FiscoScan
RFBPortaria RFBvigente

Portaria RFB nº 670, de 1º de abril de 2026

Dispõe sobre o Protocolo de Auditabilidade da Administração Tributária e Aduaneira, utilizado inclusive para viabilizar o compartilhamento de dados e informações protegidos pelo sigilo fiscal.

Publicação: 02/04/2026Nº: 670/2026
Análise

Impacto — resumo

Esta Portaria RFB institui um protocolo formal para compartilhamento de dados fiscais sigilosos com a CGU e o TCU, estabelecendo regras de acesso controlado, ambiente seguro e exigência de declaração de responsabilidade. Trata-se de norma de organização interna da RFB que não cria novas obrigações para contribuintes, mas reforça controles sobre o sigilo fiscal no compartilhamento com órgãos de controle externo.

Impacto — detalhado

A Portaria RFB nº 457/2025 estabelece o Protocolo de Auditabilidade da Administração Tributária e Aduaneira, regulamentando o compartilhamento de dados e informações protegidos por sigilo fiscal com a Controladoria-Geral da União (CGU) e o Tribunal de Contas da União (TCU), nos termos do art. 198 do CTN e do Decreto nº 10.209/2020. A norma define três modalidades de disponibilização de dados: (I) extração direta por servidores da RFB ou pelos próprios auditores; (II) apuração especial via prestadores de TI quando não houver funcionalidade de extração direta; e (III) acesso a sistemas informatizados no Ambiente Seguro e Controlado. Estabelece requisitos rigorosos para solicitação: indicação dos servidores, sistemas/dados solicitados, processo administrativo instaurado com escopo definido e manifestação fundamentada demonstrando pertinência temática e indispensabilidade do acesso, inclusive justificando que o trabalho não pode ser realizado com dados anonimizados. Veda expressamente solicitações genéricas, desproporcionais, imotivadas ou desvinculadas da auditoria, bem como acesso a investigações de inteligência fiscal em curso, operações sob segredo de justiça, fases preparatórias de ações fiscais (até a constituição do crédito tributário) e ilícitos aduaneiros em fase preparatória ou executória. O Ambiente Seguro e Controlado fica localizado exclusivamente em Brasília/DF, nas dependências da Audit, com controles físicos e lógicos detalhados (registro de acesso, certificação digital e-CPF, habilitação individualizada, bloqueio de portas/dispositivos, exclusão de dados ao término). A retirada de informações exige registro, criptografia e recibo formal. A norma autoriza emissão de certificado digital e-CPF vinculado à AR RFB Funcionários e concessão de perfil de sistema para auditores externos, ambos de uso exclusivo no Ambiente Seguro e Controlado. Revoga as Portarias RFB nº 4/2021 e nº 385/2023, consolidando a matéria. Audit e Cotec ficam autorizadas a editar normas complementares.

Quem é afetado

Auditores da Controladoria-Geral da União (CGU) e do Tribunal de Contas da União (TCU) que necessitem acessar dados fiscais sigilosos da RFB para trabalhos de auditoria. Servidores da RFB envolvidos na operacionalização do compartilhamento (Audit e Cotec). Contribuintes são afetados indiretamente, pois a norma reforça as salvaguardas de proteção ao sigilo fiscal de seus dados quando compartilhados com órgãos de controle.

O que fazer

Nenhuma ação necessária para contribuintes — norma de organização interna da administração tributária. Para auditores da CGU e TCU: observar os novos requisitos formais de solicitação (art. 3º), assinar a Declaração de Compartilhamento (Anexo Único) antes do acesso a dados sigilosos, utilizar o Ambiente Seguro e Controlado exclusivamente em Brasília/DF, e seguir os procedimentos de retirada de informações (art. 8º).

Taxonomia

UFs afetadas

Nacional
Relações

Decorre de

Decreto 10209/2020análise

Histórico e alterações

Revoga

Portaria RFB 4/2021análisePortaria RFB 385/2023análise

Implementado por

Nenhum desdobramento identificado

Texto Integral
O SECRETÁRIO ESPECIAL DA SECRETARIA ESPECIAL DA RECEITA FEDERAL DO BRASIL, no uso da atribuição que lhe confere o art. 350, caput, inciso III, do Regimento Interno da Secretaria Especial da Receita Federal do Brasil, aprovado pela Portaria ME nº 284, de 27 de julho de 2020 , e tendo em vista o disposto no art. 198 da Lei nº 5.172, de 25 de outubro de 1996 - Código Tributário Nacional - CTN , no art. 26 da Lei nº 10.180, de 6 de fevereiro de 2001 , na Lei nº 13.709, de 14 de agosto de 2018 , no art. 49, § 5º da Lei nº 14.600, de 19 de junho de 2023 , e no Decreto nº 10.209, de 22 de janeiro de 2020 , resolve: CAPÍTULO I DISPOSIÇÕES PRELIMINARES Art. 1º Esta Portaria dispõe sobre o Protocolo de Auditabilidade da Administração Tributária e Aduaneira, destinado a viabilizar o compartilhamento de dados e informações no interesse da administração pública, inclusive aqueles protegidos por sigilo fiscal, necessários para a realização dos trabalhos ou das atividades de auditoria da Controladoria-Geral da União e do Tribunal de Contas da União, observado o disposto no art. 198 da Lei nº 5.172, de 25 de outubro de 1996 - Código Tributário Nacional - CTN , e no Decreto nº 10.209, de 22 de janeiro de 2020 . Parágrafo único. O protocolo a que se refere o caput visa a: I - proteger os dados e as informações sobre a intimidade e a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades; II - estabelecer acesso controlado e restrito aos dados e informações referidos no inciso I disponibilizados por meio de um conjunto de regras, ferramentas e processos que garantam grau de segurança relativa à sua utilização e confidencialidade compatível com a finalidade de assegurar o sigilo fiscal; e III - viabilizar, à equipe de auditoria, o acesso a dados, informações, bases de dados e sistemas sob guarda da Secretaria Especial da Receita Federal do Brasil indispensáveis à realização de procedimentos de auditoria ou de inspeção de dados, de processos ou controles operacionais da administração tributária e aduaneira, de gestão fiscal ou de análise de demonstrações financeiras da União. Art. 2º Para fins do disposto nesta Portaria, consideram-se: I - dados: fatos ou mensurações acerca de um universo de análise ou observação; II - informações: resultados do processamento, da manipulação e da interpretação de dados organizados, ou obtidos a partir de documentos, de modo a disponibilizar seu significado aos destinatários interessados; III - controles físicos de segurança: barreiras que limitam o contato ou acesso direto a dados e informações ou à infraestrutura que os suporta; IV - controles lógicos de segurança: barreiras que impedem ou limitam o acesso a dados e informações armazenados em ambiente controlado, geralmente eletrônico; V - informação sigilosa: aquela submetida temporariamente à restrição de acesso público em razão de sua imprescindibilidade para a segurança da sociedade e do Estado, nos termos do disposto no art. 23 da Lei nº 12.527, de 18 de novembro de 2011 , ou de legislação específica, além de outras hipóteses legais de sigilo; VI - informação protegida por sigilo fiscal: informação sobre a situação econômica ou financeira do contribuinte ou de terceiros e sobre a natureza e o estado de seus negócios ou atividades; VII - Ambiente Seguro e Controlado: conjunto de equipamentos computacionais com controles físicos e lógicos necessários e suficientes à proteção dos dados e informações da Secretaria Especial da Receita Federal do Brasil, inclusive sigilosos ou protegidos por sigilo fiscal; VIII - equipe de auditoria: auditores da Controladoria-Geral da União ou do Tribunal de Contas da União responsáveis pela manipulação dos dados e informações sob gestão da Secretaria Especial da Receita Federal do Brasil; IX - extração direta de dados e informações: ação de recuperação de dados e informações por intermédio de funcionalidades gerenciais ou sistemas geradores de relatórios já existentes, sem necessidade de desenvolvimento de funcionalidades específicas ou envolvimento dos prestadores de serviços de Tecnologia da Informação; e X - apuração especial: ação de extração de dados e informações mediante desenvolvimento de funcionalidades específicas para consulta e manipulação de dados, que não estão disponíveis para extração direta por integrantes do quadro funcional da Secretaria Especial da Receita Federal do Brasil. CAPÍTULO II DA SOLICITAÇÃO E DO COMPARTILHAMENTO DE DADOS E INFORMAÇÕES Art. 3º A solicitação de dados e informações para início do Protocolo de Auditabilidade da Administração Tributária e Aduaneira, dirigida à Secretaria Especial da Receita Federal do Brasil, deverá ser formalizada por autoridade administrativa dos órgãos mencionados no art. 1º, com indicação das seguintes informações: I - nome e qualificação dos servidores competentes para proceder à solicitação dos dados e informações, inclusive protegidos pelo sigilo fiscal; II - a indicação dos sistemas eletrônicos, dados, bases de dados ou informações objeto da solicitação de acesso; III - a informação do processo administrativo regularmente instaurado que contenha clara definição do objetivo e do escopo da auditoria; e IV - manifestação fundamentada que demonstre a pertinência temática entre a relação a que se refere o inciso II e o objeto da auditoria ou inspeção, com fundamentação que justifique a necessidade e a indispensabilidade do acesso solicitado, inclusive com indicação expressa de que o trabalho não pode ser realizado ou que o seu resultado não pode ser alcançado por outro modo, mesmo com a anonimização. Parágrafo único. A relação a que se refere o inciso II do caput pode ser complementada a qualquer tempo durante a auditoria, em função da necessidade de aprofundamentos ou refinamentos das análises a serem realizadas pela equipe de auditoria, observado o disposto no inciso IV do caput. Art. 4º A disponibilização de dados e informações será realizada mediante: I - extração direta dos dados e informações dos sistemas informatizados da Secretaria Especial da Receita Federal do Brasil pelos auditores da Controladoria-Geral da União ou do Tribunal de Contas da União ou extração realizada pelos próprios servidores da Secretaria Especial da Receita Federal do Brasil; II - execução de apuração especial pelos prestadores de serviços de tecnologia da informação, na hipótese de ausência de funcionalidade de extração direta; ou III - acesso aos sistemas informatizados gerenciadores das bases de dados no Ambiente Seguro e Controlado da Secretaria Especial da Receita Federal do Brasil. § 1º Para fins do disposto no caput, são vedadas: I - as solicitações de acesso a dados genéricos, desproporcionais, imotivados ou desvinculados dos procedimentos de auditoria ou de inspeção, inclusive os relativos a: a) procedimentos, investigações, diligências ou operações em curso na atividade de inteligência da Secretaria Especial da Receita Federal do Brasil; b) operações realizadas pela área de inteligência protegidas por segredo de justiça; c) fases preparatórias de ações fiscais e procedimentos fiscais em curso, até a data de constituição do crédito tributário, salvo aqueles que não impactem a ação fiscal, tais como as demandas de direitos creditórios efetuadas pelo contribuinte; e d) fases preparatória e executória de procedimentos e ações referentes a ilícitos aduaneiros; e II - as solicitações de acesso que exijam trabalhos de consolidação de dados ou de informações cujos esforços operacionais, prazos de extração e consolidação ou custos orçamentários ou financeiros sejam desarrazoados. § 2º A disponibilização de dados e informações protegidos por sigilo fiscal à equipe de auditoria, em quaisquer das hipóteses previstas no caput, fica condicionada ao prévio preenchimento e assinatura, pelos integrantes da equipe de auditoria, de Declaração para Compartilhamento de Dados e Informações Protegidos por Sigilo Fiscal, com expressa manifestação de atendimento aos requisitos legais e regulamentares, conforme modelo constante do Anexo Único. § 3º Fica a Coordenação-Geral de Auditoria Interna e Gestão de Riscos - Audit, da Secretaria Especial da Receita Federal do Brasil, responsável pelo recebimento e pela guarda da declaração a que se refere o § 2º. CAPÍTULO III DO AMBIENTE SEGURO E CONTROLADO Art. 5º O Ambiente Seguro e Controlado será utilizado quando houver necessidade de acesso a sistemas informatizados da Instituição ou de manipulação de dados e informações protegidos por sigilo fiscal pela equipe de auditoria. Parágrafo único. O Ambiente Seguro e Controlado está localizado exclusivamente em Brasília, Distrito Federal, nas dependências da Audit. Art. 6º São finalidades do Ambiente Seguro e Controlado: I - possibilitar o acesso, pela equipe de auditoria, a informações, dados, bases ou sistemas informatizados gerenciadores das bases de dados da Secretaria Especial da Receita Federal do Brasil; II - permitir a utilização de programas de computador para análise e manipulação de dados e informações, em concordância com as normas internas da Secretaria Especial da Receita Federal do Brasil estabelecidas para sua instalação e uso nas estações de trabalho; e III - possibilitar a utilização, pela equipe de auditoria, de bases de dados externas à Secretaria Especial da Receita Federal do Brasil, a fim de realizar o cruzamento de dados. Art. 7º Serão implementados no Ambiente Seguro e Controlado os seguintes controles físicos e lógicos de segurança: I - acesso físico, pela equipe de auditoria, mediante registro formal e individualizado dos horários de utilização; II - identificação lógica, única e intransferível de cada usuário integrante da equipe de auditoria, por meio de certificação digital emitida pela Secretaria Especial da Receita Federal do Brasil; III - habilitação individualizada dos integrantes da equipe de auditoria, limitada aos perfis estritamente necessários ao acesso às informações solicitadas; IV - registro eletrônico de acesso lógico a equipamentos, dados, bases de dados, informações e sistemas para fins de auditoria; V - manutenção de computadores e demais equipamentos com travas ou em gabinetes que impeçam o acesso direto a seus componentes internos; VI - bloqueio de portas, de canais de comunicação e de dispositivos que permitam a leitura, gravação e comunicação de dados e informações pela equipe de auditoria, em desacordo com as regras estabelecidas nesta Portaria ou em normas complementares editadas conforme disposto no art. 13; e VII - exclusão, após o término da utilização do Ambiente Seguro e Controlado, dos dados e informações gravados pela equipe de auditoria. Art. 8º São requisitos para a retirada de informações do Ambiente Seguro e Controlado: I - registro, pela equipe de auditoria, de solicitação de retirada de arquivos de dados e informações, que deverá conter a descrição do conteúdo gerado; II - armazenamento do conteúdo gerado, pela Secretaria Especial da Receita Federal do Brasil, para fins de análise e auditoria; III - criptografia dos arquivos digitais a serem entregues; e IV - entrega dos dados e informações mediante recibo que formalize a transferência, facultado o uso de tecnologia de transmissão de dados, observadas as políticas de segurança da informação e de comunicação do gestor de dados. CAPÍTULO IV DA CONCESSÃO DE CERTIFICADO DIGITAL E DE PERFIL DE SISTEMA Art. 9º Fica autorizada a disponibilização de mídia criptográfica e a concessão de certificado digital e-CPF vinculado à Autoridade de Registro RFB Funcionários para os integrantes da equipe de auditoria. § 1º A utilização do certificado digital a que se refere o caput destina-se ao uso exclusivo no Ambiente Seguro e Controlado, sendo vedada sua utilização em outro ambiente. § 2º A solicitação e emissão dos certificados para os integrantes da equipe de auditoria se dará em conformidade com as normas editadas pela Coordenação-Geral de Tecnologia e Segurança da Informação - Cotec. Art. 10. Fica autorizada a concessão de perfil de sistema aos integrantes da equipe de auditoria, independentemente de previsão em portaria de acesso a sistemas. Parágrafo único. A utilização dos perfis de sistema a que se refere o caput destina-se exclusivamente ao acesso a sistemas no Ambiente Seguro e Controlado, sendo vedada sua utilização em outro ambiente. Art. 11. As solicitações de cadastramento, exclusão, habilitação, desabilitação, bloqueio e desbloqueio dos usuários da equipe de auditoria se darão em conformidade com as normas editadas pela Cotec. CAPÍTULO V DISPOSIÇÕES FINAIS Art. 12. Fica a Audit responsável por promover reunião com a equipe de auditoria dos órgãos mencionados no art. 1º previamente à utilização do Ambiente Seguro e Controlado, de forma a esclarecer as regras e os procedimentos a serem observados durante o acesso àquele ambiente. Art. 13. Ficam a Audit e a Cotec autorizadas, no âmbito de suas competências, a editar normas complementares necessárias à operacionalização do Protocolo de Auditabilidade da Administração Tributária e Aduaneira de que trata esta Portaria. Art. 14. Ficam revogadas: I - a Portaria RFB nº 4, de 22 de janeiro de 2021; e II - a Portaria RFB nº 385, de 11 de dezembro de 2023. Art. 15. Esta Portaria entra em vigor na data de sua publicação no Diário Oficial da União. ROBINSON SAKIYAMA BARREIRINHAS ANEXO ÚNICO DECLARAÇÃO PARA COMPARTILHAMENTO DE DADOS E INFORMAÇÕES PROTEGIDOS POR SIGILO FISCAL NA FORMA ESTABELECIDA PELO DECRETO Nº 10.209, DE 22 DE JANEIRO DE 2020
Metadados
Assinatura02/04/2026
Publicação no DOU02/04/2026
Primeira coleta12/07/2026, 05:22
Última verificação12/07/2026, 05:22
ID internoPORTARIA-RFB-670-2026
Fonterfb
Análise gerada por IA com base no texto oficial. Não constitui orientação jurídica ou contábil. Confira sempre o documento original. Como funciona
Ver grafo de relações →