Espera-se que a
Comissão de Proteção de Dados atue com diligência para expedição de diretrizes
complementares e fornecimento dos insumos pertinentes para a adequação dos
cartórios.
Por se tratar de uma
norma geral com repercussão setorial, a lei 13.709/18, conhecida como Lei Geral
de Proteção de Dados Pessoais (LGPD), ainda carecia de uma determinação específica
para ser aplicada, em nível nacional, nas serventias extrajudiciais. Alguns
meses desde a consulta pública realizada pela Corregedoria Nacional de
Justiça1, o órgão - ligado ao Conselho Nacional de Justiça (CNJ) - finalmente
publicou o Provimento 134/22, que estabelece os parâmetros a serem seguidos
pelos cartórios de todo o país.
O documento
materializa diversos comandos contidos na LGPD, corrige falhas pontuais da
versão publicada preliminarmente2 e pacifica questões controversas presentes em
provimentos estaduais. Por outro lado, ainda deixa algumas dúvidas sobre
procedimentos elencados em sua redação.
Este artigo busca
elucidar os principais pontos de atenção do novo marco normativo para os
cartórios brasileiros, bem como trazer reflexões acerca da sua compatibilidade
com o cenário de proteção de dados no país.
1. Governança de
dados pessoais e cultura organizacional protetiva
O Provimento 134/22
desenha um mapa a ser seguido para a governança de dados pessoais nas
serventias extrajudiciais, estabelecendo procedimentos técnicos e medidas a
serem adotas para concretizar o espírito protetivo da LGPD. Ao longo do texto,
é possível perceber preocupações vinculadas à segurança dos dados pessoais, à
transparência das atividades de tratamento, ao exercício de direitos dos
titulares e à proteção dos próprios cartórios.
O art. 6º, por
exemplo, elenca uma série de providências essenciais, tais como a implementação
de medidas técnicas e administrativas de segurança para proteger os dados
pessoais de acessos não autorizados ou de tratamentos inadequados ou ilícitos,
a formulação de uma Política Interna de Privacidade e Proteção de Dados, bem
como a revisão de contratos com prestadores de serviços e o treinamento de
prepostos do agente delegado.
O conjunto de ações
preconizadas pelo CNJ forma um programa de governança de dados pessoais.
Para segui-lo da forma devida, as serventias precisarão reformular os processos
internos, mudar condutas, aperfeiçoar tecnologias e controles, realizar um
aprimoramento contínuo da equipe e monitorar permanentemente a eficácia
das providências implementadas.
Com isso, cria-se um
paradigma para os cartórios, focado na consolidação de uma cultura de proteção
dos dados pessoais para todos os serviços prestados. Até mesmo porque, a partir
da edição do Provimento, o assunto passa a compor definitivamente o temário a
ser fiscalizado pelas corregedorias no âmbito notarial e registral.
Dada a importância do
tema, foi criada a Comissão de Proteção de Dados da Corregedoria Nacional
(CPD/CN/CNJ). O órgão tem caráter consultivo, sendo responsável por propor
diretrizes para aplicação, interpretação e adequação das serventias à LGPD,
seja de forma espontânea ou mediante provocação pelas associações (art. 3º).
2. Quem liderará o
processo de adequação no cartório?
Conforme dispõe o
art. 4º do Provimento e na inteligência do art. 5º, VI, da LGPD3, os
delegatários, interventores ou interinos, são controladores no exercício da
atividade típica registral ou notarial, aos quais competem as decisões
referentes ao tratamento de dados pessoais. Apesar disso, não estão sozinhos na
jornada de adequação do cartório, contando com a ajuda do encarregado pelo
tratamento de dados. Essa figura foi instituída pela LGPD4, sendo responsável
por atuar não só como canal de comunicação entre o agente delegado, titulares
dos dados e autoridades, como também na liderança da implementação de medidas
rumo à conformidade à lei 13.709/18.
O Provimento
determina a nomeação de um encarregado (art. 10), uma vez que sua indicação
pelo controlador, em regra, é obrigatória5. Não obstante a existência de
serventias extrajudiciais dos mais variados portes e com diferentes volumes de
dados pessoais tratados, a Autoridade Nacional de Proteção de Dados (ANPD)
ainda não estabeleceu um regramento para dispensa de indicação do encarregado
pelos delegatários6.
As serventias poderão
designar um encarregado de maneira conjunta7, bem como terceirizar o exercício
da função mediante contratação de um prestador de serviços ("Encarregado
Externo" ou "DPO as a service"), seja pessoa física ou
jurídica8. Adicionalmente, o Provimento prevê que os cartórios poderão ter a
remuneração do encarregado subsidiada ou custeada pelas entidades
representativas de classe.
Importante pontuar
que não há óbice para contratação de um mesmo encarregado por cartórios de
qualquer classe9, conforme assegura o art. 10, § 3º, desde que demonstrável a
inexistência de conflito na cumulação de funções e na manutenção da qualidade
dos serviços prestados.
3. Lacuna deixada na
estrutura de governança de dados
O art. 10, § 2º, do
texto disponibilizado pela Corregedoria para consulta pública, indicava que as
serventias de "Classe III" deveriam contar com uma equipe de apoio
multidisciplinar para governança dos dados, composta, ao menos, por integrantes
das áreas de tecnologia da informação, segurança da informação e jurídica. Esse
time seria equivalente ao Comitê Gestor de Proteção de Dados Pessoais,
estrutura comumente criada pelos agentes de tratamento durante o processo de
adequação à LGPD e que representaria uma boa prática de governança em compasso
com o art. 50 da Lei de Proteção de Dados Pessoais10.
Os processos de
mapeamento de dados, de avaliação das vulnerabilidades do cartório e de
elaboração de relatórios de impacto seriam facilitados com a implementação de
uma equipe multidisciplinar, atuando ao lado do encarregado na proposição de
boas práticas e na identificação de medidas de conformidade dentro da
serventia, sobretudo nas de Classe III. Infelizmente, a menção a esse time foi
retirada da versão final do Provimento. Restou a citação a uma eventual equipe
de apoio ao encarregado no art. 16, IV11, jogando para segundo plano,
inoportunamente, a importância desse grupo na jornada de adequação.
A ausência de uma
estrutura como a mencionada poderá demandar mais tempo e gerar dificuldades
técnicas na implementação de ações de conformidade nos cartórios. A existência
de determinação para criação de um comitê de proteção de dados nos cartórios
maiores, inclusive, serviria de inspiração para adoção da mesma estrutura por
serventias menores, guardadas as devidas proporções.
4. Mapeamento das
atividades de tratamento e atualização anual do inventário de dados
Um dos procedimentos
técnicos previstos no Provimento é o mapeamento das atividades de tratamento de
dados pessoais, previsto no art. 7º. Ele permitirá a identificação dos dados
pessoais e do seu ciclo de vida dentro da serventia, incluindo todas as
operações a que estão sujeitos, tais como coleta, armazenamento,
compartilhamento e descarte.
Intitulado
"inventário de dados pessoais", o produto desse processo conterá,
conforme art. 7º, § 1º, I:
A redação do
documento consolida a nomenclatura do procedimento mencionado no art. 7º como
"mapeamento de dados pessoais". No esforço de expedir diretrizes
sobre a adequação dos cartórios à LGPD, várias corregedorias estaduais
publicaram provimentos sobre o tema. Algumas delas vinham se referindo ao
mapeamento como "sistema de controle de fluxo", embora não exista um
termo similar na LGPD ou nos documentos da ANPD. Na prática, ambos os nomes se
referem ao ato de identificar, registrar e sistematizar as atividades
que envolvem informações pessoais, conforme preconiza a LGPD no art. 3712.
O mapeamento de dados
pessoais deverá, de acordo com o art. 7º, § 1º, V, ser atualizado anualmente
ou sempre que for necessário, exigindo um trabalho contínuo de monitoramento da
governança de dados pessoais da serventia. Alterações em processos internos e
na estrutura organizacional, bem como mudanças de ordem legal ou regulatória,
por exemplo, poderão dar causa ao incremento do inventário de dados.
5. Avaliação de
riscos e impacto do tratamento de dados
A partir do
mapeamento poderão ser trazidos à baila problemas nos controles de acesso às
informações, nas medidas de segurança adotadas, no volume de dados tratados13
ou, até mesmo, na legalidade no uso de informações pessoais14. Nesse sentido,
os insumos coletados deverão ser aproveitados para análise de lacunas
relacionadas à proteção dos dados, cabendo à serventia conduzir a avaliação das
vulnerabilidades (gap assessment) encontradas.
O gap assessment
- preconizado no art. 7º, III - perseguirá a realização de ajustes de
conformidade, a fim de tratar os riscos associados às vulnerabilidades
encontradas no mapeamento, seja para conviver com eles, mitigá-los ou
eliminá-los.
O texto publicado
também trata sobre o Relatório de Impacto à Proteção de Dados Pessoais
(RIPD)15. Ele deve ser realizado nas atividades em que o tratamento possa gerar
riscos a direitos e liberdades fundamentais do titular, de acordo com as
orientações da ANPD. Seu conteúdo deve conter a descrição de tais processos de
tratamento, bem como as medidas, salvaguardas e mecanismos de mitigação dos
riscos. Assim, sua elaboração depende da boa condução do mapeamento de dados,
do gap assessment e da adoção das medidas de conformidade.
O capítulo VI do
documento do CNJ, diferente do que foi visto em muitos provimentos estaduais,
detalha algumas instruções para elaboração do RIPD. Ele indica, por exemplo,
que o Relatório deve ser formulado previamente à pactuação de contrato ou
convênio e à adoção de novos procedimentos ou tecnologias pelo cartório.
O texto deixa
dúvidas, entretanto, no tocante à possibilidade franqueada aos afetados pelo
tratamento, a título de transparência, de se manifestarem sobre o conteúdo do RIPD
(art. 11, III). Não está evidente o tipo de manifestação, nem a extensão,
objetivamente, da sua influência no Relatório.
Os parágrafos 2º16 e
3º17 do art. 11 trazem a possibilidade de a CPD/CN/CNJ padronizar modelos de
RIPD para as serventias. Espera-se que a disponibilização dos templates
venha acompanhada de uma pormenorização das diretrizes em relação à confecção
dos documentos.
6. Atenção ao uso do
conceito de "operador"
Um erro comum em
alguns provimentos estaduais foi o enquadramento dos prepostos do delegatário
como operador. Os funcionários do agente delegado (controlador), contudo, não
são operadores - eles apenas atuam sob seu poder diretivo.
O art. 5º do
Provimento, acertadamente, indica que o operador é a pessoa natural ou
jurídica, de direito público ou privado, externa ao quadro funcional da
serventia, contratada para serviço que envolva o tratamento de dados pessoais
em nome do controlador.
Esse entendimento
coaduna com o manifestado pela ANPD no "Guia Orientativo para Definições
dos Agentes de Tratamento de Dados Pessoais e do Encarregado"18. Segundo o
documento, o operador será sempre uma pessoa distinta do controlador, isto é,
que não atua como profissional subordinado a este. Por esta razão, deve-se
evitar a confusão dessas figuras - preposto do controlador e operador. Os
modelos de contratação são diferentes, assim como o regime de responsabilização
previsto na LGPD.
O operador responde
solidariamente pelos danos causados pelo tratamento quando descumprir as
obrigações da legislação ou quando não tiver seguido as instruções lícitas do
controlador - hipótese em que o operador se equipara ao controlador19. Já os
prepostos do controlador, uma vez que não são tecnicamente agentes de
tratamento, não respondem diretamente pelo dano. Com isso, o controlador é quem
será obrigado a repará-lo20.
Apesar do acerto na
conceituação realizada no art. 5º, o texto final do Provimento manteve a
confusão relacionada à menção ao operador no art. 16, V21. Aparentemente se
trata de erro na redação, uma vez que o capítulo VIII se dedica ao treinamento
dos prepostos do agente delegado que, como já visto anteriormente, não são
agentes de tratamento, muito menos, operadores.
Por outro lado,
pode-se interpretar que há um comando para que os cartórios também capacitem os
prestadores externos ao quadro funcional da serventia. Tal medida não seria uma
prática desaconselhada, ainda mais ao se considerar o dever de orientação do
operador pelo controlador.
Caberá à CPD/CN/CNJ,
se não houver alteração no texto do Provimento que esclareça os pontos
mencionados, a definição da melhor interpretação do conteúdo do art. 16, V.
7. Unificação do
prazo de comunicação de incidentes de segurança
Outro ponto
controverso nos provimentos estaduais foi a comunicação de incidentes a
autoridades. Em sua maioria, os textos determinavam que o juiz corregedor
permanente e a Corregedoria-Geral da Justiça deveriam ser informados em, no
máximo, 24 horas. A ANPD, por sua vez, recomenda, enquanto pendente a
regulamentação do tema, que a comunicação seja feita no prazo de dois dias
úteis, contados da data do conhecimento do incidente22.
As diretrizes
expedidas pelas corregedorias dos estados, em regra, também não elencavam a
Autoridade Nacional como um dos destinatários da comunicação e não faziam a
ressalva de que a lei 13.709/18 determina apenas a informação de eventos que
possam acarretar riscos ou danos relevantes aos titulares.
A versão definitiva
do Provimento resolve os problemas mencionados, uma vez que o art. 13 determina
a comunicação de incidentes de segurança à ANPD, ao juiz corregedor permanente
e à Corregedoria-Geral da Justiça, desde que possam acarretar risco ou dano
relevante aos titulares. O prazo estipulado passou a ser o de 48 horas úteis,
contados a partir do conhecimento do caso.
Salienta-se a
importância de realizar uma apuração prévia para atestar a efetiva ocorrência
do incidente, sendo esta investigação preliminar o procedimento que consolida,
de fato, o conhecimento sobre o evento. Ademais, é esse exame que permitirá a
reunião das informações que devem ser comunicadas às autoridades mencionadas no
art. 13.
*
É relevante o passo
dado pelo Poder Judiciário ao editar o dispositivo analisado neste artigo, uma
vez que demonstra responsabilidade e preocupação com o assunto. Apesar de ainda
possuir pontos de melhoria, a norma já traz medidas práticas e alinhadas ao
espírito preventivo e protetivo da legislação em vigor, representando um
excelente parâmetro para uniformização de condutas no sistema extrajudicial
brasileiro.
As serventias terão o
prazo de 180 dias para entrarem em conformidade às disposições contidas no
Provimento, mesmo tempo dado às corregedorias estaduais para que promovam a
adequação das normas locais que contrariarem as regras e diretrizes constantes
no ato do CNJ.
Espera-se, agora, que a Comissão de Proteção de Dados atue com diligência para expedição de diretrizes complementares e fornecimento dos insumos pertinentes para a adequação dos cartórios.
*Daniel Ribeiro dos
Santos é advogado, sócio e coordenador do núcleo de Proteção de Dados e
Compliance do Chezzi Advogados, professor, especialista em Direito Digital e
Compliance pelo Ibmec - São Paulo.
Fonte: Migalhas
