O Provimento nº 74/2018, editado pelo Conselho Nacional de Justiça, dispõe acerca dos padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil.
Tal provimento foi editado, supostamente, visando a modernização dos cartórios brasileiros, mas, tem como efeito colateral o ônus excessivo aos cartorários, bem como a exposição do usuário a riscos incalculáveis.
Conforme se apresenta, o texto normativo é apenas um check-list, sem definir expressamente as medidas a serem tomadas a fim de supostamente melhorarem a segurança e modernizarem os cartórios.
Vale dizer que políticas de segurança e continuidade de negócios são coisas complexas, portanto, estas deveriam normatizar os procedimentos a serem adotados, e não somente os equipamentos utilizados pelos notários.
O ato do CNJ pode ser classificado em seis categorias ou matérias: Políticas e procedimentos de segurança de informação; Armazenamentos e backups; A autenticação e não repudio; Softwares mínimos e requisitos de softwares; Infraestrutura e equipamentos; Recursos humanos e terceirizados; e, o Comitê de Gestão da Tecnologia da Informação dos Serviços Extrajudiciais, COGETISE.
Apesar do provimento dividir e classificar os cartórios em classes, a fim de especificar quais equipamentos estes têm de adquirir, o que se altera em cada uma delas é quantidade de pessoas treinadas na operação de backup e velocidade de link, aplicando-se o restante para todos os cartórios, ou seja, pouco impacto financeiro paras as serventias com faturamento acima de R$ 500.000,00 (quinhentos mil reais), e, grande impacto para as com faturamento inferior a esse valor, que representam 80% dos cartórios deficitários espalhados pelo Brasil.
Outro ponto relevante e que, após a edição e entrada em vigor do dito provimento, será criado um Comitê de Gestão, o COGETISE.
Quanto ao COGETISE, vale a primeira crítica; este, deveria ter sido criando antes da própria edição do Provimento 74 do CNJ, afim de regulamentar e ainda, direcionar a aplicação do Provimento, ou seja, antes de estabelecer a regulamentação mínima de tecnologia da informação.
Desta forma, o Provimento, em um primeiro momento, deveria apenas instituir tal Comissão, e, posteriormente, após os devidos estudos de viabilidade, custo, unicidade de tecnologia e segurança para sua padronização, editar novo provimento a fim de regulamentar a matéria.
Art. 8º Os padrões mínimos dispostos no anexo do presente provimento deverão ser atualizados anualmente pelo Comitê de Gestão da Tecnologia da Informação dos Serviços Extrajudiciais (COGETISE).
§ 1º Comporão o COGETISE:
I – a Corregedoria Nacional de Justiça, na condição de presidente;
II – as Corregedorias de Justiça dos Estados e do Distrito Federal;
III – a Associação dos Notários e Registradores do Brasil (ANOREG/BR);
IV – o Colégio Notarial do Brasil - Conselho Federal (CNB/CF);
V – a Associação Nacional dos Registradores de Pessoas Naturais do Brasil (ARPEN/BR);
VI – o Instituto de Registro Imobiliário do Brasil (IRIB/BR);
VII – o Instituto de Estudos de Protesto de Títulos do Brasil (IEPTB/BR); e
VIII – o Instituto de Registro de Títulos e Documentos e de Pessoas Jurídicas do Brasil (IRTDPJ/BR).
DO ÔNUS EXCESSIVO AO CARTORÁRIO
No presente caso, o Provimento 74/2018 do CNJ traz ônus excessivos ao notário, por mera discricionariedade do Corregedor Geral de Justiça, sem que tal determinação esteja amparada por lei.
É na legalidade que cada indivíduo encontra o fundamento das suas prerrogativas, assim como a fonte de seus deveres, não sendo juridicamente possível que o CNJ legisle acerca de temas que não lhe compitam.
Importante ainda esclarecer que as determinações previstas no citado provimento são por demasiado onerosas, e não respeitam a subjetividade dos diversos estabelecimentos cartorários existentes por todo o território nacional, que, em muitos casos, operam em seu limite financeiro.
Entre as determinações do citado provimento, encontram-se as aquisições de diversos equipamentos eletrônicos com valores astronômicos, contratação de profissionais capacitados, que, em muitos casos, não estão presentes nas regiões mais remotas do país, e, se não bastasse, construção de ambientes físicos em alvenaria para abrigar os citados servidores, com climatização controlada.
Tais desmandos são absurdos, visto que, conforme já ficou demonstrado, o CNJ não pode inovar no ordenamento jurídico através de provimentos. Ao estabelecer obrigações como as constantes do Provimento 74, o CNJ, além de atribuir aos cartorários ônus que não lhes cabem, ignora por completo a realidade das diversas delegações notariais Brasil afora.
Exigir de tais cartórios a aquisição de dois servidores, construção de ambientes climatizados em alvenaria, e contratação de funcionários especializados, é onerar os notários de maneira excessiva, através de uma “simples canetada” do Sr. Corregedor Geral de Justiça.
Um único servidor, nos moldes do solicitado pelo Provimento 74 do CNJ, tem valor aproximado de R$ 25.000,00. Se não bastasse, o citado provimento exige que cada delegação possua dois servidores.
Mais absurda é a exigência de que se construa um ambiente climatizado em alvenaria. É importante aqui esclarecer que a climatização de ambientes é feita através de aparelhos de ar condicionado, que funcionam somente com tensão de 220V. Em diversas cidades brasileiras, a tensão é a de 110V, o que obrigaria o notário a adquirir um transformador de energia. Um sistema de refrigeração como o solicitado pelo CNJ, tem custo mínimo de R$ 30.000,00, além do excessivo gasto com energia elétrica que a serventia passará a ter.
Já um nobreak que atenda às demandas exigidas no parecer, e suporte os aparelhos exigidos pelo CNJ, possui custa próximo aos R$ 50.000,00. Acerca ainda do NOBREAK para estabilização de energia elétrica de pelo menos 30 minutos, conforme provimento do 74 CNJ, não geraria apenas o custo da sua aquisição, mas também de sua instalação e mais, contratação de engenheiro elétrico/eletricista para seja feito um projeto para verificação da potência do NOBREAK a ser adquirido.
Ou seja, a simples indicação da compra de NOBREAK, SERVIDORES E AR-CONDICIONADOS, sem as suas características, indicações técnicas, quantidade mínima de baterias, equipamento de monitoramento (que há a necessidade de outro servidor e PC), parecer de um engenheiro elétrico/eletricista para adequação destes itens para cada cartório e etc., às custas totalmente do Cartorário, gerando uma oneração exorbitante, o que poderá ter que ser refeito a qualquer momento, pela falta de indicações/diretrizes básicas a serem seguidas no Provimento em questão.
Além de todas essas indagações, mais de 90% de todas as serventias do Brasil, possuem pouco espaço físico para que tal estrutura seja instalada do modo determinado no Provimento 74 do CNJ.
A serventias e com maior poder econômico, estão concentradas nas capitais das regiões Sul e Sudeste Brasileiro. Nos interiores, inclusive do Sul e Sudeste, e nas regiões Centro-oeste, Norte e Nordeste, as serventias são minúsculas, valendo-se de pouquíssimo espaço físico; na sua grande maioria, deficitárias, sendo, portanto, inviável, tanto a aquisição dos equipamentos supracitados, quanto às estruturas físicas a serem feitas, uma vez que, nesses casos, primeiramente, não há condições financeiras para aquisição dos equipamentos, tampouco necessidade. Vale dizer que, grande parte das Serventias, utilizam de 1 a 2 PC’s.
Assim, acaso o poder público desejasse a modernização e digitalização dos serviços notariais, caberia à administração veicular e facilitar tal transição. O que se vê no Provimento 74 é a clara intenção do CNJ em transferir o ônus público ao particular.
DO RISCO DE VAZAMENTO DE INFORMAÇÕES
O provimento 74 do CNJ apenas “obriga” a implementação do sistema eletrônico e virtual por parte dos cartórios, não havendo nenhuma indicação ou até mesmo normativa sobre a proteção dos dados que seriam inseridos, algo importantíssimo que deveria ser o primeiro passo a ser seguido.
O provimento nasce em conflito com Marco Civil da Internet. A Lei n° 12.965/2014 determina que qualquer operação de coleta, armazenamento, guarda ou tratamento de dados pessoais ocorrida no território nacional, incluindo atividades de pessoas jurídicas sediadas no exterior, mas que ofertem serviço ao público brasileiro ou cujo membro do grupo econômico possua estabelecimento no Brasil, exige o respeito à legislação brasileira e aos direitos à privacidade e à proteção dos dados pessoais.
Ainda, é expresso que a guarda e a disponibilização de dados pessoais devem atender à preservação da intimidade, da vida privada, da honra e da imagem das partes direta ou indiretamente envolvidas, prevendo o Decreto 8771/2016 diretrizes sobre padrões de segurança para o tratamento de dados pessoais.
Com a sanção da Lei Geral de Proteção de Dados novas regras sobre padrões de segurança, medidas de prevenção e contenção e sanções em caso de infração de tais normais passarão a viger para a proteção de dados pessoais em qualquer suporte, seja analógico ou digital.
A LGPD prevê expressamente a necessidade de adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, bem como de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, que devem ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
O controlador (a quem compete as decisões referentes ao tratamento de dados) ou o operador (aquele que realiza o tratamento em nome do controlador) que deixar de adotar as referidas medidas será responsável pelos danos decorrentes de violação de segurança resultante desse descumprimento.
É impossível não reconhecer os grandes vazamentos de dados que causaram tanto caos ao longo dos últimos meses. Os 7 dados secretos e sigilosos de, literalmente, centenas de milhões de pessoas foram violados e expostos, depois reunidos em várias listas colocadas na darkweb para venda. Os vazamentos de dados são uma tendência assustadora no mundo do crime virtual que não mostra nenhum sinal de desaceleração num futuro próximo.
O que é interessante é que, embora alguns vazamentos de dados sejam ataques deliberados, outras são simplesmente bancos de dados deixados de lado, que os auditores de segurança encontram na web como verdadeiros cofres desprotegidos e desbloqueados.
Seria então plausível a implementação do Provimento 74 do CNJ, sem antes um estudo aprofundado com indicações, métodos e ainda, todo um compliance sobre o tema?
DA NECESSIDADE DE CRIPTOGRAFIA DOS DADOS
O Provimento 74 determina a guarda dos arquivos da delegação em serviços de armazenamento em nuvem. Nomes como Dropbox, OneDrive, Google Drive, Box e iCloud são os mais utilizados para tal destinação, e, consequentemente, são os maiores alvos de ataques cibernéticos, sendo que os serviços de nuvem, representam alguns dos mais famosos vazamentos de informações da internet mundial.
Em suma, proteger arquivos sensíveis que ficam armazenados neste tipo de lugar também se torna uma questão primordial para evitar maiores problemas. Em nenhum momento o provimento 74 tratou da criptografia dos dados.
A criptografia é um conjunto de técnicas desenvolvidas com o objetivo de proteger a informação de modo que apenas algumas pessoas, que possuem uma “chave”, possam obter acesso aos dados. 8 Mesmo que o uso da criptografia não possa impedir o roubo de uma determinada informação, ela pode evitar que os dados sejam lidos e possam ser utilizados de maneira a prejudicar o cartório.
Ainda que todas as chaves possam ser quebradas, não existe outra técnica de segurança da informação tão eficaz quanto a criptografia. Aos nossos olhos, seria uma das principais condições e obrigações a serem aplicadas pelo Provimento 74 do CNJ, mas, em nenhum momento foram sequer citadas.
DA INCONSTITUCIONALIDADE DO PROVIMENTO 74/2018 DO CNJ
O Conselho Nacional de Justiça, o CNJ, foi criado em 2004 na chamada “Reforma do Judiciário”. Um dos maiores traços do CNJ é sua composição bastante eclética, contando com membros dos Tribunais Superiores, das Justiças Federal, Estadual e do Trabalho, do Ministério Público, advogados e cidadãos com notável saber jurídico e reputação ilibada.
Segundo prevê a Constituição Federal de 1988, a principal função do Conselho Nacional de Justiça é controlar a atuação administrativa e financeira do Judiciário. Vejamos o artigo 103-B da Constituição Federal, que em seu §4º elenca as competências do CNJ:
Art. 103-B. O Conselho Nacional de Justiça compõe-se de 15 (quinze) membros com mandato de 2 (dois) anos, admitida 1 (uma) recondução, sendo:
[...]
§ 4º Compete ao Conselho o controle da atuação administrativa e financeira do Poder Judiciário e do cumprimento dos deveres funcionais dos juízes, cabendo-lhe, além de outras atribuições que lhe forem conferidas pelo Estatuto da Magistratura:
I - zelar pela autonomia do Poder Judiciário e pelo cumprimento do Estatuto da Magistratura, podendo expedir atos regulamentares, no âmbito de sua competência, ou recomendar providências;
II - zelar pela observância do art. 37 e apreciar, de ofício ou mediante provocação, a legalidade dos atos administrativos praticados por membros ou órgãos do Poder Judiciário, podendo desconstituí-los, revê-los ou fixar prazo para que se adotem as providências necessárias ao exato cumprimento da lei, sem prejuízo da competência do Tribunal de Contas da União;
III - receber e conhecer das reclamações contra membros ou órgãos do Poder Judiciário, inclusive contra seus serviços auxiliares, serventias e órgãos prestadores de serviços notariais e de registro que atuem por delegação do poder público ou oficializados, sem prejuízo da competência disciplinar e correicional dos tribunais, podendo avocar processos disciplinares em curso e determinar a remoção, a disponibilidade ou a aposentadoria com subsídios ou proventos proporcionais ao tempo de serviço e aplicar outras sanções administrativas, assegurada ampla defesa;
IV - representar ao Ministério Público, no caso de crime contra a administração pública ou de abuso de autoridade;
V - rever, de ofício ou mediante provocação, os processos disciplinares de juízes e membros de tribunais julgados há menos de um ano;
VI - elaborar semestralmente relatório estatístico sobre processos e sentenças prolatadas, por unidade da Federação, nos diferentes órgãos do Poder Judiciário;
VII - elaborar relatório anual, propondo as providências que julgar necessárias, sobre a situação do Poder Judiciário no País e as atividades do Conselho, o qual deve integrar mensagem do Presidente do Supremo Tribunal Federal a ser remetida ao Congresso Nacional, por ocasião da abertura da sessão legislativa.
Apesar do poder meramente fiscalizador concedido ao CNJ pela Constituição pátria, o mesmo, sucessivamente extrapola 10 os limites dos poderes que lhe foram conferidos, não se limitando à função fiscalizatória.
Aqui não se combate a possibilidade de o CNJ editar provimentos e resoluções, mas, procura distinguir o que de fato são as resoluções emitidas por tal órgão, e o fato de que, em muitas vezes, essas extrapolam a competência do órgão.
É inadmissível no Estado Democrático de Direito, que se permita que um órgão meramente fiscalizador e administrativo espeça atos com força de lei, cujos reflexos e consequências possam atingir os direitos fundamentais dos cidadãos.
O CNJ, ao estabelecer o Provimento 74 de 2018, extrapola sua competência, conferindo aos cartorários, obrigações que não lhe foram atribuídas por força de lei.
O Provimento nº 74/2018, afronta de modo explícito aos arts. 21, 30, I e VI; art. 37; art. 42; e, art. 46 da Lei nº 8.935/94:
Art. 21. O gerenciamento administrativo e financeiro dos serviços notariais e de registro é da responsabilidade exclusiva do respectivo titular, inclusive no que diz respeito às despesas de custeio, investimento e pessoal, cabendo-lhe estabelecer normas, condições e obrigações relativas à atribuição de funções e de remuneração de seus prepostos de modo a obter a melhor qualidade na prestação dos serviços.
[...]
Art. 30. São deveres dos notários e dos oficiais de registro:
I - manter em ordem os livros, papéis e documentos de sua serventia, guardando-os em locais seguros;
[...]
VI - guardar sigilo sobre a documentação e os assuntos de natureza reservada de que tenham conhecimento em razão do exercício de sua profissão;
[...]
Art. 37. A fiscalização judiciária dos atos notariais e de registro, mencionados nos artes. 6º a 13, será 11 exercida pelo juízo competente, assim definido na órbita estadual e do Distrito Federal, sempre que necessário, ou mediante representação de qualquer interessado, quando da inobservância de obrigação legal por parte de notário ou de oficial de registro, ou de seus prepostos.
[...]
Art. 42. Os papéis referentes aos serviços dos notários e dos oficiais de registro serão arquivados mediante utilização de processos que facilitem as buscas.
[...]
Art. 46. Os livros, fichas, documentos, papéis, microfilmes e sistemas de computação deverão permanecer sempre sob a guarda e responsabilidade do titular de serviço notarial ou de registro, que zelará por sua ordem, segurança e conservação.
O provimento também vai em desacordo com o estabelecido pelos artigos 3º e 22 da Lei 6.015/73, a Lei de Registros Públicos:
Art. 3º A escrituração será feita em livros encadernados, que obedecerão aos modelos anexos a esta Lei, sujeitos à correição da autoridade judiciária competente.
[...]
Art. 22. Os livros de registro, bem como as fichas que os substituam, somente sairão do respectivo cartório mediante autorização judicial.
O artigo 22 da Lei de Registros Públicos é claro ao afirmar que os livros de registro somente podem deixar o cartório mediante ordem judicial. Tal determinação é completamente contrária à exigência do Provimento 74 do CNJ de que os armazenamentos dos arquivos sejam feitos em nuvem e que as mídias com os backups sejam armazenadas em local distinto da instalação da serventia.
Art. 3º Todos os livros e atos eletrônicos praticados pelos serviços notariais e de registro deverão ser arquivados de forma a garantir a segurança e a integridade de seu conteúdo.
§ 1º Os livros e atos eletrônicos que integram o acervo dos serviços notariais e de registro deverão ser arquivados mediante cópia de segurança (backup) feita em intervalos não superiores a 24 horas.
[...]
§ 3º A cópia de segurança mencionada no § 1º deverá ser feita tanto em mídia eletrônica de segurança quanto em serviço de cópia de segurança na internet (backup em nuvem).
§ 4º A mídia eletrônica de segurança deverá ser armazenada em local distinto da instalação da serventia, observada a segurança física e lógica necessária.
Se não bastasse, o armazenamento em nuvem determinado por lei, que se dá em diversos servidores espalhados mundo afora, fere o disposto no artigo 33 da Lei 13.709/18:
Art. 33. A transferência internacional de dados pessoais somente é permitida nos seguintes casos:
I - para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto nesta Lei;
II - quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados previstos nesta Lei, na forma de:
a) cláusulas contratuais específicas para determinada transferência;
b) cláusulas-padrão contratuais;
c) normas corporativas globais;
d) selos, certificados e códigos de conduta regularmente emitidos;
III - quando a transferência for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução, de acordo com os instrumentos de direito internacional;
IV - quando a transferência for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro;
V - quando a autoridade nacional autorizar a transferência;
VI - quando a transferência resultar em compromisso assumido em acordo de cooperação internacional;
VII - quando a transferência for necessária para a execução de política pública ou atribuição legal do serviço público, sendo dada publicidade nos termos do inciso I do caput do art. 23 desta Lei;
VIII - quando o titular tiver fornecido o seu consentimento específico e em destaque para a transferência, com informação prévia sobre o caráter internacional da operação, distinguindo claramente esta de outras finalidades; ou
IX - quando necessário para atender as hipóteses previstas nos incisos II, V e VI do art. 7º desta Lei. Parágrafo único. Para os fins do inciso I deste artigo, as pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , no âmbito de suas competências legais, e responsáveis, no âmbito de suas atividades, poderão requerer à autoridade nacional a avaliação do nível de proteção a dados pessoais conferido por país ou organismo internacional.
Isto é, as leis federais contêm mandamentos objetivos e vinculados, e as determinações do Provimento 74 vão em total confrontação a eles, podendo o notário cometer faltas graves se obedecer ao citado provimento.
CONCLUSÃO
Em análise do texto do Provimento 74/2018 do CNJ, e dos eventuais prejuízos que este venha a causar, é possível o manejo de Ação Ordinária, em primeira instância, junto à Justiça Federal, ou perante o STF em caso de ações de competência originária. Cabendo ainda, após eventual ato do corregedor estadual de justiça, o manejo 14 de Mandados de Segurança, tendo como base legal a hierarquia de normas e o Princípio Constitucional da Legalidade. Não obstante, é relevante salientar que o Provimento 74/2018 do CNJ coloca em risco os dados particulares dos usuários dos serviços notariais, o que pode gerar uma série de ações, não só contra o notário, mas também contra a administração pública.
Belo Horizonte, 10 de julho de 2019.
GILBERTO NETTO DE OLIVEIRA JUNIOR - OAB/MG 118.040
Presidente da Banca de Advogados do escritório Oliveira Netto Advogados Associados -Instituidor da Comissão de Direito Notarial e Registral do Conselho Federal da OAB -Presidente da Comissão de Direito Notarial e Registral da OAB/MG - Doutor em Ciências Jurídicas e Sociais - Examinador para Concursos Públicos do TJMG - Mérito da Advocacia Raymundo Faoro pela Ordem dos Advogados do Brasil, Conselho Federal - Professor em cursos de especialização, extensão e pós-graduação em Direito Notarial da PUC/MG - Analista de Sistema pela UFMG - Coordenador e responsável pelas iniciativas voltadas a novas tecnologias, incluindo Blockchain, Smart Contracts, com especialização pela PUC/RJ.
SERJUS