Novo plano do fisco limita condições de acesso a dados dos contribuintes

Até Julho de 2017, Autoridade Tributária vai adoptar 30 medidas para reduzir as “fragilidades estruturais” que põem em causa a protecção do sigilo fiscal.

Foto
Funcionários aposentados terão acesso imediatamente desactivado aos dados dos contribuintes Daniel Rocha

A Autoridade Tributária (AT) quer rever e reduzir, até ao final deste mês, o número de perfis que têm autorização para aceder aos dados pessoais dos contribuintes. A medida consta do Plano de Acção da AT “em matéria de reforço da segurança da informação, protecção de dados pessoais e confidencialidade fiscal”, que inclui um total de 30 novas regras a adoptar até 31 de Julho de 2017.

A maior parte das medidas (12) terão de ser concretizadas ainda este mês. Em termos globais, vai ser preciso desembolsar verbas não inferiores a cinco milhões de euros para adoptar o plano, lê-se no documento, divulgado nesta sexta-feira no portal das finanças. Na sequência da polémica da lista de contribuintes VIP, todos os acessos a dados realizados por utilizadores externos serão limitados “ao indispensável para a execução das actividades e serviços”.

Os trabalhadores do fisco também terão acesso confinado ao “estritamente necessário para o exercício de funções”. Está prevista uma nova revisão de quem pode consultar os dados e do próprio sistema de gestão de utilizadores até 2016 para garantir que os “perfis definidos sejam adequados ao exercício de funções, assim como o reforço dos pontos de controlo associados aos perfis aplicacionais”. Antes mesmo de poderem ter acesso a informação fiscal dos contribuintes, os funcionários do fisco serão obrigados a registar previamente um “registo de fundamentação”.

Outra das intenções é rever todo o processo de gestão de contas de utilizador para que, em caso de aposentação ou desempenho de funções fora da AT, as autorizações sejam imediatamente desactivadas. Aumenta-se também “a periodicidade de transmissão da informação da área de recursos humanos à área de segurança informática e sublinha-se a obrigatoriedade de imediata desactivação, através do Sistema de Gestão de Utilizadores, das permissões concedidas”, lê-se no documento.

Criado novo comité
O plano da AT diz que há “fragilidades estruturais, com reflexo na protecção do sigilo fiscal dos contribuintes” devido, nomeadamente, a “uma deficiente gestão e atribuição de perfis de acesso aos utilizadores, internos e externos, e ao facto de não terem sido cumpridas regras contidas nos documentos de política de segurança produzidos e implementados internamente”.

As medidas conhecidas nesta sexta-feira têm como intenção o reforço da segurança informática e incluem acções de sensibilização aos funcionários para o “rigoroso cumprimento das regras em matéria de sigilo fiscal e de protecção dos dados pessoais de todos os contribuintes”.

Uma das metas é criar o Comité de Ética, Segurança e Controlo, integrado na estrutura da AT, “vocacionado para as matérias de ética, segurança e controlo, onde se poderá solicitar a colaboração de entidades externas ou especialistas nos respectivos domínios de actuação.

Todas estas novas regras deverão estar no terreno até ao final deste mês. Depois disso, está prevista para Dezembro, por exemplo, a revisão das cláusulas de sigilo e confidencialidade presentes nos contratos de aquisição de serviços. O objectivo é reforçar “a obrigatoriedade de salvaguardar o sigilo por parte das empresas que prestam serviços à AT e respectivos trabalhadores, estabelecendo como requisito base a credenciação de segurança dos mesmos, nos termos definidos pelo Gabinete Nacional de Segurança”.

Este ano, o fisco quer ainda reforçar a formação sobre a protecção de dados e tem planos para avançar com um curso específico para colaboradores externos para “consciencializar” os técnicos quanto às obrigações a que estão vinculados. Na lista de 30 medidas está ainda a definição concreta de critérios de utilização de acesso à informação que permitam detectar “procedimentos indevidos”, seguindo as recomendações da Comissão Nacional de Protecção de Dados e da Inspecção-geral das Finanças (IGF).

O plano de acção deverá ser auditado regularmente pela IGF e a primeira auditoria será feita “desejavelmente” no início de 2016.

Sugerir correcção
Ler 1 comentários