Boas Práticas

De forma proporcional aos riscos existentes e à magnitude dos danos potenciais, considerados o ambiente, o valor e a criticidade da informação, inclusive de dados pessoais, o ambiente informatizado da Receita Federal possui os seguintes controles:

1. Recursos de autenticação que garantam a identificação individual e inequívoca do usuário, quando do acesso aos ativos de informação;
2. Recursos de criptografia;
3. Mecanismos de proteção da rede da Receita Federal, inclusive em suas interfaces com outras redes e com a Internet;
4. Monitoração, em tempo real, com vistas a prover mecanismos de prevenção, detecção, identificação e combate à invasão (intrusão);
5. Mecanismos de prevenção, detecção e eliminação de vírus de computador e outros programas maliciosos;
6. Sistemática de geração de cópias de segurança (backup) e de recuperação de informações (restore) devidamente documentada, abrangendo periodicidade de cópias, forma e local de armazenamento, autorização de uso, prazo de retenção e plano de simulação e testes;
7. Medidas para verificação dos dados quanto a sua precisão e consistência;
8. Registro de informações (log) com prazos de retenção e formas de acesso definidas, com vistas a permitir a recuperação do sistema em caso de falha, bem como com vistas a permitir auditoria, identificação de situações de violação e contabilização individual do uso dos sistemas; e
9. Controle de acesso físico às instalações e equipamentos.

No atendimento direto ao cidadão, a Receita Federal tem o procedimento de não manter documentos físicos. Quando apresentados em atendimento presencial, os dados são inseridos diretamente no sistema pertinente e o documento original é devolvido ao titular dos dados.

Para proteção da identidade e dos elementos de identificação dos manifestantes no Fala.BR, a Receita Federal observa as disposições da Lei nº 13.460, de 26 de junho de 2017. Nome e dados cadastrais dos manifestantes são compartilhados nos seguintes casos:

• Manifestações (à exceção de denúncias) com as áreas internas de gestão ou com órgãos competentes, quando necessário ao tratamento da manifestação; e
• Com as áreas de apuração, em se tratando de denúncias, quando necessário à elucidação dos fatos relatados na denúncia e mediante solicitação destas.

A pseudonimização de dados pessoais é adotada pela Receita Federal no caso de denúncias, de modo que se impeça a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

A identificação do denunciado, quando existente, é compartilhada com unidades correcionais dos órgãos, nos casos em que não é feita a apuração direta pela Receita Federal, tendo em vista a necessidade de identificação do autor e da suposta irregularidade para a apuração dos fatos, nos termos do art. 51, inciso II, da Lei nº 13.844/2019, arts. 13, incisos VII e VIII, e 14, inciso IV do Decreto nº 9.681/2019 e art. 4º, inciso XI, do Decreto nº 5.480/2005.

Ainda sobre as práticas da Receita Federal, vale lembrar que o cuidado com os dados pessoais já vinha sendo observado em decorrência de legislações anteriores, como:

1. Código Tributário Nacional (CTN) (caput do art. 198 da Lei nº 5.172, de 25 de outubro de 1966): estão albergadas por sigilo fiscal as informações obtidas em razão do ofício sobre a situação econômica ou financeira do sujeito passivo ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades;
2. Lei nº 8.112, de 11 de dezembro de 1990 (art. 116): dispõe sobre o sigilo funcional; ou
3. Lei de Acesso à Informação, nº 12.527/2011, e de seu Decreto regulamentador, nº 7.724/2012: esses normativos já se preocupavam com a guarda de informações pessoais dos agentes públicos ou privados, dando-os restrição de acesso.

Além disso, a Receita Federal desenvolveu um trabalho de capacitação e orientação aos seus servidores para resguardar os dados pessoais dos titulares.