Legislação Tributária
ATO NORMATIVO DA SEFAZ

Ato: Orientação LGPD/SEFAZ

Número/Complemento
Assinatura
Publicação
Pág. D.O.
Início da Vigência
Início dos Efeitos
3/2025
12/18/2024
09/02/2025
20
02/09/2025
02/09/2025

Ementa:EMENTA: Orienta sobre os critérios e limites para o compartilhamento de dados pessoais por parte da SEFAZ com outros órgãos da Administração Pública ou com entes privados, de acordo com a LGPD e legislações correlatas.
Assunto:Lei Geral de Proteção de Dados (LGPD)
Alterou/Revogou:
Alterado por/Revogado por:
Observações:


Nota Explicativa:
Nota: " Os documentos contidos nesta base de dados têm caráter meramente informativo. Somente os textos publicados no Diário Oficial estão aptos à produção de efeitos legais."

Texto:
ORIENTAÇÃO LGPD/SEFAZ Nº 003/2025

Data: [a mesma da assinatura digital]
TEMA: Compartilhamento de Dados com Órgãos Externos

BASE LEGAL:
1. Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709/2018):
1.1. Art. 7º: Bases legais para tratamento de dados pessoais.
1.2. Art. 11: Bases legais para dados pessoais sensíveis.
1.3. Art. 26: Compartilhamento com a administração pública.

2. Decreto Estadual nº 1.427/2025:
2.1. Art. 6º e Art. 7º: Diretrizes para compartilhamento no âmbito do Executivo Estadual.

3. Resolução nº 002/2024/COGGE/SEFAZ:
3.1. Art. 9º, inciso IV: Diretrizes específicas sobre compartilhamento de dados.
3.2. Resolução nº 003/2024/COGGE/SEFAZ, de 18 de dezembro de 2024, art. 2º, III.
3.3. Informações de contato com o Encarregado de Dados para exercer os direitos do titular: https://www5.sefaz.mt.gov.br/encarregado-de-dados-pessoais

RESUMO:
O compartilhamento de dados pela SEFAZ só é permitido quando respaldado por base legal clara, finalidade pública legítima e mecanismos de segurança adequados, pelo destinatário dos dados. Nenhum dado pode ser compartilhado por mera conveniência administrativa ou sem avaliação jurídica prévia de cada caso.

ARGUMENTOS E RESPECTIVAS SOLUÇÕES:
1. Argumento 1: Posso compartilhar dados com outro órgão do Estado se for para ajudarem sua atividade?
1.1. Resposta: Não. O simples “auxílio institucional” não é suficiente. O compartilhamento deve estar amparado por finalidade pública clara, base legal específica e comprovação da necessidade dos dados. A mera boa vontade administrativa não autoriza a exposição de dados pessoais sem critérios legais. É necessária a formalização do compartilhamento, exigindo instrumento jurídico (convênio, ACT) para todo compartilhamento externo, detalhando a finalidade, dados, segurança e prazo conforme art. 26, § 1º, LGPD e orientações do Guia da ANPD para o Poder Público. É importante anotar que existe a necessidade de registrar as operações de compartilhamento no Inventário de Dados da SEFAZ.

2. Argumento 2: O órgão parceiro me enviou ofício e solicitou um banco de dados inteiro. Estou obrigado a fornecer?
2.1. Resposta: Não. Requisições genéricas, amplas e sem justificativa de finalidade específica violam os princípios da necessidade e da minimização previstos na LGPD. A resposta ao ofício deve solicitar o detalhamento dos dados requeridos, a base legal aplicável e a delimitação da finalidade pública correspondente.

3. Argumento 3: E se for um órgão de fiscalização externa como o TCE ou o MP?
3.1. Resposta: Esses órgãos possuem prerrogativas legais específicas, mas mesmo assim devem justificar a finalidade e a proporcionalidade dos dados solicitados. A SEFAZ deve registrar o pedido formalmente, analisar sua compatibilidade com a LGPD e consultar sua unidade jurídica que deve recomendar tratamentos adequados nos dados entregues aos órgãos externos para os quais os dados foram cedidos, especialmente se envolver dados sensíveis.

4. Argumento 4: Como devo proceder com empresas contratadas pela SEFAZ que processam dados de contribuintes?
4.1. Resposta: Empresas contratadas são, em regra, classificadas como operadoras de dados. Elas devem ser formalmente vinculadas por cláusulas contratuais específicas sobre proteção de dados, conforme o art. 39 da LGPD. Além disso, devem seguir as instruções documentadas da SEFAZ, adotar medidas de segurança compatíveis e estar sujeitas à fiscalização.

CONCLUSÃO:

Esta orientação trata dos critérios e limites legais para o compartilhamento de dados pessoais por parte da SEFAZ, especialmente em situações de relacionamento institucional com outros órgãos públicos ou empresas contratadas.

Por fim, este documento está alinhado com as orientações legais e as melhores práticas até aqui conhecidas. Caso sejam publicadas novas legislações, novos entendimentos e mudanças nas melhores práticas este documento poderá ser revisado a qualquer tempo, porém o seu efeito é de observância obrigatória para evitar riscos legais, considerando o art. 6º, X; art. 50, LGPD, podendo ser anotado em qualquer documento, desde que citada a fonte, devendo, em todos os casos concretos, ser submetido à avaliação das unidades jurídicas da organização.

Nelson Corrêa Viana
Encarregado de Dados (DPO)
Conforme Resolução Nº 003/2024/COGGE/SEFAZ, DE 18 DE DEZEMBRO DE 2024
(Assinatura Digital)