Background

Artigo - Começa a contagem regressiva para cartórios se adequarem à LGPD - Adalberto Fraga Veríssimo Junior, Luiza dos Anjos Lopes Licks e Luiz Sérgio Miranda Silva Urtubeny Filho

O Conselho Nacional de Justiça (CNJ) publicou em 24 de agosto de 2022, o Provimento 134, que estabelece o prazo de 180 (cento e oitenta) dias para que todas as serventias extrajudiciais estejam adequadas aos parâmetros estabelecidos pela lei 13.709/18 - Lei Geral de Proteção de Dados (LGPD). À vista disso, o prazo fatal para a adequação dos cartórios se encerra no próximo dia 20 de fevereiro de 2023.

É fato incontestável que os cartórios que estão em conformidade com a LGPD saem na frente dos que ainda não procuraram se adequar à legislação e precisarão correr contra o tempo para atender ao prazo. Sabe-se que a adequação deve ser contínua, pois a lei é viva e o cenário tecnológico evolui constantemente. Nesse sentido, considerando aqueles cartórios que possuem uma parte do projeto concluído, agora com o Provimento, precisarão reavaliar suas atividades para enquadrar os pontos que, eventualmente, não tenham sido contemplados no seu projeto inicial.

A LGPD elucida, no art. 23, §4º e §5º, que será dado às entidades prestadoras de serviços notariais e de registro o mesmo tratamento dispensado às pessoas jurídicas de direito público elencadas no art. 1º, parágrafo único, da Lei de Acesso à Informação (LAI), atribuindo-lhes, ainda, o dever de fornecer acesso aos dados por meio eletrônico à administração pública, tendo em vista as finalidades elencadas no caput do referido artigo.1

Neste sentido, o Provimento 134 - resultado de um longo debate no âmbito do CNJ tem como objetivo principal oferecer maior transparência aos usuários sobre as atividades de tratamento de dados pessoais desenvolvidas nos cartórios, trazendo definições significativas como a (i) a criação da Comissão de Proteção de Dados, no âmbito da Corregedoria Nacional de Justiça do Conselho Nacional de Justiça; (ii) a definição dos agentes de tratamento; (iii) a adoção de regras de governança de tratamento de dados pessoais com o destaque para algumas atividades que devem ser realizadas, bem como; (iv) a adoção de providências elencadas no art. 6º, do Provimento, apresentando os requisitos básicos a serem seguidos para garantir proteção tanto dos próprios cartórios quanto para os usuários, considerando as diversas modalidades de cartórios existentes. Vejamos:

nomear encarregado pela proteção de dados;
mapear as atividades de tratamento e realizar seu registro;
elaborar relatório de impacto sobre suas atividades, na medida em que o risco das atividades o faça necessário;
adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais;
definir e implementar Política de Segurança da Informação;
definir e implementar Política Interna de Privacidade e Proteção de Dados;
criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares;
zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluem previsões sobre proteção de dados pessoais; e
treinar e capacitar os colaboradores.
Destaca-se nas medidas que o Provimento 134 traz o dever dos cartórios de definir e implementar a Política de Segurança da Informação, bem como a Política Interna de Privacidade e Proteção de Dados, visando à transparência aos usuários sobre o ciclo de tratamento dos dados pessoais.2 O CNJ também traz a necessidade do mapeamento de todas as atividades de tratamento de dados pessoais pelos cartórios, sendo essas atividades compiladas no Inventário de Dados, arquivado e disponibilizado, no caso de solicitação da Corregedoria Geral da Justiça, da ANPD ou de outro órgão de controle. Aqui, vale mencionar que, o texto inclui o gap assessment, ou seja, a avaliação das lacunas e vulnerabilidades que poderão surgir a partir da etapa do mapeamento de dados.

Além disso, os cartórios deverão revisar e adequar os contratos vigentes às normas de privacidade e proteção de dados, levando-se em consideração a responsabilização dos agentes de tratamento. Tal previsão tem como alvo contratos de natureza laboral, convênios externos, abrangendo, ainda, a necessidade de elaboração de Termos de Confidencialidade, Termos de Tratamento de Dados Pessoais e a inclusão de cláusulas de prazo de Retenção e Descarte de Dados Pessoais em contratos, convênios e instrumentos congêneres.

Elenca-se como método a ser seguido a criação de procedimentos de auditorias regulares para a realização da gestão de terceiros, com quem houver o compartilhamento de dados pessoais e a elaboração de orientações e procedimentos para as contratações futuras, no intuito de deixá-los em conformidade com a lei de regência. Caberá aos responsáveis pela serventia, ainda, exigir de seus fornecedores de tecnologia, automação e armazenamento de dados pessoais, a devida adequação das exigências da LGPD, sobretudo quanto aos sistemas e programas de gestão de dados internos utilizados pelos colaboradores dos cartórios.

O texto deixa claro e evidente que o seu conteúdo é o mínimo, podendo o cartório adotar critérios mais rígidos para a sua adequação. Além disso, o Provimento 134 expressamente afirma que a função do Encarregado pela Proteção de Dados Pessoais poderá ser terceirizada, contratando-se pessoa física ou jurídica que esteja apta para o exercício da função (art. 10, I, do Provimento 134).

É de suma importância mencionar a novidade trazida pelo art. 11, do Provimento 134, o qual dispõe o dever pelas serventias da adoção do Relatório de Impacto à Proteção de Dados (RIPD), nos termos das instruções elencadas no dispositivo. Em contrapartida, temos que na LGPD a adoção deste documento pode ser dispensada, considerando que o texto normativo não dispõe de obrigação legal. Neste sentido, até mesmo as organizações que já se encontravam em conformidade com a LGPD terão que passar a adotar esta exigência trazida pelo Provimento.

Ademais, temos que o Provimento 134 trouxe a exigência de as serventias realizarem treinamentos com seus colaboradores, sobre a conscientização da cultura de privacidade e proteção de dados pessoais, visando maior segurança e transparência a todos, devendo ser observados os critérios elencados no art. 16.

No que tange aos direitos dos titulares dos dados, também há a exigência da adoção de canal eletrônico específico para atendimento das requisições apresentadas pelos usuários, bem como de fluxos de atendimento aos direitos fundamentais, requisições e reclamações, desde o seu ingresso até o fornecimento da resposta, nos termos do art. 17, do Provimento 134 c/c art. 18, da LGPD.

O Provimento 134 trouxe, ainda, algumas mudanças nas rotinas dos colaboradores e usuários das serventias. Temos como exemplo, a mudança na coleta de dados e controle de acesso por terceiros na entrega de certidões, bem como no controle de acesso dos colaboradores aos documentos físicos armazenados nos cartórios.3

Desta forma, confira abaixo alguns passos que devem ser seguidos para conduzir uma organização eficiente na adequação à LGPD nas serventias extrajudiciais, de modo que se possa atender às disposições do Provimento 134:

Definição do Encarregado pela Proteção de Dados e Criação do Comitê de Privacidade: nesta etapa, deverá ser designado o Encarregado pelo tratamento de dados pessoais das serventias e, na sequência, criado o Comitê de Privacidade, a fim de discutir e promover as ações necessárias para assegurar o cumprimento das exigências do Provimento e da LGPD.
Realização do Mapeamento de Dados, Fluxos e Processos: nesta etapa, serão registrados e documentados os fluxos de dados pessoais tratados pela instituição elencando-se de forma detalhada os processos que envolvam o tratamento de dados pessoais.
Elaboração do Relatório de Impacto à Proteção de Dados: nesta etapa serão descritos os processos de tratamento de dados pessoais que podem gerar riscos aos usuários, bem como todas as medidas de salvaguardas e mecanismos adotados pelo cartório para mitigação dos riscos que possam afetar as liberdades civis e os direitos fundamentais dos titulares de dados.
Avaliação dos Riscos de Privacidade e Segurança e Elaboração do Plano de Ação: nesta etapa serão avaliados os riscos às garantias e direitos dos titulares, levando-se em consideração a realidade fática da instituição no que diz respeito às medidas de segurança existentes no momento da avaliação, com o objetivo de traçar um plano de ação para mitigação de riscos e combate a eventuais incidentes com dados pessoais.
Revisão e/ou Elaboração de outros Documentos Necessários: nesta etapa serão elaborados documentos hábeis à concretização dos princípios e ditames da LGPD, a exemplo da Política de Privacidade Interna e das Políticas de Segurança da Informação e de Resposta a Incidentes. Tais documentos visam, dentre outros objetivos, dar transparência aos titulares acerca do tratamento dos dados pessoais e da segurança das informações tratadas e proporcionar instruções claras em relação a procedimentos, ferramentas e práticas capazes de mitigar riscos de violação aos direitos dos titulares.
Adoção de Procedimentos para os Usuários: nesta etapa será criado um canal de atendimento às solicitações dos titulares de dados, bem como adotadas medidas de transparência aos usuários sobre o tratamento dos dados pessoais pelas serventias.
Implementação das Contramedidas Adequadas: nesta etapa serão feitas ações, operações, ferramentas e métodos aplicados para neutralizar ameaças aos usuários e outros ativos das serventias, visando evitar falhas e vulnerabilidades na segurança das organizações.
Verificação de Contratos com Terceiros: nesta etapa será avaliado se os terceiros que estabelecem uma relação contratual com as serventias, estão em conformidade com a LGPD e o Provimento, visando mitigar riscos futuros para os usuários e as organizações.
Conscientização e Treinamento dos Envolvidos: nesta etapa será realizada a capacitação dos profissionais e prepostos das serventias através de treinamentos e medidas educativas para a atuação em conformidade com a norma de privacidade e proteção de dados.
Nota-se que o Provimento 134 dispõe de detalhamentos essenciais para a adequação das serventias extrajudiciais à LGPD, sobretudo, por conta da transformação digital que vivenciamos, bem como pela recente vigência da LGPD. Apesar de que é possível que ainda haja alterações no texto legal, em busca de aperfeiçoamento pela Autoridade Nacional de Proteção de Dados, a posição do CNJ é elogiável e eficiente para todas as serventias extrajudiciais, as quais também deverão se adaptar à nova realidade jurídica.

Assim, espera-se que o debate evolua ainda mais para que esclarecimentos complementares sejam trazidos à tona com máxima brevidade. No entanto, cabe agora às Corregedorias Estaduais a complementação do Provimento 134 através de Normas de Serviço, o que possibilitará a efetiva aplicabilidade da nova disposição em todo território nacional, visando surtir todos os efeitos legais.

----------
1 É sabido que com a transformação digital, tem sido muito fomentada a probabilidade de "digitalização dos cartórios", tendo em vista que já tivemos diversas iniciativas nacionais de Provimentos e Medidas Provisórias que foram convertidas em Lei, a fim das serventias extrajudiciais se adequarem à nova realidade jurídica. Assim, percebe-se o alinhamento de propósito maior das instituições públicas na assimilação dos impactos na sociedade da tecnologia, sobretudo nas atividades das serventias extrajudiciais.

2 Temos como exemplos de critérios adotados no ciclo de tratamento (i) a explicação de quais canais chegam os dados pessoais dos usuários; (ii) quais dados são coletados; (iii) porque e para qual finalidade são coletados; (iv) qual a base legal utilizada para tratar esses dados; (v) se os dados são compartilhados ou não; (vi) se sim, como e com quem são compartilhados; (vii) qual o prazo de retenção e descarte dos dados pessoais; (viii) entre outros critérios.

3 No que tange ao compartilhamento de dados com órgãos públicos, nos termos do art. 24, do Provimento, temos que o compartilhamento pressupõe ato normativo do órgão solicitante, ou convênio ou outro instrumento formal, com objeto compatível com as atribuições e competências legais da atividade notarial e registral, devendo o compartilhamento ser fornecido de forma específica, adequada, necessária e proporcional ao atendimento das finalidades presentes na política pública do órgão e, ainda, devendo ser observado os protocolos de segurança da informação, sobretudo no que se refere a transferência de bancos de dados.

Fonte: Migalhas