Consentimento, obrigação legal e políticas públicas legitimam o tratamento nas serventias. Texto 4 da série Como visto no artigo anterior desta coletânea, tratamento é qualquer operação que realize sobre dados pessoais, e deve estar legitimado na lei para ser válido. Na lei brasileira de proteção de dados, parte-se da ideia de que não existe dado pessoal insignificante. (…) Diante do cuidado com o tema, foi estabelecido como regra geral (art. 1º) que qualquer pessoa que trate dados, seja ela natural ou jurídica, de direito público ou privado, inclusive na atividade realizada nos meios digitais, deverá ter uma base legal para fundamentar sua atividade.[i] Nesse artigo, serão abordas as principais hipóteses autorizativas de tratamento de dados aplicáveis às serventias extrajudiciais. Além disso, será analisado o regramento especial para o tratamento de dados pelo Poder Público, ao qual os agentes delegados são equiparados para fins da LGPD (art. 25, § 4º). A primeira hipótese é o consentimento (art. 7, I). Consentimento é a manifestação de vontade livre, específica, informada e inequívoca de que o titular concorda com o tratamento de seus dados[ii]. O tratamento consentido de dados é recorrente nas serventias, mesmo sem um instrumento formal de consentimento. Toda vez que um usuário faz cadastro no cartório para obter algum serviço, por exemplo, consente em fornecer alguns dados como nome, RG, CPF, estado civil, profissão, contato, endereço, etc. Também consentem em fornecer seus dados todos os prestadores de serviços autônomos da serventia. Pelo princípio da instância, o delegatário presta serviço apenas procurado pelo usuário. O consentimento pode ser pressuposto nessa situação, pois quem busca o cartório para fornecer os dados é o usuário. Todavia, por cautela e em observância ao art. 8º da LGPD, é interessante que o delegatário requeira o consentimento expresso e formal do usuário para tratamento de dados. Isso pode ser feito por declaração simples, no momento do cadastro, por exemplo, ou antes da realização dos assentamentos. Frise-se que o tratamento é vinculado à finalidade informada ao titular no momento do consentimento. Caso haja necessidade de utilização dos dados para finalidades diversas, a legitimidade do tratamento depende de novo consentimento ou de vinculação a outra hipótese autorizativa. A segunda hipótese é o tratamento fundamentado no cumprimento de obrigação legal ou regulatória (art. 7, II). Também se aplica aos cartórios em várias ocasiões. Uma situação corriqueira que se enquadra nessa hipótese é a consulta a bancos de dados estatais para checar a veracidade de documentos e informações. Sobretudo após o Provimento nº 88/2019 do CNJ (ver coletânea específica), é praticamente um poder-dever do delegatário efetuar tais consultas, para prevenir fraudes e comunicar operações suspeitas ao COAF. Nesses casos, há tratamento de dados em cumprimento dos deveres de “diligência razoável” (art. 7º, I do Provimento 88) e de garantir a segurança jurídica e a lisura dos atos jurídicos (art. 1, Lei nº 8.935/1994). Outra situação de tratamento com base na legalidade ocorre nas exigências feitas a partir do juízo de qualificação, que geralmente envolvem a requisição de dados pessoais dos usuários. É o caso, por exemplo, do pedido de uma certidão de casamento para instruir um pedido de registro de alienação imobiliária, ou de um comprovante de endereço para uma pessoa que deseja lavrar uma escritura pública. Contudo, a dispensa do consentimento “não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular” (art. 7º, § 6º da LGPD). Assim, à luz da LGPD, concebe-se três pontos de reflexão a ser considerados no momento de fazer uma exigência de qualificação: (1) requisitar qualquer dado pessoal traz consigo o dever de proteção, pois a qualidade dos dados é um direito dos titulares. Assim, eventuais falhas na segurança podem gerar danos e responsabilizações no plano civil e disciplinar, riscos que não são de pouca relevância na gestão da serventia. (2) todo tratamento precisa ter sua finalidade demonstrada. No caso, a finalidade deve decorrer da mesma prescrição normativa da qual a exigência é embasada. (3) o paradigma deve ser sempre o tratamento mínimo de dados suficiente para praticar o ato, em respeito ao princípio da necessidade (art. 7º, III LGPD). Em outras palavras, quanto menos operações com dados o controlador puder fazer para conseguir seus objetivos, melhor. Diante disso, o delegatário deve-se perguntar com sinceridade se é realmente necessário fazer a exigência. Constatada sua necessidade, que seja feita de maneira tal que requeira a menor quantidade possível de dados pessoais. Diz-se isso porque a experiência prática revela que nem sempre os critérios são tão claros nessas requisições. Não se trata de descumprir o dever de cautela, mas de efetivá-lo em maior grau, pesando na segurança dos dados requeridos e na necessidade de tratamento. Refletir a necessidade das exigências a partir do novo contexto normativo não é mera formalidade, mas algo imprescindível para evitar riscos desnecessários à serventia.