Background

Artigo - Provimento 134 CNJ e a adequação da LGPD aos cartórios extrajudiciais - Por Bianca Medalha Mollicone

O Conselho Nacional de Justiça publicou, no dia 24 de agosto de 2022, o Provimento n° 134, que trata de medidas de adequação à Lei Geral de Proteção de Dados a serem adotadas pelas serventias extrajudiciais, ou seja, os mais diversos cartórios. As regras dispostas no provimento têm abrangência nacional e devem ser aplicadas em até 180 dias da data de sua publicação, de modo que as serventias precisam buscar as ações de conformidade o quanto antes.

O provimento visa regulamentar a implementação da LGPD, buscando conciliar as novas regras com o princípio da publicidade que orienta a prática dos atos registrais e notariais. De fato, tal princípio possibilitaria, inclusive, o requerimento de certidão sem informar o motivo ou o interesse do pedido, de acordo com a Lei nº 6.015/1973, artigo 17; Lei nº 8.934/1994, artigo 1º.

As atividades notariais e registrais possuem operações de tratamento contínuo de dados pessoais, sensíveis ou não, e podem operar como controladores ou co-controladores nessas atividades. Assim, é evidente que o risco de incidentes de proteção de dados são inerentes a tais processos, cabendo às serventias o dever de buscar as melhores práticas e medidas para a proteção dos titulares.

O provimento aborda temas de grande relevância, tais como: a definição de controlador e de operador de dados, os elementos de governança no tratamento de dados e o tratamento de dados em atividades específicas das serventias extrajudiciais.

A LGPD prevê que o controlador de dados é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Seguindo esta linha, o Provimento estabelece que os controladores são os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, na qualidade de titulares das serventias, interventores ou interinos, competindo a eles as decisões referentes ao tratamento de dados pessoais.

Para além disso, a LGPD vai conferir aos controladores alguns deveres, como: (1) comprovar o cumprimento das exigências legais para a obtenção do consentimento (artigo 8º, § 2º); (2) atender requisições para o exercício de direitos dos titulares de dados (artigo 18); (3) elaborar relatório de impacto à proteção de dados pessoais (artigo 38); (4) verificar a observâncias das instruções que repassa ao operador (artigo 39); (5) indicar o encarregado (artigo 41); e (6) comunicar à Autoridade Nacional de Proteção de Dados (ANPD) a ocorrência de incidente de segurança (artigo 48).

No que tange à nomeação do operador, que é aquele que que irá realizar o tratamento de dados pessoais em nome do controlador, o provimento reforça o disposto no artigo 5º, VII da LGPD, ao determinar que será a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da serventia, contratada para serviço que envolva o tratamento de dados pessoais.

Um dos aspectos mais relevantes do diploma é sobre o dever de governança no tratamento de dados pessoais nas serventias. Tal dever consiste na implementação de um sistema robusto de controle dos dados durante todo o seu ciclo de vida, com a consequente adequação ao que prevê a LGPD, especialmente em seus artigos 50 e 51.

Para adotar este sistema, o Provimento determina que o responsável pela serventia extrajudicial deverá verificar o porte da sua serventia e fazer a adequação à legislação de proteção de dados conforme o volume e a natureza dos dados tratados, e de forma proporcional à sua capacidade econômica e financeira, adotando as seguintes providências: (1) nomear encarregado pela proteção dos dados; (2) mapear as atividades de tratamento e realizar seu registro; (3) elaborar relatório de impacto sobre suas atividades, na medida em que o risco das atividades o faça necessário; (4) adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais; (5) definir e implementar Política de Segurança da Informação; (6) definir e implementar Política Interna de Privacidade e Proteção de Dados; (7) criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares; (8) zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluam previsões sobre proteção de dados pessoais; e (9) treinar e capacitar os prepostos.

Tais providências são objeto de capítulos específicos e detalhados do Provimento, visando a correta adequação das serventias. Neste contexto, ao pensar na estruturação de um programa efetivo de privacidade e proteção de dados, é importante ter em mente que ele deve conter, ao menos, as seguintes etapas:

Além das previsões referentes à obrigação de governança do tratamento de dados, o provimento reserva o capítulo X para tratar da emissão de certidões pelas serventias e posterior compartilhamento com centrais e órgãos públicos. O texto prevê que o compartilhamento de dados com centrais de serviços eletrônicos compartilhados é compatível com a proteção de dados pessoais, devendo as centrais observar a adequação, necessidade e persecução da finalidade dos dados a serem compartilhados, bem como a maior eficiência e conveniência dos serviços registrais ou notariais ao cidadão.

Outro tema elucidado no documento é como cada especialidade extrajudicial deve se adequar ao tratamento de dados pessoais. Assim, quanto ao Tabelionato de Notas, o texto define regras para a emissão e o fornecimento de certidão de ficha de firma, para o pedido de lavratura de ata notarial e de certidão de testamento. Em relação ao registro civil de pessoas naturais, trata das regras quanto às certidões de registro civil, às certidões de breve relato, às certidões por quesitos e às certidões de inteiro teor.

O provimento traz, ainda, obrigações relacionadas ao registro de títulos e documentos de pessoas jurídicas, ao registro de imóveis, ao tabelionato de protesto de títulos e outros documentos de dívida.

As serventias possuem o prazo até fevereiro/2023 para se adequarem às disposições do Provimento 134 e serão fiscalizadas pelas Corregedorias Gerais da Justiça dos Estados e do Distrito Federal no que tange à efetiva observância das normas nele contidas, conforme previsto no artigo 58 do provimento.

Resta patente, portanto, a importância e urgência da adequação à LGPD, nos termos definidos pelo Provimento 134 do CNJ, em especial com foco na implementação das medidas de governança em proteção de dados, visando evitar as sanções previstas no artigo 52 da LGPD.

Fonte: Migalhas