Um episódio envolvendo a Receita Federal e o Serpro trouxe à tona suspeitas de uso indevido e possível comercialização de dados de contribuintes por um funcionário. O caso destaca o risco de ameaças internas em ambientes de alta sensibilidade de dados. As discussões públicas reforçam a responsabilidade das instituições à luz da LGPD, independentemente de terceirizações ou cessões de pessoal.
De acordo com reportagens recentes, um funcionário cedido ao órgão teria acessado dados fiscais de forma incompatível com suas atribuições, levantando a suspeita de uso indevido e possível repasse das informações a terceiros. Embora ainda haja divergências públicas sobre a efetiva comercialização dos dados, o incidente evidencia fragilidades em controles de acesso e monitoramento de atividades privilegiadas em sistemas governamentais.
O Serpro afirmou que o profissional em questão estava formalmente vinculado à empresa, mas atuando na Receita Federal, enquanto a Receita destacou que reportou os fatos ao Supremo Tribunal Federal sem confirmar a venda de dados. Essa troca de responsabilidades não elimina o impacto reputacional, já que cidadãos e empresas percebem o evento como falha na proteção de informações sensíveis sob guarda do Estado.
À luz da Lei Geral de Proteção de Dados, o controlador permanece responsável pelos incidentes, mesmo quando há terceirização de serviços ou cessão de funcionários. Especialistas recomendam fortalecer modelos de gestão de identidades e acessos (IAM), implementar logging detalhado com análise comportamental de usuários privilegiados e realizar auditorias periódicas focadas em riscos de insider.
Sistemas Afetados
- Sistemas fiscais da Receita Federal
- Plataformas de processamento de dados do Serpro
Fonte: GCMAIS
Ler fonte original