Daniel Ribeiro dos Santos
Os delegatários preocupados com a adequação das suas atividades à Lei Geral de Proteção de Dados Pessoais já possuem um excelente parâmetro para viabilização do seu processo de conformidade.
A lei 13.709/18, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), entrou em vigor em agosto de 2020 e estabeleceu uma série de obrigações a organizações públicas e privadas que, em suas atividades, realizam tratamento de dados pessoais. Por se tratar de uma norma geral com repercussão setorial, precisa ser objeto de implementações específicas que garantam seu cumprimento nas diversas esferas econômicas e governamentais, considerando a legislação e as peculiaridades de cada área.
Diante da necessidade de estabelecer parâmetros para adequação das serventias extrajudiciais à LGPD, a Corregedoria Nacional de Justiça do Conselho Nacional de Justiça (CNJ) tem trabalhado na elaboração de um provimento sobre o assunto. A minuta foi submetida à consulta pública aberta por meio de edital publicado em 8 de fevereiro de 20221 e recebeu sugestões até o dia 28 de fevereiro. O texto não apresenta inovações em relação ao da Lei 13.709/18, mas indica as diretrizes para aplicação prática, materializando comandos contidos no referido diploma legal2.
Como medida imediata a ser cumprida pelos cartórios, a minuta do Provimento determina a nomeação de um encarregado pelo tratamento de dados pessoais (art. 10), figura instituída pela LGPD3, cuja indicação pelo controlador, em regra, é obrigatória4.
Não obstante a existência de serventias extrajudiciais dos mais variados portes e responsáveis pelo tratamento de diferentes volumes de dados pessoais, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não estabeleceu regramento de dispensa de indicação de um encarregado pelos delegatários5. Por esta razão, o documento publicado pelo CNJ apresenta possibilidades específicas sobre o tema, de modo a viabilizar o atendimento da lei pelos serviços notariais e de registro das mais diversas realidades.
A minuta dispõe que serventias classificadas como "Classe I" e "Classe II" pelo Provimento nº 74/2018 da Corregedoria Nacional de Justiça6 poderão designar um encarregado de maneira conjunta (art. 10, § 1º). Os cartórios também poderão terceirizar o exercício da função mediante contratação de prestador de serviços ("Encarregado Externo" ou "DPO as a service"), seja pessoa física ou pessoa jurídica (art. 10, I).
Adicionalmente, o documento levado à consulta pública prevê que serventias de "Classe I" poderão ter a remuneração do encarregado subsidiada, ou integralmente paga, pelas entidades representativas de classe (art. 10, § 3º). Também é possível contratar um mesmo encarregado por cartórios de qualquer classe, desde que demonstrável a inexistência de conflito na cumulação de funções e na manutenção da qualidade dos serviços prestados (art. 10, § 4º).
O texto disponibilizado pela Corregedoria, ainda no tocante aos atores envolvidos na governança de dados nos cartórios, estabelece que as serventias de "Classe III" deverão contar com uma equipe de apoio multidisciplinar, composta ao menos por integrantes das áreas de tecnologia da informação, segurança da informação e jurídica (art. 10, § 2º). Essa equipe é equivalente ao Comitê Gestor de Proteção de Dados Pessoais, estrutura comumente criada pelos agentes de tratamento durante o seu processo de adequação à LGPD e que representa uma boa prática de governança na inteligência do art. 50 da Lei de Proteção de Dados7.
Além disso, o CNJ também apontou procedimentos técnicos para adoção pelas serventias rumo à conformidade às normas protetivas de dados. O texto estabelece a necessidade de se realizar um mapeamento das atividades de tratamento de dados pessoais (art. 7º, caput), a fim de identificar as operações realizadas com tais informações e viabilizar o registro, conforme preconiza a LGPD em seu art. 378.
Intitulado "inventário de dados pessoais" (art. 7º, § 1º), o produto desse processo jogará luz sobre os dados tratados e todas as operações a que estão sujeitos, tais como coleta, armazenamento, compartilhamento e descarte. Nele é preciso constar a categoria dos dados e dos titulares envolvidos, as formas de obtenção e coleta das informações, as finalidades do seu uso, bases legais autorizativas e tempo de retenção, bem como as hipóteses de compartilhamento com terceiros e eventual transferência internacional (art. 7º, § 1º, I).
A partir do mapeamento poderão ser trazidos à baila problemas em controles de acesso às informações, medidas de segurança inadequadas, dados tratados em excesso9 ou, até mesmo, uso de informações pessoais de forma ilegal10. Nesse sentido, os insumos coletados deverão ser aproveitados para análise de lacunas relacionadas à proteção de dados pessoais, cabendo às serventias a condução da avaliação das vulnerabilidades (gap assessment) encontradas (art. 7º, III).
O gap assessment preconizado pelo CNJ perseguirá a realização de ajustes de conformidade, a fim de tratar os riscos associados às vulnerabilidades encontradas no mapeamento, seja para conviver com eles, mitigá-los ou eliminá-los.
O texto apresentado também trata sobre o Relatório de Impacto à Proteção de Dados Pessoais11. Ele deve ser realizado nos atos em que o tratamento gere risco a direitos e liberdades fundamentais do titular, de acordo com as orientações expedidas pela ANPD (art. 11, caput), contendo a descrição de tais processos de tratamento, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Assim, sua elaboração em relação às atividades já realizadas pelo cartório depende da boa condução do mapeamento de dados, do gap assessment e da adoção das medidas de conformidade.
Os novos contratos ou convênios que venham a ser celebrados pelos responsáveis pelas serventias, por sua vez, deverão, nos casos aplicáveis, ser precedidos da elaboração da elaboração de Relatório de Impacto prévio à sua consolidação (art. 11, II).
O caminho da prestação dos serviços notariais e de registro, para o CNJ, envolve a adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou qualquer forma de tratamento inadequado ou ilícito (art. 12, caput). De acordo com a minuta publicada, tais medidas serão materializadas por meio da adoção de política de segurança da informação, com previsão de adoção de mecanismos de segurança - desde a concepção de novos produtos ou serviços e contendo o plano de resposta a incidentes de segurança com dados pessoais (art. 12, I).
O plano mencionado deverá prever a comunicação imediata do incidente ao controlador e a comunicação ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça do Estado ou do Distrito Federal, no prazo máximo de 24 horas. É preciso que haja detalhamento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados (art. 13, caput).
A minuta, porém, não traz previsão de informação do incidente à ANPD, indo de encontro ao que reza o art. 48 da LGPD. Tampouco leva em consideração que o mesmo artigo da norma não determina a comunicação de qualquer incidente, mas somente daqueles que possam acarretar risco ou dano relevante aos titulares. Ou seja, é preciso fazer uma análise desse potencial, para que o dever de comunicação não represente um esforço desproporcional às serventias extrajudiciais.
Assim, em linha com o que reza a própria legislação protetiva de dados pessoais, espera-se que a versão final do Provimento preveja a realização de um filtro prévio, sob a responsabilidade da própria serventia e a partir dos parâmetros estabelecidos pela ANPD, quanto aos incidentes que precisam ser comunicados.
Cumpre salientar, ainda, que a Autoridade Nacional recomenda, enquanto pendente a regulamentação do tema, que a comunicação seja feita no prazo de dois dias úteis, contados da data do conhecimento do incidente12. Aguarda-se que a Corregedoria, no documento definitivo, adote prazo alinhado ao da ANPD.
O texto apresentado também traz diretrizes aos responsáveis pelos serviços notariais e de registro no relacionamento com seus prepostos, titulares de dados e prestadores de serviços. Deverão ser promovidos treinamentos internos para implementação da cultura de privacidade e proteção de dados pessoais (art. 16, caput), bem como viabilizar medidas de transparência aos titulares de dados (art. 18, caput), incluindo canais eletrônicos específicos para atendimento das requisições e/ou reclamações (art. 17, I).
No tocante aos prestadores de serviços, a serventia deverá revisar e adequar às normas todos os contratos que envolvam atividades de tratamento de dados pessoais, considerando a responsabilização dos agentes de tratamento prevista na lei (art. 8º, caput). Tal precaução inclui a elaboração de orientações e procedimentos para as contratações futuras, no intuito de deixá-los em conformidade com a lei de regência (art. 8º, V).
Como pode ser visto até aqui, a minuta apresentada pela Corregedoria Nacional de Justiça busca direcionar as serventias extrajudiciais ao cumprimento das obrigações contidas da lei 13.709/18 - as quais, independentemente da existência de ato do CNJ, já devem ser perseguidas pelos cartórios. Por esta razão, os pontos elencados neste artigo dificilmente sofrerão alterações substanciais na versão final do Provimento.
Os delegatários preocupados com a adequação das suas atividades à Lei Geral de Proteção de Dados Pessoais já possuem um excelente parâmetro para viabilização do seu processo de conformidade. Afinal, a minuta já incorpora em seu texto o espírito preventivo e protetivo da norma e traz elementos operacionais e procedimentais alinhados à legislação vigente.
_____________
1 CONSELHO NACIONAL DE JUSTIÇA. Edital de Abertura de Consulta Pública - Minuta de Provimento sobre LGPD. Disponível em: https://www.cnj.jus.br/wp-content/uploads/2022/02/edital-de-consulta-publica-provimento-lgpd-1.pdf. Acesso em: 27 de mar. de 2022.
2 CONSELHO NACIONAL DE JUSTIÇA. Minuta de Provimento sobre aplicação da LGPD pelas serventias extrajudiciais. Disponível em: https://www.cnj.jus.br/wp-content/uploads/2022/02/minuta-de-provimento-consultapublica.docx. Acesso em: 27 de mar. de 2022.
3 Art. 5º, VII, LGPD: encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
4 Art. 41, caput, LGPD: o controlador deverá indicar encarregado pelo tratamento de dados pessoais.
5 A ANPD tem caminhado para regulamentar situações específicas de dispensa de indicação de encarregado. A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, da Autoridade Nacional, estabeleceu em seu art. 11 a não obrigatoriedade de nomeação de um encarregado por agentes de tratamento de pequeno porte, cuja definição trazida no art. 2º, I, não engloba os serviços notariais e de registro. As serventias extrajudiciais recebem, conforme art. 23, § 4º, da LGPD, o mesmo tratamento dispensado à administração pública, ou seja, são obrigadas a indicar encarregado, na forma do art. 23, III, da mesma Lei. A ANPD não expediu, até então, qualquer regulamento que disponha o contrário.
6 O Provimento nº 74/2018 da Corregedoria Nacional de Justiça dispõe sobre padrões mínimos de tecnologia da informação para a segurança, a integridade e a disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro. Em seu texto, as serventias extrajudiciais são divididas em três classes, de acordo com a arrecadação semestral, para definição de pré-requisitos para cumprimento dos padrões de segurança.
7 Art. 50, caput, LGPD: os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
8 Art. 37, caput, LGPD: o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
9 O tratamento de dados pessoais, conforme reza o art. 6º, III, da LGPD, deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
10 A Lei nº 13.709/2018 elenca em seu art. 7º as hipóteses autorizadoras de tratamento de dados pessoais. Dessa forma, as operações identificadas no mapeamento deverão passar por controle de legalidade à luz das bases contidas na lei.
11 Art. 5º, XVII, LGPD: relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
12 Autoridade Nacional de Proteção de Dados (ANPD). Incidente de Segurança. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em: 27 de mar. de 2022.
Daniel Ribeiro dos Santos: Advogado, sócio e coordenador do núcleo de Proteção de Dados e Compliance do Chezzi Advogados, professor, especialista em Direito Digital e Compliance pelo Ibmec - São Paulo.
Fonte: Migalhas