Há pouco mais de 3 semanas, aos 31 de agosto último, enviei à Receita Federal novo pedido de acesso à informação, solicitando alguns esclarecimentos sobre contradições nas razões alegadas pela Receita Federal para recusar-se a publicar o código fonte dos programas necessários para prepara declarações de Imposto de Renda. Paralelamente, enviei ao SERPRO, que desenvolve os programas e mantém as bases de dados da Receita Federal, pedido de esclarecimentos de mesmo teor:

Recebi denúncia, de fonte supostamente confiável, dando conta de que o código fonte de programas de computador desenvolvidos e publicados pelo SERPRO, entre eles especificamente o das versões de 2007 a 2012 do IRPF, contém informações que colocariam em risco o sigilo fiscal das bases de dados fiscais da Receita Federal mantidas pelo SERPRO, possibilitando o acesso não autorizado a informações fiscais alheias.

Ocorre que o código fonte desse programa se encontra disponível há mais de 5 anos em http://ur1.ca/a2dvo e outros endereços da Internet, com pleno conhecimento do Diretor-Presidente Marcos Vinícius Ferreira Mazoni e de outros funcionários e ex-funcionários do SERPRO, alguns dos quais estão ou estiveram envolvidos diretamente no desenvolvimento do programa em questão.

É demasiado difícil crer na veracidade da denúncia, considerando que esse programa não faz nem precisa fazer acesso às bases de dados sigilosas, não necessitando portanto conter esse tipo de informação. Caso a contivesse, o SERPRO, ciente de sua divulgação, seguramente teria tomado providências imediatas para sanar o problema e prevenir o possível vazamento de dados fiscais sigilosos. Seria inadmissível que, após tantos anos, o potencial de vazamento através de informações disponíveis ao público permanecesse.

Como cidadão receptor da denúncia e preocupado com o sigilo fiscal próprio e de terceiros, cabe a mim buscar confirmação junto ao SERPRO de que as medidas necessárias foram tomadas e de que os dados sujeitos a sigilo fiscal sob a guarda do SERPRO não têm corrido desde 2007 risco iminente de exposição por meio da informação divulgada.

Pelos motivos expostos, solicito os seguintes esclarecimentos:

  • É verídica a denúncia de que o código fonte do programa em questão contém informação que possibilitaria acesso indevido às bases de dados fiscais da Receita Federal mantidas pelo SERPRO?

  • Em caso positivo, que medidas o SERPRO tem adotado, desde que tomou conhecimento da publicação dessa informação, a fim de evitar seu uso para a violação do sigilo fiscal das referidas bases de dados?

  • Dentre os programas desenvolvidos pelo SERPRO e disponibilizados a terceiros desde 2007, quais contêm em seu código fonte informação que possibilitaria acesso indevido às bases de dados fiscais mantidas pelo SERPRO? Quais são as justificativas técnicas para a inclusão de informação tão sensível em cada um desses programas?

Imediatamente depois, enviei o seguinte recurso à CGU, a respeito do outro pedido de acesso à informação, do código fonte dos programas em questão.

A um lado, a Receita Federal nega a existência de vulnerabilidades que possibilitariam a violação do sigilo fiscal mediante informação que ela mesma publicou; a outro, sugere que o sigilo fiscal seria prejudicado através dessa mesma informação, disponível na Internet inclusive na forma solicitada, porém que ora se recusa a publicar oficialmente.

Tendo a Receita Federal ciência desde 2007 de que já é pública desde então a informação que alega não poder publicar, cabe questionar o zelo pelo sigilo fiscal que alega pretender defender! Fosse verídica a alegação de que trazer as informações a público poria em risco o sigilo fiscal, medidas teriam de ter sido tomadas já em 2007 para anular o risco, bloqueando desde então os supostos meios de acesso indevido às bases de dados fiscais cuja segurança dependia do sigilo de tais informações!

Tomar tais medidas eliminaria o risco da publicação da informação; não tomá-las seria negligência na preservação do sigilo.

Cabe ainda questionar o sentido da alegada inclusão (desnecessária, vale dizer) de informação supostamente tão sensível nesses programas.

As evidentes contradições, somada à ausência de menção, na resposta, à disponibilidade pública da informação solicitada, citada no recurso, ou mesmo à possibilidade de publicação parcial das informações solicitadas, subtraindo-se supostas informações cuja divulgação poderia prejudicar o sigilo fiscal, são fortes indícios de que a reiterada alegação da equipe técnico-jurídica da Receita Federal, que assina as Notas Técnicas em que as respostas se basearam, se trata de subterfúgio para contornar as obrigações de transparência estabelecidas na Constituição Federal e na Lei de Acesso à Informação.

Com relação à documentação que a Receita Federal já havia publicado: quando demonstrei que não era suficiente para atender à solicitação inicial explicitando algumas das informações faltantes, obtive resposta de que o documento publicado “atend[ia] aos propósitos a que se destinava.” Tal argumento não justifica a prestação incompleta das informações solicitadas; resta ainda disponibilizar complemento ao documento publicado anteriormente para atender à solicitação de documentação, ou justificativa para negar a documentação ainda não prestada, discriminada no recurso.

Quanto ao potencial de uso comercial de outras informações solicitadas, alegado como razão adicional para a sua não publicação, as instruções normativas que cito no recurso são mais que suficientes para afastar quaisquer preocupações com tal potencial, na medida em que autorizam, recomendam e até mesmo exigem a publicação de programas de computador contratados pela administração pública, de forma a não apenas possibilitar, mas a incentivar usos comerciais. A objeção a possíveis usos comerciais se trata, portanto, de outra excusa, sem respaldo legal, que busca evitar o cumprimento das obrigações de transparência da administração pública. Mesmo que as normas ali citadas não obrigassem a Receita Federal (falta justificativa para a não aplicabilidade na resposta), a autorização e a recomendação são suficientes para rechaçar a excusa.

Dadas as fortes evidências ora descritas de que alegações falsas têm sido usadas para evitar o cumprimento dos preceitos legais de transparência, alegações essas que, fossem verdadeiras, comprovariam negligência quanto à preservação do sigilo fiscal, solicito intervenção da CGU para fazer cumprir as obrigações de transparência e proceder a uma investigação para determinar a causa das evidentes contradições: ou pela negligência de longa data no que diz respeito à preservação do sigilo fiscal, ou pela falsidade das alegações usadas para fundamentar a recusa.

Uma das duas alternativas é necessariamente verdadeira, pelo que proponho que a CGU acompanhe o andamento dos pedidos de acesso à informação 16853.007029/2012-63 e 99928.000064/2012-68, encaminhados respectivamente à Receita Federal e ao SERPRO (fiel depositário das informações solicitadas), em que busco esclarecer as contradições levantadas no presente processo com perguntas pontuais que pretendem evitar que uma longa resposta deixe de abordar os pontos cruciais, como já fez a Receita Federal nas respostas aos recursos.

A CGU decidiu não seguir minha proposta de aguardar as respostas aos demais pedidos, e foi a primeira a responder, em 10 de setembro:

Faço referência ao recurso encaminhado a esta Controladoria-Geral da União, referente ao pedido de acesso a informação 16853.006392-2012-61, nos termos do qual V.Sa. solicitou, à Secretaria da Receita Federal do Brasil – RFB do Ministério da Fazenda, informações sobre documentação completa referente a formatos de arquivo de declarações fiscais e código-fonte dos programas geradores de declarações fiscais oferecidas pela Receita Federal do Brasil.

No âmbito da competência atribuída a esta Controladoria-Geral pelo artigo 16 da Lei 12.527/2011, regulamentada pelo artigo 23 do Decreto 7.724/2012, conheço do recurso.

Contudo, após detida análise do processo e dos esclarecimentos prestados pela Secretaria da Receita Federal do Brasil – RFB, a Controladoria entendeu que não houve negativa de acesso, uma vez que a primeira parte do quanto solicitado foi devidamente atendida, conforme resposta da RFB. Em relação à segunda parte do pedido, naquilo que se refere ao fornecimento dos códigos-fonte dos programas geradores de declarações fiscais, esta Controladoria entendeu prudente seguir o entendimento da RFB de não disponibilizá-los por questões de segurança das informações protegidas por sigilo fiscal e sob a guarda da referida Secretaria. Essa exceção encontra guarida no sigilo fiscal e nas exceções previstas no art. 22 da Lei n.º 12.527/2011 e art. 6º do Decreto n.º 7.724/2012. Desta maneira, portanto, nego provimento ao recurso.

Será que alguém lê o que eu escrevi, mesmo? Como assim, a solicitação de documentação foi devidamente atendida, se já explicitei as partes que não foram, sem justificativa?

Quanto à segunda parte, o SERPRO esclareceu, em 14 de setembro:

Em atendimento às suas indagações, respondemos:

1 - É verídica a denúncia de que o código fonte do programa em questão contém informação que possibilitaria acesso indevido às bases de dados fiscais da Receita Federal mantidas pelo SERPRO?

Resposta: Não conhecemos a referida denúncia, mas seu conteúdo não procede: o código fonte não contém informação que possibilitaria tal acesso.

2 - Em caso positivo, que medidas o SERPRO tem adotado, desde que tomou conhecimento da publicação dessa informação, a fim de evitar seu uso para a violação do sigilo fiscal das referidas bases de dados?

Resposta: Prejudicada. Não conhecemos a referida denúncia e tampouco adotamos quaisquer medidas.

3 - Dentre os programas desenvolvidos pelo SERPRO e disponibilizados a terceiros desde 2007, quais contêm em seu código fonte informação que possibilitaria acesso indevido às bases de dados fiscais mantidas pelo SERPRO?

Resposta: Nenhum, depois ou antes de 2007.

4 - Quais são as justificativas técnicas para a inclusão de informação tão sensível em cada um desses programas?

Resposta: Não haveria justificativa técnica alguma para o cometimento dessa falha. Se fosse possível, essa informação supostamente distribuída iria contra todo o serviço que prestamos no sentido de garantir a confidencialidade, integridade e disponibilidade das informações manipuladas por força do serviço de nossos clientes. Os dados sigilosos da RFB ou de qualquer de nossos clientes, ademais, não são passíveis de serem acessados apenas a partir de uma dada informação. Há toda uma estrutura de rede, de dados, de configurações e de controles desenvolvidos justamente para garantir o uso da informação apenas por quem tenha a atribuição e a necessidade de serviço correlatos.

Nos colocamos à disposição para outros esclarecimentos.

Com tal desqualificação da base da negativa da Receita Federal, enviei email ao responsável pelo IRPF na Receita Federal, com cópia para o diretor do SERPRO e o Secretário da Receita Federal, informando sobre a resposta do SERPRO e propondo uma chamada telefônica para dar início à negociação da publicação dos programas como Software Livre, antes do fim do prazo para interposição de recurso à Comissão Mista de Reavaliação de Informações. Não tive resposta, então encaminhei o seguinte recurso no dia 20 de setembro:

Venho por meio desta recorrer à Comissão Mista de Reavaliação de Informações no sentido de exigir da Receita Federal o cumprimento de suas obrigações de transparência constantes da Constituição Federal e da Lei de Acesso à Informação ora vigente, 12.527/2011, com relação ao pedido de acesso à informação registrado sob protocolo 16853.006392-2012-61/MF.

Requisitei da Receita Federal (i) o código fonte e a documentação do ReceitaNET e dos programas de computador geradores de declarações fiscais disponibilizados pela Receita Federal, de titularidade da União, desenvolvidos pelo SERPRO ou terceiros; (ii) a documentação dos formatos de arquivo utilizados por tais programas, suficiente para verificação dos dados transmitidos e desenvolvimento de programas alternativos.

Inicialmente, a Receita Federal alegou já haver publicado a documentação solicitada, e recusou-se a publicar o código fonte dos programas, alegando falsamente que o código fonte conteria informação que, caso divulgada, colocaria em risco o sigilo fiscal das informações mantidas em bases de dados da Receita Federal. Manifestou ainda, como segundo e último argumento contrário à publicação do código fonte, preocupação com usos comerciais de tais programas.

=== Documentação

Apontei em recurso a insuficiência da documentação já publicada para atender à solicitação, listando alguns dos campos para os quais faltavam especificação e forma de cálculo. A documentação publicada não atendeu ao critério de suficiência do pedido, nem para verificação dos dados transmitidos nem para o desenvolvimento de programas alternativos.

Em resposta ao recurso, não recebi da Receita Federal qualquer justificativa para a não publicação de informações ausentes da documentação já publicada, cuja ausência apontei explicitamente. O argumento levantado pela Receita Federal em resposta ao recurso, de que a documentação publicada servia aos propósitos a que se destinava, tão somente confirma que, tendo sido publicada antes mesmo de minha solicitação, não servia ao propósito de atendê-la.

Solicito, portanto, intervenção da Comissão no sentido de que a Receita Federal cumpra sua obrigação perante a lei, seja mediante a publicação da documentação solicitada, seja mediante justificativa plausível para enquadramento da informação ausente da documentação em algum dos critérios de sigilo admitidos por lei; até o presente momento, nenhuma dessas possibilidades foi contemplada nas respostas aos recursos tanto à Receita Federal quanto à CGU, no que diz respeito à solicitação de documentação dos formatos de arquivo.

=== Código Fonte

Manifestou a Receita Federal preocupação com usos comerciais do software, caso seu código fonte viesse a ser publicado, e alegou (falsamente, como comprovam informações recebidas posteriormente) que tal publicação poria em risco o sigilo das bases de dados fiscais por ela mantidas. Nenhuma das excusas apresentadas se sustenta, como demonstrarei a seguir.

==== Usos comerciais

Os programas de preparação de declarações fiscais já gozam de vastos usos comerciais, entre contadores que prestam serviços de organização de documentos e, mediante o uso comercial desses programas, preenchimento e envio de declarações fiscais. Jamais houve oposição a tais usos, e tal oposição seria no mínimo questionável.

Caso a preocupação, manifestada com pouca clareza, seja não pelo uso dos programas em si, mas por modificações desenvolvidas com propósitos comerciais, cabe apontar que a mera publicação do código fonte não confere a terceiros licença para efetuar modificações ou distribuir tais obras derivadas, da mesma forma que a mera publicação do código objeto executável, mesmo quando traduzível de volta à forma de código fonte, não confere tais licenças.

Entretanto, é descabida a preocupação, mesmo no que diz respeito a derivações comerciais, uma vez que o atual governo, para cumprir com princípios de transparência, eficiência e economicidade, regulamentou, na Instrução Normativa 01/2011/SLTI, a publicação, no Portal do Software Público, de software contratado pela administração pública sob a licença CC-GNU-GPL-BR, que permite e incentiva a modificação e a distribuição do software, inclusive comercialmente, desde que terceiros não sejam impedidos de gozar dos mesmos direitos assegurados pela licença.

Mesmo que a Receita Federal não estivesse sujeita às instruções normativas que exigem a disponibilização do software contratado por membros do SISP no portal supracitado, a preocupação com usos comerciais do software público permaneceria injustificável, não fornecendo qualquer respaldo para a negativa de acesso ao código fonte correspondente.

==== Risco ao Sigilo Fiscal

A alegação de que a publicação do código fonte de todo e qualquer dentre os programas solicitados poderia colocar em risco o sigilo fiscal se trata de insulto à inteligência dos interlocutores. Fosse verdadeira, uma vez de posse de outras informações expostas a seguir, constituiria reconhecimento de negligência para com tal sigilo.

Entre os programas solicitados, que a Receita Federal se recusou a publicar sob tal alegação, estão desde o ReceitaNET, que de fato transmite informações para bases de dados da Receita Federal, até o Carnê Leão e o SICALC, que tão somente efetuam cálculos com base em valores a eles informados e tabelas neles contidas, sem jamais necessitar ou efetuar quaisquer contatos com tais bases de dados.

Preocupa-me que não tenham despertado nas autoridades que deliberaram sobre os recursos qualquer preocupação em questionar a veracidade das insistentes alegações de que todos os programas solicitados, inclusive os últimos, poderiam conter informação que colocasse o sigilo fiscal em risco, e que não seria possível publicar sequer parte de seu código fonte sem incorrer em tal risco.

Mesmo após eu mencionar nos recursos que o código fonte de um dos programas solicitados já há anos havia sido recuperado a partir do código publicado pela própria Receita Federal, e se encontrava disponível na Internet, a alegação mentirosa seguiu inquestionada, ainda que, fossem verdadeiras as alegações, tal exposição demandaria medidas imediatas para preservar o sigilo fiscal, anulando assim qualquer risco representado pela publicação oficial da informação que já está disponível para o público.

Havendo encaminhado ao SERPRO e à Receita Federal questionamentos com relação a essa contradição, nos processos 99928.000064/2012-68 e 16853.007029/2012-63 respectivamente, ainda que a Receita Federal devesse ter respostas imediatas por já ter investigado as questões levantadas para preparar as notas técnicas anexadas ao presente processo, ela tarda em responder, como tardou na preparação de negativa aparentemente plausível em resposta à inicial. A seu lado, o SERPRO, que desenvolveu os programas solicitados e mantém as bases de dados fiscais para a Receita Federal, sem qualquer razão para sustentar as alegações mentirosas da Receita Federal, não se satisfez em desqualificá-las integralmente, como ainda reforçou sua implausibilidade. Reproduzo a seguir as respostas fornecidas pelo SERPRO, juntamente com os questionamentos, de semelhante teor aos que a Receita Federal ainda não respondeu em processo paralelo:

(repetição dos questionamentos e das respostas omitida neste ponto)

Já na primeira resposta cai por terra a reiterada alegação da Receita Federal que supostamente justificaria a recusa. Lamentavelmente, foi repetidamente acatada, sem questionamento, por autoridades responsáveis pelo cumprimento dos preceitos da transparência, ainda que eu tenha levantado contradições e recomendado aguardar as respostas aos questionamentos, e ainda que a suposta necessidade de sigilo indireto não encontre qualquer respaldo na Lei de Acesso à Informação.

Ora, ainda que a alegação encontrasse respaldo na lei, a desqualificação comprova que lhe falta veracidade: a publicação da informação não tem como colocar em risco o sigilo fiscal das bases de dados da Receita Federal, mantidas pelo SERPRO. A alegação já não serve mais, portanto, como justificativa para evitar a publicação do código fonte solicitado, se é que algum dia serviu.

=== Conclusão

Não restando sustentação para qualquer das duas justificativas apresentadas para resistir à publicação da informação solicitada, resta à comissão requerer da Receita Federal sua publicação.

De minha parte, submeto humildes recomendações de ajuste aos procedimentos de avaliação de recursos, especialmente na CGU, para evitar que alegações de riscos fictícios, inventados como subterfúgio para escusar-se da obrigação de transparência, ameacem o princípio de que o sigilo seja a exceção à regra da publicidade.

Recomendo que, via de regra, se busquem aportes técnicos externos para avaliar a verossimilhança de alegações de necessidade de sigilo, particularmente quando sejam indiretas e envolvam tecnologias fora da especialidade dos responsáveis pela avaliação dos recursos.

A alternativa que presenciei, de aceitação cega de tais alegações, dá margem a abusos, permitindo que qualquer alegação aparentemente verossímil de motivo para sigilo dificulte ou impeça a fiscalização democrática do poder público pelo povo do qual o poder emana.

Nem sempre cidadãos terão meios, como eu tive, para comprovar a falsidade das excusas apresentadas, portanto creio que os responsáveis pelo cumprimento dos preceitos da transparência devam buscar preencher essa lacuna, questionando alegações de necessidade de sigilo não só através de especialistas externos aos órgãos que pleiteiam a negação de informação ao público, mas também através de procedimentos sigilosos ao menos de início, em que o órgão fiscalizador e especialistas por ele apontados obtenham acesso à informação solicitada, para conduzir avaliação independente da justificativa apresentada.

A aparente inexistência de tais procedimentos, somada à dificuldade de que cidadãos disponham de evidências como as que pude coletar para comprovar a falsidade das alegações de necessidade de sigilo, ao invés de servir ao interesse público e ao cidadão, servem àqueles que possam se sentir tentados, por quaisquer motivos, a mentir para manter secretas informações não contempladas entre as exceções da lei.

Finalmente, pergunto: a comissão encaminhará ao poder judiciário as denúncias de improbidade administrativa, bem como de perjúrio e falsidade ideológica, nas repetidas alegações mentirosas que desprezavam meus questionamentos, pretendendo evitar o cumprimento da obrigação de dar publicidade à informação solicitada?

Hoje cobrei da CGU confirmação de recepção do recurso, mas até agora nada. O que recebi hoje foi resposta da Receita Federal ao pedido de esclarecimentos, com tentativa de fazer de conta que “informação que possibilitaria acesso indevido às bases de dados fiscais” significa “informações econômicas e financeiras de terceiros”. Doh! Será que não leram direito mesmo, ou distorceram de propósito? Coube a mim enviar novo recurso à Receita Federal:

As respostas fornecidas não dizem respeito às perguntas formuladas, mas a uma interpretação distorcida que conduz a uma questão lateral já esclarecida.

Nem a confissão-denúncia nem as perguntas que formulei dizem respeito a “informações econômicas e financeiras de terceiros”, que os programas sabidamente não contêm, mas a “informação que possibilitaria acesso indevido às bases de dados fiscais”, versão curta de “evidências sobre regras de segurança da instituição, que propiciariam o aumento significativo do risco de acesso indevido aos sistemas de recepção e validação de arquivos transmitidos a esse órgão, expondo a vulnerabilidades toda a base de dados sigilosa sob sua guarda”, que consta da confissão-denúncia que recebi.

Solicito portanto nova leitura cuidadosa das perguntas, à luz dessa interpretação corrigida, e novas respostas que não remetam a essa questão lateral.

Cabe à Receita Federal, através das respostas às perguntas, ou (a) refutar a confissão-denúncia da alegada presença de “evidências sobre regras de segurança da instituição” no código fonte em questão, ou (b) apontar as medidas tomadas para mitigar o “risco de acesso indevido aos sistemas” por elas alegadamente propiciado desde a publicação do código fonte do IRPF2007, ou (c) reconhecer que não tomou tais medidas, deixando “expo[sta] a vulnerabilidades toda a base de dados sigilosa sob sua guarda.”

Uma vez que há divergência entre a Receita Federal e o SERPRO, que desenvolve os sistemas e mantém a base de dados em questão, sugiro à Receita Federal fundamentar suas alegações, apontando no código fonte do IRPF2007 recuperado e publicado em 2007 as “evidências sobre regras de segurança da instituição”, e demonstrar que já não existe mais o “risco de acesso indevido aos sistemas“ supostamente propiciado por tais evidências, há anos públicas.

Peguei pesado?

Até blogo...