Notícias

01/11/2022

“A jornada para a conformidade com a Lei Geral de Proteção de Dados é longa e complexa para os cartórios, que possuem bancos de dados volumosos”

Serjus-Anoreg/MG entrevista gestora e auditora em Segurança da Informação e Tecnologia Mirian Jabur

A mestre em Educação Tecnológica, consultora GRC – DPO Consultivo, vice-diretora na ANPPD® e gestora e auditora em Segurança da Informação e Tecnologia concedeu entrevista a Associação dos Notários e Registradores do Estado de Minas Gerais - Serjus-Anoreg/MG para falar sobre a Lei Geral de Proteção de Dados, o provimento 134 do CNJ e sua implicação para as serventias extrajudiciais.

Confira a entrevista na íntegra. 

 

Serjus-Anoreg/MG - O Provimento 134 do CNJ estabelece medidas a serem adotadas pelas serventias extrajudiciais em âmbito nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais (LGPD). Nesse sentido, quais modificações os cartórios devem fazer em suas estruturas para se adequarem à LGPD? 

Mirian Aparecida Esquárcio Jabur - A jornada para a conformidade com a Lei Geral de Proteção de Dados é longa e complexa para qualquer organização, mas sobretudo para os cartórios, que possuem bancos de dados volumosos. 

Assim, é fundamental entender de que forma a LGPD deve ser implementada a partir dos diversos requisitos trazidos pelo Provimento 134/2022. O art. 6º deste provimento traz os itens básicos que toda serventia deve possuir, e acredito que não seja necessário repetir tais itens aqui.

O que vale a pena destacar é que a adequação não deve ser algo desorganizado, um conjunto de tarefas desconexas. É recomendável desenvolver um Sistema de Gestão da Privacidade da Informação (SGPI), que mescle de maneira orgânica a parte documental e a parte prática (do cotidiano). O SGPI implica a existência de diretrizes para orientar a proteção de dados pessoais nos âmbitos jurídico, procedimental e tecnológico.

Outro aspecto fundamental para o SGPI é o desenvolvimento de uma cultura de proteção de dados na serventia. Não bastam atividades desconexas.  O provimento 134 é claro ao exigir um plano de treinamento contínuo de treinamentos, com atualização, reciclagem e integração de novos colaboradores. 

Por fim, mas não menos relevante, é preciso se atentar à gestão de terceiros. Não basta o cartório estar protegido se os fornecedores que têm acesso aos dados tratados não estiverem. Nesse sentido, o artigo 8º do Provimento 134 determina que seja realizada uma gestão de terceiros. Isso vai além do aspecto jurídico. Ao menos para os fornecedores de maior risco – isto é, que tratam mais dados ou que tratam dados sensíveis – é preciso exigir mais, por meio da verificação de evidências de adequação através de auditorias periódicas.

 

Serjus-Anoreg/MG - Qual a importância da LGPD para os usuários dos serviços extrajudiciais?

Mirian Aparecida Esquárcio Jabur – Nos últimos anos, mais dados são gerados diante do uso massivo da tecnologia como forma de diferencial competitivo. Tal realidade do mercado tem reflexos nos cartórios, tais como a exigência cada vez mais enfática de digitalização do acervo e a criação das centrais eletrônicas de serviços. 

Esse cenário é um claro indício de que, cada vez mais, os agentes de tratamento de dados devem atuar em suas atividades com responsabilidade e segurança. Afinal, o maior volume de tratamento de dados necessariamente traz mais risco aos direitos das pessoas.

Todos os dias  temos notícias de acesso indevido e roubo de dados em sistemas  de  informação de organizações de todos os tipos. Esses incidentes são gerados por ameaças internas (colaboradores) ou externas (hackers). Isso afeta não apenas as operações de tratamento, mas pode gerar sérios danos às pessoas cujos dados são vazados ou corrompidos.

Hoje, a proteção de dados é um direito fundamental previsto na Constituição Federal. A LGPD efetiva tal direito através de uma série de instrumentos, elencados principalmente em seu art. 18.

A implementação da LGPD nos cartórios é uma forma de garantir a efetividade dos direitos fundamentais das pessoas. E elas agora podem exercer seus direitos de maneira bastante prática, através de um Canal de Atendimento. 

Além disso, também ajuda na  segurança jurídica, pois as medidas de segurança permitem a conservação do acervo de maneira mais assertiva. Consequentemente, as pessoas têm mais razões para confiar na veracidade dos atos assentados.

 

Serjus-Anoreg/MG - O Provimento 134 traz também o mapeamento das atividades de tratamento e atualização anual do inventário de Dados Pessoais. Como as serventias poderão suceder nesse aspecto?

Mirian Aparecida Esquárcio Jabur – O mapeamento de dados é algo crucial para a plena conformidade à LGPD, pois permite entender o ciclo de vida dos dados pessoais em todas as atividades de tratamento de dados pessoais. 

O Provimento 134 prevê que o Inventário de Dados Pessoais é a atividade final do mapeamento dos dados pessoais. O IDP geralmente é uma planilha que apresenta a fotografia do uso dos dados na serventia.

Na realidade, existem diversas formas de executar o mapeamento dos dados, o qual pode ser feito de maneira manual, mediante o preenchimento de planilhas, ou com uso de ferramentas. Mas o formato não é o mais relevante.

O que realmente importa é a qualidade do IDP, que precisa ser detalhado, completo e expressar de maneira fidedigna as atividades de tratamento realizadas internamente, os compartilhamentos de dados externos e as medidas de segurança aplicadas em cada caso. 

A correta identificação das atividades de tratamento permite maior clareza na decisão sobre as medidas de segurança a serem adotadas, além de servir como subsídio para o atendimento aos direitos dos titulares de dados de maneira mais célere.

 

Serjus-Anoreg/MG - O texto inclui ainda o chamado “gap assessment” – avaliação das vulnerabilidades surgidas a partir do mapeamento. Como esse aspecto auxiliará as serventias garantirem a segurança dos dados dos usuários? 

Mirian Aparecida Esquárcio Jabur – Só é possível proteger aquilo que se conhece. A avaliação de vulnerabilidades é fundamental para identificar os riscos aos quais a serventia está exposta e, com isso, tomar decisões assertivas e eficazes para a proteção de dados.

Tal avaliação pode ser feita em conjunto com a atividade de mapeamento dos dados, que como visto pode se valer de ferramentas e softwares. 

Todavia, para que se consiga uma visão holística e fidedigna, é recomendável diversificar as ferramentas de mapeamento, valendo-se de questionários, entrevistas individuais, visitas de vistoria do ambiente e análise documental.

Além de cumprir o dever descrito no art. 12 do Provimento 134, tal análise é muito útil para aprimorar o SGPI como um todo. Afinal, seus resultados podem indicar a necessidade de adequações em processos e políticas. 

 

Fonte: Assessoria de Comunicação da Serjus-Anoreg/MG


•  Veja outras notícias