O artigo 23 da Lei Geral de Proteção de
Dados (LGPD) Pessoais impõe, em seus §§4º e 5º, a incidência do regime de
tratamento público de dados pessoais aos serviços notariais e de registro[1],
embora referida lei não traga maiores detalhes em relação às peculiaridades de
sua aplicação às atividades em questão[2]. Com o escopo de detalhar a aplicação
da LGPD às serventias extrajudiciais, o Conselho Nacional de Justiça, por sua
Corregedoria, publicou, no dia 24 de agosto de 2022, o Provimento n. 134, que
trata especificamente das medidas a serem adotadas pelos serviços notariais e
registrais.
Não é novidade que a chamada
"digitalização dos cartórios" tem sido fomentada em anos recentes por
iniciativas como o Provimento n. 100/2020 da Corregedoria Nacional de Justiça,
que criou o inovador e festejado sistema "e-Notariado"[3], ou mesmo
pela recentíssima Medida Provisória 1.085, de 27/12/2021, convertida na lei
14.382, de 27/06/2022, que dispõe sobre o Sistema Eletrônico de Registros
Públicos - Serp e dá outras providências[4]. Essas são iniciativas nacionais,
sem prejuízo dos avanços locais que as Corregedorias Estaduais já implementam
há algum tempo, alinhando-se, assim, a um propósito maior de assimilação dos
impactos da sociedade da informação sobre as atividades notariais e registrais.
Na mesma linha, o aludido Provimento n.
134/2022 do CNJ[5] contempla temas importantíssimos como a definição do
controlador, a necessidade de indicação do encarregado de dados, a exigência de
políticas de boas práticas e governança, o mapeamento das atividades de
tratamento e a definição de procedimentos para o cumprimento de medidas
técnicas e administrativas, além de outros, demandando análise cuidadosa de seu
escopo de incidência.
Definição do controlador de dados
Um dos mais intricados temas relativos aos
serviços notariais e de registro é a definição de quem será considerado
controlador para os fins do artigo 5º, inciso VI, da LGPD e, a esse respeito, o
artigo 4º do Provimento n. 134 dispõe que "os responsáveis pelas delegações
dos serviços extrajudiciais de notas e de registro, na qualidade de titulares
das serventias, interventores ou interinos, são controladores no exercício da
atividade típica registral ou notarial, a quem compete as decisões referentes
ao tratamento de dados pessoais".
De modo geral, sabe-se que compete ao controlador a decisão sobre as atividades de tratamento de dados pessoais, mas, em linhas mais específicas, as atribuições do controlador, na LGPD, são inúmeras, a exemplo das seguintes: (i) elaborar relatório de impacto à proteção de dados pessoais (art. 38); (ii) comprovar o cumprimento das exigências legais para a obtenção do consentimento (art. 8º, § 2º); (iii) comunicar à Autoridade Nacional de Proteção de Dados - ANPD a ocorrência de incidente de segurança (art. 48); (iv) atender requisições para o exercício de direitos dos titulares de dados (art. 18); (v) verificar a observâncias das instruções que repassa ao operador (art. 39); (vi) cooperar para o cumprimento da legislação relativa à proteção de dados pessoais (art. 39); (vii) indicar o encarregado (art. 41). E, havendo que se apurar a ocorrência de dano por violação à lei, é definido regime de responsabilidade civil, nos artigos 42, caput, e 44, parágrafo único, da LGPD, sobre o qual pairam sonoras controvérsias doutrinárias em relação à sua natureza (se objetiva ou subjetiva), mas com regra hialina acerca da solidariedade entre controlador e operador ou entre controladores conjuntos (art. 42, §1º, I e II, LGPD).
A previsão contida no Provimento 134/2022
não abre margem a dúvidas no cotejo com a recente definição do Supremo Tribunal
Federal, consolidada no Tema 777, com repercussão geral, no qual se analisou os
artigos 37, §6º, e 236 da Constituição da República, sendo firmada a seguinte tese:
"o Estado responde, objetivamente, pelos atos dos tabeliães e
registradores oficiais que, no exercício de suas funções, causem dano a
terceiros, assentado o dever de regresso contra o responsável, nos casos de
dolo ou culpa, sob pena de improbidade administrativa"[6].
Assim, embora não se negue que é o titular
da serventia, o interventor ou o interino quem, de fato, tem poder de decisão
sobre as atividades notariais e registrais e, ainda, sobre o tratamento de
dados pessoais levado a efeito no contexto de sua serventia extrajudicial, a
incidência do Capítulo IV da LGPD (arts. 23 a 32) e a definição jurisprudencial
sacramentada pelo STF não deixam dúvidas de que as atividades exercidas na
condição de controlador de dados não poderão implicar a sua responsabilização
direta e solidária, seja em caráter objetivo ou subjetivo, com fundamento no
artigo 42, caput, ou no artigo 44, parágrafo único, da LGPD.
Sobre isso, em complemento à definição
trazida pelo CNJ, é absolutamente fundamental que a ANPD se pronuncie,
especialmente no exercício de sua competência regulatória infralegal[7], para
atualizar o Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder
Público[8], cuja primeira versão, de janeiro de 2022, nada detalha em relação
aos §§4º e 5º do artigo 23 da LGPD e à peculiar situação de tabeliães e
registradores.
Indicação do encarregado de dados
Outro tema fundamental elucidado pelo
Provimento 134/2022 é o da nomeação do encarregado pela proteção de dados,
incumbência do responsável pela serventia extrajudicial (artigo 6º, inc. I).
Sem dúvidas, trata-se de medida fundamental, especialmente em razão da
exigência contida no artigo 23, inciso III, da LGPD, que, no regime de
tratamento de dados pessoais levado a efeito pelo Poder Público, impõe a indicação
do encarregado, em reforço à previsão do artigo 41 da lei.
De fato, por estarem os serviços notariais
e de registro sujeitos ao regime de tratamento público de dados pessoais e,
portanto, incumbidos de fornecer acesso aos dados, por meio eletrônico, à
administração pública, por força do §5º do artigo 23 da LGPD, é de fundamental
relevância o papel do encarregado, que atua como interlocutor em matéria de
tratamento de dados pessoais, propiciando justamente a facilitação do
intercâmbio comunicacional com a ANPD e, no caso específico, com o Estado.
É de se registrar que, seguindo o
entendimento acolhido pela ANPD em seu Guia Orientativo sobre Agentes de
Tratamento[9] (versão 2, de abril de 2022), não há óbice a que o encarregado
seja pessoa natural ou jurídica ou mesmo que atue em prol de múltiplas
serventias ao mesmo tempo, sendo a sua nomeação e contratação de livre escolha
do titular da serventia, com possibilidade, ainda, de que seja escolhido e
contratado de forma conjunta, ou mesmo de que seja subsidiado ou custeado pelas
entidades de classe (art. 10, §§1º a 3º, do Provimento n. 134/2022).
Políticas de boas práticas e governança
Em que pese a facultatividade da definição
de políticas de boas práticas e de governança no artigo 50, caput, da LGPD, o CNJ
foi assertivo em relação à exigência de que sejam adotadas medidas de
governança na implementação dos procedimentos de tratamento de dados para
cumprimento das atribuições das serventias notariais e registrais. O artigo 6º
do Provimento n. 134/2022 se alinha, em grande medida, às exigências cogentes
do artigo 46 da LGPD (dever geral de segurança no tratamento de dados pessoais)
e, também, do artigo 49 da LGPD (exigência de segurança dos sistemas e
dispositivos informáticos empregados nas atividades de tratamento).
Além dos dados pessoais sensíveis, e,
ainda em matéria de governança, é imperioso que se considere a parametrização
procedimental para o atendimento de requerimentos de certidões envolvendo dados
restritos ou sigilosos (art. 38 do Provimento), que demandam avaliação
específica. Quanto aos elementos restritos, deve-se observar o disposto nos
artigos 45 e 95 da lei 6.015/1973, no artigo 6º da lei 8.560/1992, no artigo 5º
do Provimento n. 73/2018, da Corregedoria Nacional de Justiça, e, quanto aos
elementos sigilosos, o artigo 57, §7º, da lei 6.015/1973.
Enfim, é de se destacar a relevância
atribuída ao mapeamento de dados (art. 6º, inc. II, c/c art. 7º do Provimento
n. 134/2022), que tem a finalidade de propiciar leitura estratégica das avaliações
procedimentais relacionadas ao implemento de medidas técnicas e administrativas
relacionadas ao tratamento de dados pessoais. A isso se somam algumas outras
boas práticas e ações de governança estabelecidas no provimento, tais como: (i)
adotar medidas de transparência aos usuários sobre o tratamento de dados
pessoais (art. 6º, inc. IV); (ii) definir e implementar Política de Segurança
da Informação (art. 6º, inc. V); (iii) definir e implementar Política Interna
de Privacidade e Proteção de Dados (art. 6º, inc. VI); (iv) criar procedimentos
internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos
dos titulares (art. 6º, inc. VII); (v) zelar para que terceiros contratados
estejam em conformidade com a LGPD, questionando-os sobre sua adequação e
revisando cláusulas de contratação para que incluam previsões sobre proteção de
dados pessoais (art. 6º, inc. VIII); (vi) treinar e capacitar os prepostos
(art. 6º, inc. IX).
Assinaturas eletrônicas, ICP-Brasil e
digitalização de documentos
Outro tema fundamental abordado pelo
Provimento n. 134/2022 diz respeito aos critérios de integridade, autenticidade
e confiabilidade dos registros públicos, uma vez que se definiu que é
atribuição do responsável pela serventia extrajudicial a digitalização dos
documentos[10] físicos ainda utilizados (art. 15, inc. I) e o armazenamento dos
documentos físicos que contenham dados pessoais e dados pessoais sensíveis em
salas ou compartimentos com controles de acesso (art. 15, inc. II),
facultando-se a eliminação de documentos físicos, depois de digitalizados, com
observância ao disposto no Provimento n. 50/2015 da Corregedoria Nacional de
Justiça (art. 15, parágrafo único).
A previsão é bem-vinda, mas a ela devem se somar as exigências mais específicas contidas na lei 12.682/2012 (Lei da Digitalização[11]) e no decreto 8.539/2015 (que a regulamentou), pois categorias conceituais sobre documentos digitais (art. 2º, inc. II, do Dec. 8.539/2015) envolvem a diferenciação entre documentos nato-digitais e documentos digitalizados, sendo exigida, para esses últimos, a adoção de criptografia assimétrica de padrão ICP-Brasil para fins de arquivamento (art. 2º-A, §8º, da lei 12.682/2012, com reforma realizada pela lei 13.874/2019).
A preocupação com a higidez dos requerimentos
e com a segurança da informação também consta do Provimento 134/2022, como, por
exemplo, verifica-se no art. 39 quanto aos requerimentos de certidões de
inteiro teor, para os quais se exige assinatura eletrônica qualificada (de
padrão ICP-Brasil) ou avançada (que adote os mecanismos do assinador Gov.br do
Instituto Nacional de Tecnologia da Informação - ITI), denotando sintonia com
as classificações definidas para assinaturas eletrônicas[12] nas interações de
particulares com o Poder Público, no plano federal, pelo artigo 4º da lei
14.063/2020.
Por fim, a eliminação de documentos físicos que já tenham sido digitalizados demandará observância estrita ao disposto no artigo 55, §1º, do Provimento 134/2022 e reforçada cautela para evitar a duplicidade documental, inclusive para fins de governança de dados, sendo essencial que se avalie cada caso em função das exigências e dos permissivos dos artigos 15 e 16 da LGPD para fins de eliminação de dados.
Das particularidades do provimento em
relação às especialidades
O Provimento 134/2022, em seus capítulos
XI a XV, traz um detalhamento com relação a cada especialidade extrajudicial.
Com relação aos Tabelionatos de Notas, o
Provimento avança e uniformiza regras que eram disciplinadas de maneiras
diversas nos variados Estados Brasileiros. Agora, o fornecimento de certidões
de fichas de firma e testamentos, por exemplo, obedecerão aos mesmos requisitos
em todo território nacional (arts. 28 a 33).
No tocante às certidões do Registro Civil das Pessoas Naturais, o Provimento impõe restrições severas ao fornecimento de certidões, principalmente as de inteiro teor. A aplicabilidade, viabilidade e até mesmo a fiscalização desse controle demandarão análise profunda.
Curiosamente, as certidões do Registro de
Imóveis tiveram tratamento menos severo, muito embora possam refletir dados
sensíveis constantes de certidões do Registro Civil.
Uma questão que se coloca é a da exigência de indicação da finalidade para obtenção da certidão. Não há, nem por parte da lei, muito menos do Provimento, rol elucidativo acerca do que seria legítimo ou aceitável como finalidade para solicitação de uma certidão cujo conteúdo é, por disposição legal, público. A quem caberá a análise dessa finalidade?
Por fim, no tocante aos Tabelionato de protesto,
o Provimento impõe a exclusão do endereço do devedor e seu telefone da certidão
(art. 51), bem como disciplina a unificação da CENPROT com facilitação de
compartilhamento de endereços entre os tabeliães de modo a facilitar as
intimações.
Notas conclusivas
O Provimento 134/2022 é repleto de nuances
e detalhamentos essenciais para a adequação das serventias extrajudiciais à
LGPD, especialmente em função da transformação digital que foi acentuada
durante o período pandêmico de 2020-2021. Sem dúvidas, há necessidade de
adequação/aperfeiçoamento por parte da Autoridade Nacional de Proteção de
Dados, cujo múnus regulatório infralegal será muito beneficiado caso se
acrescente, no cronograma de sua Agenda Regulatória[13], para o próximo biênio
(2023-2024), iniciativa voltada especificamente às atividades notariais e
registrais.
Temas ainda controversos, como a atuação
do titular da serventia extrajudicial, na condição de controlador, e a
necessidade de compatibilização de seu regime de responsabilidade civil - já
sacramentado no Tema 777 do STF, com repercussão geral -, com as regras
específicas dos artigos 42, caput, e 44, parágrafo único, da LGPD, bem como o
delineamento de contornos mais claros para a aplicação das exigências dos
demais dispositivos do Capítulo IV da LGPD aos serviços notariais e de registro
são alguns dos assuntos que a ANPD terá de esmiuçar por força da competência
que lhe é imposta pelo artigo 55-J, inciso XIII, da LGPD.
As restrições severas à obtenção de
certidões que essencialmente são públicas chocam-se com o princípio da
publicidade que é essencial aos serviços notarias e de registro, e com a
própria Lei n. 6.015/1973 que, em seu artigo 17, autoriza a obtenção de
certidões sem informar motivo ou interesse. Curioso é que o Provimento faz
menção a este artigo em seus considerandos, mas impõe a necessidade de
indicação de finalidade à obtenção de determinadas certidões e até mesmo de
autorização judicial.
No mais, a atuação do CNJ, por sua
Corregedoria Nacional de Justiça, é elogiável e muito bem-vinda, pois traz luz
à aplicação da LGPD, com toda a sua complexidade, a um setor permeado por
peculiaridades. Espera-se que o debate evolua ainda mais para que
esclarecimentos complementares sejam trazidos à tona com máxima brevidade. Cabe
agora às Corregedorias Estaduais a complementação do provimento através de
Normas de Serviço, o que possibilitará a efetiva aplicabilidade do provimento
em todo território nacional.
José Luiz de Moura Faleiros
Júnior: Doutorando
em Direito pela USP e pela UFMG. Mestre e bacharel em Direito pela UFU.
Especialista em Direito Digital e Direito Civil. Membro do IAPD, do IBERC e do
Centro DTIBR. Advogado e professor.
Maria Gabriela Venturoti
Perrotta: Doutoranda
em Direito Civil pela USP. Pós-Graduada em Direito Notarial e Registral pela
Escola Paulista de Magistratura. Tabeliã de Notas e Protestos no Estado de São
Paulo. Membro do Instituto Brasileiro de Estudos de Responsabilidade Civil -
IBERC.
Fonte: Migalhas