Acompanhamento das ações de
fornecedores e prestadores de serviço permite um salto qualitativo na
governança de dados.
A lei 13.709/18 - conhecida
como Lei Geral de Proteção de Dados Pessoais ou LGPD - adotou um espírito
protetivo em relação às informações das pessoas naturais e exigiu ao agente de
tratamento um esforço para prevenção de danos[1]. Com isso, estabeleceu-se um
claro regime de responsabilização, no qual o agente que causar dano
patrimonial, moral, individual ou coletivo a outrem, em violação à legislação
sobre o tema, é obrigado a repará-lo[2].
Esse regime, contudo, impôs ao
controlador[3] o protagonismo na reparação dos danos causados, afinal, as
decisões referentes à utilização de informações pessoais competem a ele,
incluindo a expedição de instruções aos operadores[4] que as tratam em seu
nome. Conforme esclareceu a Autoridade Nacional de Proteção de Dados (ANPD), as
responsabilidades e obrigações do controlador e do operador são distintas, pois
são determinadas conforme o papel exercido por cada um no âmbito do tratamento
de dados[5].
O art. 42, § 1º, inciso I, da
lei 13.709/18, indica que o operador responde solidariamente pelos danos causados
pelo tratamento quando descumprir as obrigações da legislação de proteção de
dados ou quando não tiver seguido as instruções lícitas do controlador. Ou
seja, a responsabilidade solidária do operador é uma excepcionalidade. Em
regra, quem deve reparar os danos causados pelo tratamento de dados é o
controlador.
1. A relação entre o
delegatário e seus operadores
Os serviços notariais e de
registro são exercidos, respectivamente, por notários (tabeliães) e por
oficiais de registro (registradores), a partir de uma delegação estatal[6].
Eles se enquadram, no contexto da LGPD, na posição de controlador, conforme já pacificado
pela Corregedoria Nacional do Conselho Nacional de Justiça (CNJ) no Provimento
134/22[7], em alinhamento com o entendimento manifestado pela ANPD[8].
Para viabilizar suas funções,
esses profissionais gerenciam administrativa e financeiramente suas respectivas
serventias, uma atividade de sua responsabilidade exclusiva[9]. Esse
gerenciamento abarca, além da admissão de colaboradores para atuarem como
prepostos do delegatário, a contratação de pessoas naturais ou jurídicas
externas ao quadro funcional da serventia, como fornecedores e prestadores de
serviço, para que viabilizem o suporte às suas atividades finalísticas. Isso
engloba profissionais de TI, escritórios de contabilidade, sistemas, assessoria
jurídica e plataformas de arquivamento em nuvem, por exemplo.
Caso algum fornecedor ou
prestador realize o tratamento de informações pessoais em nome e por ordem do
delegatário, será enquadrado na condição de operador[10]. Essa questão
independe da fase do ciclo de vida dos dados na qual ele tenha participação,
não importando se for na coleta, na retenção, no processamento, no
compartilhamento ou na eliminação.
Como consequência, o
responsável pela serventia deverá se assegurar de que os terceiros contratados
estejam em conformidade com a LGPD e sigam as suas instruções lícitas[11],
consignando responsabilidades a partir da inclusão de cláusulas de proteção de
dados nos instrumentos contratuais que regulam a relação entre as partes[12].
Considerando que o operador
responderá por danos apenas em situações excepcionais e de forma solidária ao
controlador, é natural que o delegatário tenha que aferir a confiabilidade dos
seus fornecedores e prestadores de serviço.
Por isso, o Provimento 134/22
estabelece ao responsável pelo cartório a adoção, entre outras medidas, de
procedimentos de auditoria regulares para realizar a gestão de terceiros com
quem houver o compartilhamento de dados[13]. Tais procedimentos buscam garantir
que o tratamento executado pelo operador ocorra de forma segura e adequada,
atestando se este possui capacidade técnica e organizacional para propiciar a
proteção de informações pessoais contra usos inadequados ou ilícitos.
É altamente recomendável que a
realização de auditorias seja estendida a todos os fornecedores e prestadores
de serviço que tratem dados em nome do delegatário, independente da fase do
ciclo de vida em que atuem, ou seja, ainda que determinado operador não tenha
recebido informações compartilhadas pelo delegatário, mas as tenha coletado,
processado, reproduzido ou mesmo eliminado em seu nome.
Cumpre pontuar que a análise
sistêmica da LGPD e do Provimento 134/22 do CNJ permite compreender a
prerrogativa do controlador de auditar seus operadores. Todavia, é
imprescindível que a previsão de realização das auditorias e da sua
periodicidade seja consignada em contrato, de modo a assegurar o entendimento
em torno do tema e a cooperação entre as partes envolvidas.
2. Incorporação da cultura
de auditoria na governança de dados
Para implementar e gerir bem as
auditorias, o primeiro passo é garantir que a serventia possua uma governança
de dados instaurada e adequada às normas protetivas. Assim, será possível
adotar os níveis de conformidade existentes no cartório como parâmetros mínimos
a serem exigidos aos operadores.
Também é fundamental a
existência de um encarregado de dados devidamente nomeado e conhecedor das
obrigações inerentes a cada tipo de agente de tratamento. Caberá à pessoa
indicada o papel de articular e conduzir o processo de auditagem junto ao
representante do operador.
Além disso, o estabelecimento
da auditoria deverá ser precedido da criação de procedimentos claros,
devidamente sistematizados e manualizados, com a definição de papéis,
periodicidade, prazos e, sobretudo, dos elementos e documentos que serão verificados.
Esses itens devem ser informados ao operador e detalhados quando da convocação
para a auditoria, seja por meio de reunião específica com tal finalidade e/ou
de documento descritivo.
São consideradas como boas
práticas a realização de capacitações para os operadores sobre proteção de
dados e sobre a gestão que o cartório faz do tema, bem como o encaminhamento de
materiais informativos, facilitando a compreensão dos fornecedores e
prestadores sobre o sentido e a importância das auditorias.
3. O que deve ser apurado na
auditoria?
Uma auditoria sólida perpassa
pela formulação de questionamentos e pela solicitação de acesso aos
instrumentos que comprovem a regularidade da governança de dados praticada pelo
operador. É essencial que o contratado seja questionado sobre a existência de
um encarregado, solicitando a indicação do nome e do contato para comunicação -
salvo se o operador se enquadrar nas situações em que a Resolução CD/ANPD 2/22
dispensa sua nomeação[14].
Também deverá ser averiguada a
implementação de instrumentos como políticas de privacidade e de segurança da
informação, canais de transparência e atendimento a titulares e autoridades e
plano de resposta a incidentes, bem como o mapeamento e o registro das
operações de tratamento efetuadas, sobretudo, daquelas realizadas para
atendimento ao contrato firmado com o delegatário.
A auditoria investigará, ainda,
a existência de treinamentos periódicos aos colaboradores, para todos os níveis
da organização e comprováveis mediante certificados nominais, fotos, vídeos e
listas de presença.
Durante o processo, é
fundamental que sejam solicitadas informações sobre os ativos envolvidos no
tratamento de dados e as medidas técnicas e administrativas adotadas pelo
operador para proteger as informações pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação
ou difusão[15].
Considerando que o controlador
é responsável por toda a cadeia do tratamento realizado em seu nome,
recomenda-se que seja verificada a existência de suboperadores[16] e de
cláusulas nos contratos firmados entre o operador e seus fornecedores e
prestadores de serviço que disciplinem o tratamento de dados e a alocação de
responsabilidades. Essa verificação poderá se estender à investigação de
eventuais desconformidades praticadas por esses integrantes da cadeia.
É importante que o operador
seja avisado de que o encarregado da serventia poderá requisitar, a qualquer
tempo da auditoria, a comprovação de todas as informações prestadas. Essa é uma
forma de concretizar o princípio da accountability, que exige que o agente de
tratamento seja capaz de demonstrar a adoção de medidas e boas práticas
protetivas de dados pessoais[17].
Após a recepção das informações
e da documentação pertinentes, o encarregado do cartório poderá conduzir uma
entrevista com o representante do operador para conferir os insumos fornecidos
e coletar subsídios adicionais. Na persistência de dúvidas ou se houver a
necessidade de uma vistoria presencial, recomenda-se que esta seja articulada
pelo encarregado junto ao representante do contratado.
4. Resultado e
repercussão das verificações
A auditoria proporcionará um
diagnóstico da governança de dados efetuada pelo fornecedor ou prestador de
serviço e, assim, permitirá que o cartório direcione instruções ao contratado,
de forma que este promova as medidas pertinentes à sua adequação aos mesmos
níveis de proteção exigidos das serventias.
As informações obtidas poderão
ser consolidadas pelo encarregado em um relatório, contendo as inadequações
encontradas e a indicação de medidas corretivas. Após a aprovação do
delegatário, o documento poderá ser encaminhado ao operador, com a estipulação
de um prazo para que sejam promovidos os ajustes sugeridos.
Caso, eventualmente, seja
alegada pelo contratado a existência de segredos comerciais e industriais para
restringir o acesso da serventia a informações, caberá ao encarregado analisar,
em conjunto com o delegatário, o impacto da ausência dos insumos na
confiabilidade do operador. A mesma análise deve ser feita caso as medidas
sugeridas no relatório da serventia não sejam adotadas pelo contratado.
O processo de auditoria
propicia um reforço à posição do controlador frente ao operador, sobretudo da
prerrogativa do primeiro exigir do segundo a concretização dos compromissos
assumidos contratualmente para o uso seguro dos dados pessoais. Caso haja abalo
na confiança em relação à capacidade do contratado assegurar a efetivação dos
compromissos, a continuidade da relação contratual entre as partes pode ser
revisada - considerando a responsabilidade que recai sobre o controlador.
Nesse sentido, os fornecedores
e prestadores de serviços precisam compreender e acompanhar os novos paradigmas
normativos aos quais as serventias estão sujeitas. A manutenção de uma boa
interação comercial requer atualização de condutas e de procedimentos, novas
parametrizações e a garantia de um patamar ainda maior de segurança de
informações pessoais.
A realização de auditorias nos
operadores é um passo relevante rumo à maturidade da governança de dados nas
serventias extrajudiciais, pois permite uma gestão adequada de toda a cadeia de
tratamento e aumenta a capacidade de promoção ágil e concreta de medidas de
conformidade. Incorporar esse procedimento ao programa de privacidade do
cartório, além de viabilizar o seu alinhamento aos preceitos da LGPD e do
Provimento 134/22 do CNJ, propiciará um salto qualitativo na prestação dos
serviços notariais e de registro.
----------
[1] LGPD: "Art. 6º.
As atividades de tratamento de dados pessoais deverão observar a boa-fé e os
seguintes princípios: (...) VIII - prevenção: adoção de medidas para prevenir a
ocorrência de danos em virtude do tratamento de dados pessoais".
[2] LGPD: "Art. 42.
Em razão do exercício de atividade de tratamento de dados pessoais, causar a
outrem dano patrimonial, moral, individual ou coletivo, em violação à
legislação de proteção de dados pessoais, é obrigado a repará-lo".
[3] LGPD: "Art. 5º.
Para os fins desta Lei, considera-se: (...) VI - controlador: pessoa natural ou
jurídica, de direito público ou privado, a quem competem as decisões referentes
ao tratamento de dados pessoais".
[4] LGPD: "Art. 5º.
Para os fins desta Lei, considera-se: (...) VII - operador: pessoa natural ou
jurídica, de direito público ou privado, que realiza o tratamento de dados
pessoais em nome do controlador".
[5] Autoridade Nacional de
Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de
Tratamento de Dados Pessoais e do Encarregado, p. 18. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf. Acesso em: 11 de mar. de 2023.
[6] Constituição Federal:
"Art. 236. Os serviços notariais e de registro são exercidos em caráter
privado, por delegação do Poder Público". Lei nº 8.935/1994: "art.
3º. Notário, ou tabelião, e oficial de registro, ou registrador, são
profissionais do direito, dotados de fé pública, a quem é delegado o exercício
da atividade notarial e de registro".
[7] Provimento nº
134/2022, CNJ: "Art. 4º. Os responsáveis pelas delegações dos serviços
extrajudiciais de notas e de registro, na qualidade de titulares das
serventias, interventores ou interinos, são controladores no exercício da
atividade típica registral ou notarial, a quem compete as decisões referentes
ao tratamento de dados pessoais".
[8] Autoridade Nacional de
Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de
Tratamento de Dados Pessoais e do Encarregado, p. 11. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf. Acesso em: 11 de mar. de 2023.
[9] Art. 21, Lei nº
8.935/1994: "O gerenciamento administrativo e financeiro dos serviços
notariais e de registro é da responsabilidade exclusiva do respectivo titular,
inclusive no que diz respeito às despesas de custeio, investimento e pessoal,
cabendo-lhe estabelecer normas, condições e obrigações relativas à atribuição
de funções e de remuneração de seus prepostos de modo a obter a melhor
qualidade na prestação dos serviços".
[10] Provimento nº
134/2022 do CNJ: "Art. 5º. O operador, a que se refere o art. 5º da LGPD,
é a pessoa natural ou jurídica, de direito público ou privado, externa ao
quadro funcional da serventia, contratada para serviço que envolva o tratamento
de dados pessoais em nome e por ordem do controlador".
[11] Art. 39, LGPD:
"O operador deverá realizar o tratamento segundo as instruções fornecidas
pelo controlador, que verificará a observância das próprias instruções e das
normas sobre a matéria".
[12] Provimento nº
134/2022 do CNJ: "Art. 6º. Na implementação dos procedimentos de
tratamento de dados, o responsável pela serventia extrajudicial deverá
verificar o porte da sua serventia e classificá-la, de acordo com o Provimento
n. 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça (Classe I,
II ou III), e observadas as regulamentações da Autoridade Nacional de Proteção
de Dados ("ANPD"), fazer a adequação à legislação de proteção de
dados conforme o volume e a natureza dos dados tratados, e de forma
proporcional à sua capacidade econômica e financeira para aporte e custeio de
medidas técnicas e organizacionais, adotar ao menos as seguintes providências:
(...) VIII - zelar para que terceiros contratados estejam em conformidade com a
LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação
para que incluam previsões sobre proteção de dados pessoais".
[13] Provimento nº
134/2022 do CNJ: "Art. 8º. A serventia deverá revisar e adequar todos os
contratos que envolvam as atividades de tratamento de dados pessoais às normas
de privacidade e proteção de dados pessoais, considerando a responsabilização
dos agentes de tratamento prevista na lei, observando os seguintes
procedimentos: (...) VI - criar procedimentos de auditoria regulares para
realizar a gestão de terceiros com quem houver o compartilhamento de dados
pessoais".
[14] A ANPD tem
regulamentado situações específicas para dispensa de indicação de encarregado.
A Resolução CD/ANPD 2, de 27 de janeiro de 2022, por exemplo, estabeleceu em
seu art. 11 a não obrigatoriedade de nomeação de um encarregado por agentes de
tratamento de pequeno porte.
[15] Ainda que o agente de
tratamento esteja na posição de operador, o art. 46, caput, da LGPD, a este
atribui o dever de adotar medidas de segurança técnicas e administrativas para
proteger os dados pessoais de acessos não autorizados e de situações acidentais
ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de
tratamento inadequado ou ilícito.
[16] De acordo com a ANPD,
no Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais
e do Encarregado (pp. 19 e 20), o suboperador é aquele contratado pelo operador
para auxiliá-lo a realizar o tratamento de dados pessoais em nome do
controlador. A relação direta do suboperador é com o operador e não com o
controlador. Porém, conforme preconiza a Autoridade Nacional, independentemente
dos arranjos institucionais entre operador e suboperador, para efeitos da LGPD,
ambos podem desempenhar, a depender do caso concreto, a função de operador.
[17] LGPD: "Art. 6º.
As atividades de tratamento de dados pessoais deverão observar a boa-fé e os
seguintes princípios: (...) X - responsabilização e prestação de contas:
demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar
a observância e o cumprimento das normas de proteção de dados pessoais e,
inclusive, da eficácia dessas medidas".
Daniel Ribeiro dos Santos é advogado, sócio e coordenador do núcleo de Proteção de
Dados e Compliance do Chezzi Advogados, professor, especialista em Direito
Digital e Compliance pelo Ibmec - São Paulo.
Fonte: Migalhas