
    5.1. A Receita Federal do Brasil, mediante Nota Conjunta
    Cotec/Cocad/Ouvidoria nº 24, de 2 de maio de 2022 (SEI nº 3340772) e Nota
    Conjunta Cotec/Cocad/Ouvidoria nº 38, de 27 de junho de 2022 (SEI nº 3464119)
    esclareceu os questionamentos levantados pela Autoridade Nacional de Proteção de
    Dados nos Ofícios nº 118/2022/CGF/ANPD/PR (SEI nº 3319506) e
    nº 149/2022/CGF/ANPD/PR (SEI nº 3388163).
    5.2. Após a análise das respostas enviadas pela RFB, bem como os
    esclarecimentos prestados em reunião, ficou claro que o objeto da Portaria nº
    167/2022 é instrumentalizar o acesso já existente a dados pré-determinados, tais
    como informações acerca de CPF, CNPJ e certidão negativa de débitos.
    5.3. Com relação ao posicionamento da Receita Federal acerca do fato de que
    a simples adição da tecnologia ao acesso aos dados públicos que trata a Portaria nº
    167/2022 não traria novos riscos aos direitos e garantias aos titulares (item 4.34),
    esta Coordenação-Geral de Fiscalização acata as justificativas trazidas no bojo do
    processo, considerando que o órgão já tenha elaborado e mapeado os riscos
    inerentes ao tratamento, especialmente quando da confecção dos Relatórios de
    Impacto à Proteção de Dados Pessoais.
    5.4. No que toca à afirmação, por parte da RFB, de que a discussão não gira
    em torno da Portaria nº 167/2022, mas sim acerca das informações disponibilizadas
    no site ou sistemas da Receita Federal e que “não caberia questionamento no que diz
    respeito ao rol de informações que são entregues ao próprio titular do dado ou para
    aqueles que têm direito de conhecer o dado ou para aqueles que acessam mediante
    procuração e sim a análise acerca dos dados cadastrais, do CPF e CNPJ, e de
    certidão negativa disponibilizados de forma pública no site da Receita Federal para
    consulta por toda a sociedade” (SEI nº 3340772, p.2), destacamos, nesse ponto, que
    há uma leitura equivocada da legislação.
    5.5. Isso porque a LGPD incide mesmo quando o titular entrega seus dados
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 7
    voluntariamente, seja mediante consentimento ou outra hipótese legal, como a
    execução de contrato, por exemplo. Quando a hipótese de tratamento é o
    consentimento do titular, a própria lei, em seu art. 8º, determina como o controlador
    deverá agir caso a base legal escolhida para o tratamento dos dados seja o
    consentimento. Além disso, independente da hipótese de tratamento adotada, o
    controlador deverá obedecer aos fundamentos e princípios prescritos na legislação,
    notadamente os dispostos no art. 2º e 6º da Lei Geral de Proteção de Dados. Assim,
    caso entenda necessário, a ANPD pode fiscalizar quaisquer fluxos de tratamento de
    dados pessoais, incluindo a hipótese de tratamento de dados pessoais baseada no
    consentimento do titular.
    5.6. Com relação ao tratamento de dados relativo ao serviço de consulta ao
    comprovante de situação cadastral no CPF, a partir das respostas encaminhadas
    pela Receita Federal e considerando o conteúdo do Relatório de Impacto à Proteção
    de Dados Pessoais juntado ao processo, é possível visualizar como é
    disponibilizado o acesso aos dados públicos de CPF pela RFB, quais sejam: o nº de
    inscrição no CPF, o Nome social, se houver, o Nome, a Data de nascimento,
    a Situação Cadastral, a Data de inscrição e o Ano de óbito, se houver. Frise-se que
    para que a consulta seja efetivada, é necessário informar como chave de pesquisa o
    número de inscrição no CPF e a data de nascimento correspondente.
    5.7. Além disso, a RFB comprovou a necessidade de compartilhamento de
    tais dados, especialmente no tocante à execução de políticas públicas de
    identificação, expressamente previstos em normativos legais tais como o Decreto nº
    6.289, de 06 de dezembro de 2007, o Decreto nº 9.723/2019, de 11 de março de
    2019, o Decreto nº 10.900 de 17 de dezembro de 2021 e o Decreto nº 10.977 em
    23 de fevereiro de 2022, que preveem, em síntese, a necessidade do CPF como
    documento básico do cidadão, além de compor o cadastro de Identificação Civil
    Nacional (ICN), como número público de identificação e como parte do programa de
    desburocratização do serviço público.
    5.8. Assim, tratando-se de compartilhamento de dados amparado por política
    pública e normativos legais e considerando não haver compartilhamento irrestrito de
    tais dados, uma vez que os dados disponibilizados são públicos e concedidos apenas
    aos interessados que já possuem chave de pesquisa prévia, entende-se que o
    tratamento de dados pessoais relativos ao CPF e no que tange à Portaria nº
    167/2022 é lícito e adequado aos ditames da LGPD.
    5.9. Com relação ao tratamento de dados relativo ao serviço de cadastro
    nacional de pessoa jurídica – CNPJ, importa destacar que, embora dados de pessoas
    jurídicas não sejam abrangidos pela LGPD, há, na divulgação de tais dados por parte
    da Receita Federal, publicização de dados dos sócios e integrantes da entidades,
    esses sim podendo ser submetidos à regulação pela LGPD, conforme disposto no
    art. 5º , I, dessa lei.
    5.10. De acordo com RIPD elaborado pelo órgão, os dados de sócios
    disponibilizados conforme Portaria RFB nº 167/2022 são os seguintes:
    Sócio:
    Identificador de sócio
    Nome do sócio (no caso de PF) ou razão social (no caso de PJ)
    CNPJ/CPF do sócio
    Código de qualificação do sócio
    Data de entrada na sociedade
    Código do país do sócio estrangeiro
    Nome do país do sócio estrangeiro
    CPF do representante legal
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 8
    Nome do representante
    Código de qualificação do representante legal
    5.11. Embora sejam divulgados nome e CPF dos sócios, tal informação, por
    imposição normativa, é considerada dado público. Conforme já abordado no item
    4.14 e ainda, por força da Lei nº 8.934, de 18 de novembro de 1994, uma das
    finalidades do Registro Público de empresas mercantis é justamente dar garantia,
    publicidade, autenticidade, segurança e eficácia aos atos jurídicos das empresas
    mercantis. Como já esclarecido pela Receita Federal quando da elaboração de seu
    RIPD, a divulgação de dados de pessoa jurídica é feita de forma restrita, sendo
    publicados apenas os dados não protegidos por sigilo fiscal.
    5.12. Nessa senda, não se vislumbrou, inicialmente, irregularidades no
    tratamento de dados pessoais no âmbito do acesso a dados de CNPJ, viabilizado pela
    Portaria nº 167/2022, da RFB.
    5.13. Com relação ao tratamento de dados relativo ao serviço certidão negativa
    de débitos – CND, os dados divulgados não têm correlação com a LGPD, uma vez
    que tratam de dados estritamente empresariais. De acordo com Relatório de Impacto
    à Proteção de Dados Pessoais elaborado pela RFB (SEI nº 3459517), o retorno da
    informação disponibilizada com base em chave de pesquisa é o seguinte:
    Certidão Negativa (CND) dentro do prazo de validade e com maior data final de
    validade
    Certidão Positiva com Efeitos de Negativa (CPEND) dentro do prazo de validade e
    com maior data final de validade
    Inexistência de CND ou CPEND emitida dentro do prazo de validade
    Data final de validade da CND ou CPEND recuperada
    Número de controle da certidão recuperada
    5.14. Dessa forma, não há tratamento de dados pessoais conforme definição
    do art. 5º , I, da LGPD, no caso da disponibilização de dados da certidão negativa de
    débitos pela Receita Federal, motivo pelo qual não incide a competência fiscalizatória
    da ANPD.
    5.15. Relativamente à afirmação, por parte da Receita Federal, sobre o que se
    espera da fiscalização, é imprescindível que seja elucidada a competência fiscalizatória
    da ANPD, bem como suas atividades. De acordo com o disposto no art. 55-J,
    compete à ANPD:
    I – zelar pela proteção dos dados pessoais, nos termos da legislação;
    (…)
    IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em
    descumprimento à legislação, mediante processo administrativo que assegure o
    contraditório, a ampla defesa e o direito de recurso;
    (…)
    XI – solicitar, a qualquer momento, às entidades do poder público que realizem
    operações de tratamento de dados pessoais informe específico sobre o âmbito, a
    natureza dos dados e os demais detalhes do tratamento realizado, com a
    possibilidade de emitir parecer técnico complementar para garantir o
    cumprimento desta Lei;
    (…)
    XVI – realizar auditorias, ou determinar sua realização, no âmbito da atividade de
    fiscalização de que trata o inciso IV e com a devida observância do disposto no
    inciso II do caput deste artigo, sobre o tratamento de dados pessoais efetuado
    pelos agentes de tratamento, incluído o poder público;
    (…)
    5.16. Ainda, de acordo com o Regulamento de Fiscalização:
    Art. 21. O Mapa de Temas Prioritários será bianual e estabelecerá os temas
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 9
    prioritários que serão considerados pela ANPD para fins de estudo e
    planejamento da atividade de fiscalização no período.
    (…)
    Art. 40. A Coordenação-Geral de Fiscalização poderá, de ofício ou diante de
    requerimento, mediante procedimento preparatório, efetuar averiguações
    preliminares, quando os indícios da prática de infração não forem suficientes para
    a instauração imediata de processo administrativo sancionador.
    5.17. A ANPD delibera pelas matérias objeto de sua fiscalização conforme
    definido no plano de fiscalização e mapa de temas prioritários e ainda, nas demandas
    que considera, por sua conveniência e oportunidade, como prioritárias, como o foi o
    caso da Portaria RFB nº 167/2022. Assim, o seu escopo de atuação é definido pela
    própria Coordenação-Geral de Fiscalização e não pela expectativa do fiscalizado.
    5.18. No tocante à declaração, pela RFB, que o órgão, anteriormente à edição
    da LGPD, já seguia rigorosas disposições legais no que se refere ao
    compartilhamento de dados, especialmente com relação ao Sigilo Fiscal, cumpre
    reafirmar que o objeto da LGPD não inclui somente dados abrangidos pelo sigilo fiscal
    imposto no Código Tributário Nacional (CTN). Em verdade, vai muito mais além,
    quando preceitua, em seu art. 1º que: “esta Lei dispõe sobre o tratamento de dados
    pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de
    direito público ou privado, com o objetivo de proteger os direitos fundamentais de
    liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa
    natural” e em seu art. 5º, I, quando define que o dado pessoal: “é a informação
    relacionada a pessoa natural identificada ou identificável”.
    5.19. Importante esclarecer, igualmente, a diferença entre privacidade e
    proteção de dados. Tais termos operam, inicialmente, em uma lógica diversa, uma
    vez que a privacidade é um direito negativo do cidadão, ou seja, é o direito que o
    cidadão possui de manter sua vida privada em sigilo. Já a proteção de dados é um
    direito positivo, que importa na circulação de tais dados de maneira apropriada,
    garantindo que o titular dos dados saiba quais dados serão utilizados, com qual
    finalidade e por quanto tempo. Nessa senda, conforme disposto na legislação,
    a LGPD carrega em sua espinha dorsal a proteção de dados pessoais.
    5.20. De acordo com tal raciocínio, o sigilo fiscal está inserido no campo da
    privacidade, enquanto que os tratamentos de dados pessoais exercidos pela Receita
    Federal, nessa análise focados especialmente na Portaria 167/2022, estão abarcados
    no campo da proteção de dados pessoais. Dessarte, embora a RFB afirme que já
    exercia os ditames legais dispostos no CTN, o objeto da LGPD e da atuação por parte
    da ANPD é mais abrangente e singular, não se confundindo com os mandamentos
    relativos ao sigilo fiscal.
  6. CONCLUSÕES
    6.1. Ante o exposto até o momento, acerca do tratamento de dados pessoais
    no âmbito da Portaria 167/2022 pela Receita Federal do Brasil, considerando as
    competências que a Lei nº 13.709, de 14 de agosto de 2018, concedeu à Autoridade
    Nacional de Proteção de Dados (ANPD), em especial aquelas previstas no art. 31, nos
    incisos I, VI, XI e XX, todos do Art. 55-J, bem como as atribuições que foram
    concedidas à Coordenação-Geral de Fiscalização desta ANPD, por meio do Art. 17,
    caput e incisos I, III e VIII do Anexo da Portaria ANPD nº 1, de 8 de março de 2021,
    que estabeleceu o Regimento Interno da ANPD, conclui-se que:
    6.2. Consoante com o informado pela Receita Federal (itens 4.6 a 4.8 e 4.16),
    a Portaria 167/2022 somente viabiliza, de forma mais tecnológica que as
    soluções adotadas anteriormente, o acesso a determinados dados pessoais como
    dados de CPF, CNPJ e Certidão Negativa de Débitos, além de outros dados que não
    Nota Técnica 68 (3481730) SEI 00261.000821/2022-99 / pg. 10
    se enquadram na definição de dados pessoais, tais como dados de manifesto
    marítimo, dados de declaração de importação, entre outros.
    6.3. Os dados considerados pessoais já eram, em sua maioria, dados
    públicos por força de normativos e de políticas públicas, conforme itens 4.10 a 4.15.
    De acordo com as informações trazidas pela Receita Federal, aqueles dados que não
    possuem a natureza de dado público continuam carecendo de autorização prévia de
    acesso, pelo titular, ao terceiro, mediante procuração.
    6.4. Uma vez que os dados compartilhados foram mapeados pela RFB
    através dos Relatórios de Impacto apresentados, além de estarem inseridos em
    políticas públicas e possuírem finalidade definida, conforme determina a LGPD, não se
    vislumbrou incompatibilidade do tratamento pretendido pela Portaria 167/2022 com
    os ditames da legislação de proteção de dados pessoais.
  7. ENCAMINHAMENTO
    7.1. Sugere-se o encaminhamento desta Nota Técnica à Encarregada pelo
    Tratamento de Dados Pessoais da Receita Federal, para ciência de seu conteúdo.
    Documento assinado eletronicamente por Fabricio Guimarães Madruga
    Lopes, Coordenador(a)-Geral, em 29/07/2022, às 18:52, conforme horário
    oficial de Brasília, com fundamento no § 3º do art. 4º, do Decreto nº 10.543,
    de 13 de novembro de 2020.
    Documento assinado eletronicamente por Camila Falchetto Romero, ANPD

Membro
Cadastramento

Por favor, preencha todos os campos abaixo para prosseguir com o seu cadastro. Ao concluir, você será direcionado à página de pagamento. Seu cadastro é o primeiro passo para acessar nossos serviços exclusivos. Agradecemos a preferência!”

Preencha os dados do cartão de crédito abaixo.