Texto: ORIENTAÇÃO LGPD/SEFAZ Nº 003/2025
Data: [a mesma da assinatura digital] TEMA: Compartilhamento de Dados com Órgãos Externos
2. Decreto Estadual nº 1.427/2025: 2.1. Art. 6º e Art. 7º: Diretrizes para compartilhamento no âmbito do Executivo Estadual.
3. Resolução nº 002/2024/COGGE/SEFAZ: 3.1. Art. 9º, inciso IV: Diretrizes específicas sobre compartilhamento de dados. 3.2. Resolução nº 003/2024/COGGE/SEFAZ, de 18 de dezembro de 2024, art. 2º, III. 3.3. Informações de contato com o Encarregado de Dados para exercer os direitos do titular: https://www5.sefaz.mt.gov.br/encarregado-de-dados-pessoais RESUMO: O compartilhamento de dados pela SEFAZ só é permitido quando respaldado por base legal clara, finalidade pública legítima e mecanismos de segurança adequados, pelo destinatário dos dados. Nenhum dado pode ser compartilhado por mera conveniência administrativa ou sem avaliação jurídica prévia de cada caso. ARGUMENTOS E RESPECTIVAS SOLUÇÕES: 1. Argumento 1: Posso compartilhar dados com outro órgão do Estado se for para “ajudar” em sua atividade? 1.1. Resposta: Não. O simples “auxílio institucional” não é suficiente. O compartilhamento deve estar amparado por finalidade pública clara, base legal específica e comprovação da necessidade dos dados. A mera boa vontade administrativa não autoriza a exposição de dados pessoais sem critérios legais. É necessária a formalização do compartilhamento, exigindo instrumento jurídico (convênio, ACT) para todo compartilhamento externo, detalhando a finalidade, dados, segurança e prazo conforme art. 26, § 1º, LGPD e orientações do Guia da ANPD para o Poder Público. É importante anotar que existe a necessidade de registrar as operações de compartilhamento no Inventário de Dados da SEFAZ.
2. Argumento 2: O órgão parceiro me enviou ofício e solicitou um banco de dados inteiro. Estou obrigado a fornecer? 2.1. Resposta: Não. Requisições genéricas, amplas e sem justificativa de finalidade específica violam os princípios da necessidade e da minimização previstos na LGPD. A resposta ao ofício deve solicitar o detalhamento dos dados requeridos, a base legal aplicável e a delimitação da finalidade pública correspondente.
3. Argumento 3: E se for um órgão de fiscalização externa como o TCE ou o MP? 3.1. Resposta: Esses órgãos possuem prerrogativas legais específicas, mas mesmo assim devem justificar a finalidade e a proporcionalidade dos dados solicitados. A SEFAZ deve registrar o pedido formalmente, analisar sua compatibilidade com a LGPD e consultar sua unidade jurídica que deve recomendar tratamentos adequados nos dados entregues aos órgãos externos para os quais os dados foram cedidos, especialmente se envolver dados sensíveis.
4. Argumento 4: Como devo proceder com empresas contratadas pela SEFAZ que processam dados de contribuintes? 4.1. Resposta: Empresas contratadas são, em regra, classificadas como operadoras de dados. Elas devem ser formalmente vinculadas por cláusulas contratuais específicas sobre proteção de dados, conforme o art. 39 da LGPD. Além disso, devem seguir as instruções documentadas da SEFAZ, adotar medidas de segurança compatíveis e estar sujeitas à fiscalização. CONCLUSÃO:
Esta orientação trata dos critérios e limites legais para o compartilhamento de dados pessoais por parte da SEFAZ, especialmente em situações de relacionamento institucional com outros órgãos públicos ou empresas contratadas. Por fim, este documento está alinhado com as orientações legais e as melhores práticas até aqui conhecidas. Caso sejam publicadas novas legislações, novos entendimentos e mudanças nas melhores práticas este documento poderá ser revisado a qualquer tempo, porém o seu efeito é de observância obrigatória para evitar riscos legais, considerando o art. 6º, X; art. 50, LGPD, podendo ser anotado em qualquer documento, desde que citada a fonte, devendo, em todos os casos concretos, ser submetido à avaliação das unidades jurídicas da organização.