A Lei Geral de Proteção de Dados, em seu artigo 23 demonstra que as mudanças não pararão por aí, e que as serventias terão muito trabalho pela frente, uma vez que ela determina o regime de tratamento público para o tratamento de dados pessoais aos serviços notariais e de registros.
É neste segmento que o Conselho Nacional de Justiça publicou o Provimento 134 em 24 de agosto de 2022, com o detalhamento das ações a serem tomadas a partir de fevereiro de 2023, por todos os cartórios.
Importante afastarmos a ideia de que o legislador ameaça dificultar um serviço que, historicamente, já é burocrático e olharmos para os desafios que o setor terá que enfrentar para seguir tratando dados pessoais de clientes, colaboradores e fornecedores, porém de uma forma constitucionalmente garantista, através de procedimentos seguros para todos os envolvidos.
Conforme o provimento, a serventia figurando como Controladora no tratamento de dados pessoais terá que nomear um Encarregado, realizar mapeamento e inventariar os dados pessoais tratados em cada processo, elaborar Relatório de Impacto à Proteção de Dados; elaborar políticas internas e externas de privacidade; fornecer treinamento e reciclagem periódica de conhecimento para o quadro de colaboradores para que atuem de acordo à nova mudança cultural em prol da privacidade, auditar periodicamente os fornecedores, dentre outras ações obrigatórias.
Sendo a adequação à privacidade uma soma de medidas técnicas e organizacionais implementadas na cultura da serventia dia após dia, dificilmente os cartórios espalhados por todo o território nacional conseguirão garantir tais implementações sem o suporte de uma consultoria, vez que não se trata apenas de constar em documentos e políticas o comprimento à lei, mas este será um período de mudança histórica que passa da era dos papéis para a era digital, envolve evolução no conceito de segurança tanto física quanto tecnológica e procedimental e direciona o foco para soluções mais humanistas à luz da escola europeia e sua já velha conhecida, GDPR.
PRINCIPAL DÚVIDA DO SETOR
A primeira e recorrente questão é: como os cartorários seguirão prestando informações públicas e dando aos dados pessoais a publicidade a qual estão obrigados por lei, após a entrada em vigor do Provimento 134/22?
A resposta é: ater-se ao princípio da legalidade e rever a forma de tratamento destes dados pessoais, visando a minimização dos dados para que sejam publicizados apenas os estritamente necessários e garantindo a proteção dos dados pessoais nos fluxos da operação da serventia.
Já em seu artigo 1º, o provimento determina que os responsáveis pelas serventias extrajudiciais deverão seguir as normas da autoridade Nacional de Proteção de Dados e as diretrizes da LGPD.
Os cartórios possuem o compromisso público de registrar, certificar e prestar informações. A partir de agora, deverão gerenciar suas medidas técnicas e organizacionais para que os dados tenham rastreabilidade e sejam compartilhados de forma segura, como por exemplo através de sistema estruturado. Devem, da mesma forma, implantar controles de acessos físicos e digitais restringindo ao máximo esses níveis de acesso, garantindo que apenas o funcionário indispensável para a função possa tratar determinada informação.
Neste sentido vejam o que dizem a LGPD em seu artigo 46 sobre o conceito de security by design e a ISO 27001, principal dispositivo sobre segurança da informação:
LGPD, Art. 46. "Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito."
ISO27001, A.9.1: "Áreas seguras. Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização."
DESAFIOS EM DESTAQUE
No Capítulo IV do aludido Provimento, o legislador estabelece para as serventias, as regras organizacionais para a relação contratual com seus colaboradores e fornecedores.
Há de serem feitas revisões de todos os contratos, bem como deve-se elaborar "Termos de Tratamento de Dados Pessoais" para parceiros operadores, com todas as diretrizes e detalhamento dos dados pessoais tratados, cláusulas de retenção de descarte, compartilhamento, bem como há a obrigatoriedade de auditar os fornecedores por meio de questionamentos para garantir que estejam cumprindo com as diretrizes de segurança da informação e proteção de dados. Isso deixa claro os papéis de todos os agentes, sejam eles, controlador ou operador, bem como as respectivas responsabilidades no caso de algum incidente.
Os responsáveis pelos estabelecimentos cartorários devem exigir de seus fornecedores adequação técnica e organizacional consonantes a LGPD. E não só isso, devem promover auditorias regulares nos parceiros com quem compartilha dados pessoais (Art. 8º, inciso VI do Provimento 134/2022) para assegurar que as normas e as melhores práticas de privacidade estão sendo seguidas de forma contínua e não tão somente a título declaratório, no momento da assinatura do contrato comercial.
Assim com as serventias, todas as pontas do negócio devem estar aptas a comprovarem seu domínio sobre o assunto, através de documentações e postura de trabalho de seus colaboradores, representantes e terceirizados.
Outro ponto importante é que as serventias devem elaborar e capacitar o quadro de colaboradores acerca de um plano de resposta à incidentes (LGPD, Art. 48 e Provimento 134, Art. 12, I, "c"). Aqui a principal diferença em relação aos outros setores é que o cartório deverá notificar não só a ANPD, mas também o Juiz Corregedor Permanente e a Corregedoria Geral de Justiça no prazo de 48 horas.
Uma questão polêmica, talvez, tenha sido trazida pelo artigo 50 do Provimento, no Capítulo de Registro de Imóveis, onde encontramos uma determinação para que sejam elaborados prontuários físicos ou digitais contendo identificação e descrição da finalidade para o tratamento, em alguns casos ainda carentes de taxatividade.
OBSERVAÇÕES CONCLUSIVAS
O presente artigo traz impressões práticas notadas do cotidiano das implementações em serventias cartorárias de diversas regiões e variados tamanhos.
Em todos os casos identificamos que tudo são etapas a serem vencidas aos poucos, porém com início urgente.
Práticas que vão desde ações simples como a adoção da "mesa limpa" até a contratação de sistemas de CFTV e softwares avançados com módulos segregados cujo investimento pode ser considerado alto no presente momento.
Não importa!
O que há de se encarar como fundamental para as serventias neste embrionário momento, são os registros, as comprovações das ações para redução de risco. É conseguir demonstrar a compreensão de seu estado de adequação e ter o controle do seu caminhar.
________________
CONSELHO NACIONAL DE JUSTIÇA. Provimento n. 134, de 24 de agosto de 2022. Estabelece medidas a serem adotadas pelas serventias extrajudiciais em âmbito nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais. Disponível aqui.
BRASIL. Supremo Tribunal Federal. Repercussão Geral. Tema 777 - Responsabilidade civil do Estado em decorrência de danos causados a terceiros por tabeliães e oficiais de registro no exercício de suas funções. Paradigma: RE 842.846. Relator: Min. Luiz Fux. DJe Nr. 172, de 08/07/2020. Disponível aqui.
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Guia Orientativo sobre Tratamento de Dados Pessoais pelo Poder Público. Versão 1.0, 27 jan. 2022.
Fonte: Migalhas