Daniel
Ribeiro dos Santos
Os
delegatários preocupados com a adequação das suas atividades à Lei Geral de
Proteção de Dados Pessoais já possuem um excelente parâmetro para viabilização
do seu processo de conformidade.
A
lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados Pessoais
(LGPD), entrou em vigor em agosto de 2020 e estabeleceu uma série de obrigações
a organizações públicas e privadas que, em suas atividades, realizam tratamento
de dados pessoais. Por se tratar de uma norma geral com repercussão setorial,
precisa ser objeto de implementações específicas que garantam seu cumprimento
nas diversas esferas econômicas e governamentais, considerando a legislação e
as peculiaridades de cada área.
Diante
da necessidade de estabelecer parâmetros para adequação das serventias
extrajudiciais à LGPD, a Corregedoria Nacional de Justiça do Conselho Nacional
de Justiça (CNJ) tem trabalhado na elaboração de um provimento sobre o assunto.
A minuta foi submetida à consulta pública aberta por meio de edital publicado
em 8 de fevereiro de 20221 e recebeu sugestões até o dia 28 de fevereiro. O
texto não apresenta inovações em relação ao da Lei 13.709/18, mas indica as
diretrizes para aplicação prática, materializando comandos contidos no referido
diploma legal2.
Como
medida imediata a ser cumprida pelos cartórios, a minuta do Provimento
determina a nomeação de um encarregado pelo tratamento de dados pessoais (art.
10), figura instituída pela LGPD3, cuja indicação pelo controlador, em regra, é
obrigatória4.
Não
obstante a existência de serventias extrajudiciais dos mais variados portes e
responsáveis pelo tratamento de diferentes volumes de dados pessoais, a
Autoridade Nacional de Proteção de Dados (ANPD) ainda não estabeleceu regramento
de dispensa de indicação de um encarregado pelos delegatários5. Por esta razão,
o documento publicado pelo CNJ apresenta possibilidades específicas sobre o
tema, de modo a viabilizar o atendimento da lei pelos serviços notariais e de
registro das mais diversas realidades.
A
minuta dispõe que serventias classificadas como "Classe I" e
"Classe II" pelo Provimento nº 74/2018 da Corregedoria Nacional de
Justiça6 poderão designar um encarregado de maneira conjunta (art. 10, § 1º).
Os cartórios também poderão terceirizar o exercício da função mediante
contratação de prestador de serviços ("Encarregado Externo" ou
"DPO as a service"), seja pessoa física ou pessoa jurídica (art. 10,
I).
Adicionalmente,
o documento levado à consulta pública prevê que serventias de "Classe
I" poderão ter a remuneração do encarregado subsidiada, ou integralmente
paga, pelas entidades representativas de classe (art. 10, § 3º). Também é
possível contratar um mesmo encarregado por cartórios de qualquer classe, desde
que demonstrável a inexistência de conflito na cumulação de funções e na
manutenção da qualidade dos serviços prestados (art. 10, § 4º).
O
texto disponibilizado pela Corregedoria, ainda no tocante aos atores envolvidos
na governança de dados nos cartórios, estabelece que as serventias de
"Classe III" deverão contar com uma equipe de apoio multidisciplinar,
composta ao menos por integrantes das áreas de tecnologia da informação,
segurança da informação e jurídica (art. 10, § 2º). Essa equipe é equivalente
ao Comitê Gestor de Proteção de Dados Pessoais, estrutura comumente criada
pelos agentes de tratamento durante o seu processo de adequação à LGPD e que
representa uma boa prática de governança na inteligência do art. 50 da Lei de
Proteção de Dados7.
Além
disso, o CNJ também apontou procedimentos técnicos para adoção pelas serventias
rumo à conformidade às normas protetivas de dados. O texto estabelece a
necessidade de se realizar um mapeamento das atividades de tratamento de dados
pessoais (art. 7º, caput), a fim de identificar as operações realizadas com
tais informações e viabilizar o registro, conforme preconiza a LGPD em seu art.
378.
Intitulado
"inventário de dados pessoais" (art. 7º, § 1º), o produto desse
processo jogará luz sobre os dados tratados e todas as operações a que estão
sujeitos, tais como coleta, armazenamento, compartilhamento e descarte. Nele é
preciso constar a categoria dos dados e dos titulares envolvidos, as formas de
obtenção e coleta das informações, as finalidades do seu uso, bases legais autorizativas
e tempo de retenção, bem como as hipóteses de compartilhamento com terceiros e
eventual transferência internacional (art. 7º, § 1º, I).
A
partir do mapeamento poderão ser trazidos à baila problemas em controles de
acesso às informações, medidas de segurança inadequadas, dados tratados em
excesso9 ou, até mesmo, uso de informações pessoais de forma ilegal10. Nesse
sentido, os insumos coletados deverão ser aproveitados para análise de lacunas
relacionadas à proteção de dados pessoais, cabendo às serventias a condução da
avaliação das vulnerabilidades (gap assessment) encontradas (art. 7º, III).
O
gap assessment preconizado pelo CNJ perseguirá a realização de ajustes de
conformidade, a fim de tratar os riscos associados às vulnerabilidades
encontradas no mapeamento, seja para conviver com eles, mitigá-los ou
eliminá-los.
O
texto apresentado também trata sobre o Relatório de Impacto à Proteção de Dados
Pessoais11. Ele deve ser realizado nos atos em que o tratamento gere risco a
direitos e liberdades fundamentais do titular, de acordo com as orientações
expedidas pela ANPD (art. 11, caput), contendo a descrição de tais processos de
tratamento, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Assim, sua elaboração em relação às atividades já realizadas pelo cartório
depende da boa condução do mapeamento de dados, do gap assessment e da adoção
das medidas de conformidade.
Os
novos contratos ou convênios que venham a ser celebrados pelos responsáveis
pelas serventias, por sua vez, deverão, nos casos aplicáveis, ser precedidos da
elaboração da elaboração de Relatório de Impacto prévio à sua consolidação
(art. 11, II).
O
caminho da prestação dos serviços notariais e de registro, para o CNJ, envolve
a adoção de medidas de segurança, técnicas e administrativas aptas a proteger
os dados pessoais de acessos não autorizados ou qualquer forma de tratamento
inadequado ou ilícito (art. 12, caput). De acordo com a minuta publicada, tais
medidas serão materializadas por meio da adoção de política de segurança da
informação, com previsão de adoção de mecanismos de segurança - desde a
concepção de novos produtos ou serviços e contendo o plano de resposta a
incidentes de segurança com dados pessoais (art. 12, I).
O
plano mencionado deverá prever a comunicação imediata do incidente ao
controlador e a comunicação ao Juiz Corregedor Permanente e à Corregedoria
Geral da Justiça do Estado ou do Distrito Federal, no prazo máximo de 24 horas.
É preciso que haja detalhamento da natureza do incidente e das medidas adotadas
para a apuração das suas causas e a mitigação de novos riscos e dos impactos
causados aos titulares dos dados (art. 13, caput).
A
minuta, porém, não traz previsão de informação do incidente à ANPD, indo de
encontro ao que reza o art. 48 da LGPD. Tampouco leva em consideração que o
mesmo artigo da norma não determina a comunicação de qualquer incidente, mas
somente daqueles que possam acarretar risco ou dano relevante aos titulares. Ou
seja, é preciso fazer uma análise desse potencial, para que o dever de
comunicação não represente um esforço desproporcional às serventias
extrajudiciais.
Assim,
em linha com o que reza a própria legislação protetiva de dados pessoais,
espera-se que a versão final do Provimento preveja a realização de um filtro
prévio, sob a responsabilidade da própria serventia e a partir dos parâmetros
estabelecidos pela ANPD, quanto aos incidentes que precisam ser
comunicados.
Cumpre
salientar, ainda, que a Autoridade Nacional recomenda, enquanto pendente a
regulamentação do tema, que a comunicação seja feita no prazo de dois dias
úteis, contados da data do conhecimento do incidente12. Aguarda-se que a
Corregedoria, no documento definitivo, adote prazo alinhado ao da ANPD.
O
texto apresentado também traz diretrizes aos responsáveis pelos serviços
notariais e de registro no relacionamento com seus prepostos, titulares de
dados e prestadores de serviços. Deverão ser promovidos treinamentos internos
para implementação da cultura de privacidade e proteção de dados pessoais (art.
16, caput), bem como viabilizar medidas de transparência aos titulares de dados
(art. 18, caput), incluindo canais eletrônicos específicos para atendimento das
requisições e/ou reclamações (art. 17, I).
No
tocante aos prestadores de serviços, a serventia deverá revisar e adequar às
normas todos os contratos que envolvam atividades de tratamento de dados
pessoais, considerando a responsabilização dos agentes de tratamento prevista
na lei (art. 8º, caput). Tal precaução inclui a elaboração de orientações e
procedimentos para as contratações futuras, no intuito de deixá-los em
conformidade com a lei de regência (art. 8º, V).
Como
pode ser visto até aqui, a minuta apresentada pela Corregedoria Nacional de
Justiça busca direcionar as serventias extrajudiciais ao cumprimento das
obrigações contidas da lei 13.709/18 - as quais, independentemente da
existência de ato do CNJ, já devem ser perseguidas pelos cartórios. Por esta
razão, os pontos elencados neste artigo dificilmente sofrerão alterações
substanciais na versão final do Provimento.
Os
delegatários preocupados com a adequação das suas atividades à Lei Geral de
Proteção de Dados Pessoais já possuem um excelente parâmetro para viabilização
do seu processo de conformidade. Afinal, a minuta já incorpora em seu texto o
espírito preventivo e protetivo da norma e traz elementos operacionais e
procedimentais alinhados à legislação vigente.
_____________
1 CONSELHO
NACIONAL DE JUSTIÇA. Edital de Abertura de Consulta Pública - Minuta de
Provimento sobre LGPD. Disponível em:
https://www.cnj.jus.br/wp-content/uploads/2022/02/edital-de-consulta-publica-provimento-lgpd-1.pdf.
Acesso em: 27 de mar. de 2022.
2 CONSELHO
NACIONAL DE JUSTIÇA. Minuta de Provimento sobre aplicação da LGPD pelas
serventias extrajudiciais. Disponível em:
https://www.cnj.jus.br/wp-content/uploads/2022/02/minuta-de-provimento-consultapublica.docx.
Acesso em: 27 de mar. de 2022.
3 Art.
5º, VII, LGPD: encarregado: pessoa indicada pelo controlador e operador para
atuar como canal de comunicação entre o controlador, os titulares dos dados e a
Autoridade Nacional de Proteção de Dados (ANPD).
4
Art. 41, caput, LGPD: o controlador deverá indicar encarregado pelo tratamento
de dados pessoais.
5 A
ANPD tem caminhado para regulamentar situações específicas de dispensa de
indicação de encarregado. A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022,
da Autoridade Nacional, estabeleceu em seu art. 11 a não obrigatoriedade de
nomeação de um encarregado por agentes de tratamento de pequeno porte, cuja definição
trazida no art. 2º, I, não engloba os serviços notariais e de registro. As
serventias extrajudiciais recebem, conforme art. 23, § 4º, da LGPD, o mesmo
tratamento dispensado à administração pública, ou seja, são obrigadas a indicar
encarregado, na forma do art. 23, III, da mesma Lei. A ANPD não expediu, até
então, qualquer regulamento que disponha o contrário.
6 O
Provimento nº 74/2018 da Corregedoria Nacional de Justiça dispõe sobre padrões
mínimos de tecnologia da informação para a segurança, a integridade e a
disponibilidade de dados para a continuidade da atividade pelos serviços
notariais e de registro. Em seu texto, as serventias extrajudiciais são
divididas em três classes, de acordo com a arrecadação semestral, para
definição de pré-requisitos para cumprimento dos padrões de segurança.
7
Art. 50, caput, LGPD: os controladores e operadores, no âmbito de suas
competências, pelo tratamento de dados pessoais, individualmente ou por meio de
associações, poderão formular regras de boas práticas e de governança que
estabeleçam as condições de organização, o regime de funcionamento, os
procedimentos, incluindo reclamações e petições de titulares, as normas de
segurança, os padrões técnicos, as obrigações específicas para os diversos
envolvidos no tratamento, as ações educativas, os mecanismos internos de
supervisão e de mitigação de riscos e outros aspectos relacionados ao
tratamento de dados pessoais.
8
Art. 37, caput, LGPD: o controlador e o operador devem manter registro das
operações de tratamento de dados pessoais que realizarem, especialmente quando
baseado no legítimo interesse.
9 O
tratamento de dados pessoais, conforme reza o art. 6º, III, da LGPD, deve ser
limitado ao mínimo necessário para a realização de suas finalidades, com
abrangência dos dados pertinentes, proporcionais e não excessivos em relação às
finalidades do tratamento de dados.
10 A
Lei nº 13.709/2018 elenca em seu art. 7º as hipóteses autorizadoras de
tratamento de dados pessoais. Dessa forma, as operações identificadas no mapeamento
deverão passar por controle de legalidade à luz das bases contidas na lei.
11
Art. 5º, XVII, LGPD: relatório de impacto à proteção de dados pessoais:
documentação do controlador que contém a descrição dos processos de tratamento
de dados pessoais que podem gerar riscos às liberdades civis e aos direitos
fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de
risco;
12 Autoridade
Nacional de Proteção de Dados (ANPD). Incidente de Segurança. Disponível em:
https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em: 27 de
mar. de 2022.
Daniel Ribeiro dos Santos: Advogado, sócio e coordenador
do núcleo de Proteção de Dados e Compliance do Chezzi Advogados, professor,
especialista em Direito Digital e Compliance pelo Ibmec - São Paulo.
Fonte: Migalhas
