A advogada e consultora em Governança, Compliance e LGPD, Clarissa Lima, concedeu entrevista ao CNB/PB sobre os desafios das serventias extrajudiciais na adequação à LGPD
A entrada em vigor da Lei nº 13.709 (Lei Geral de Proteção de Dados Pessoais – LGPD), em 14 de agosto de 2018, trouxe uma série de desafios para empresas e instituições de todos os setores, incluindo os serviços extrajudiciais do Brasil. Com o intuito de conferir maior segurança e privacidade aos cidadãos, a LGPD estabelece diretrizes rígidas para o tratamento de informações pessoais. No entanto, sua implementação, neste âmbito, tem gerado uma série de obstáculos que vão desde a conscientização dos profissionais, até a adaptação das práticas cotidianas.
Para tratar sobre essas questões, o Colégio Notarial do Brasil – Seção Paraíba (CNB/PB) realizou uma entrevista exclusiva com a advogada e consultora em Governança, Compliance e LGPD, Clarissa Lima. A especialista, também, éauditora líder de sistema gestão integrado Compliance e Antissuborno, sócia fundadora da Ethico Compliance e DPO de serventias no estado de Pernambuco.
Na entrevista, Lima aborda os impactos que a legislação já tem sobre a atividade dos serviços extrajudiciais, as principais mudanças que os cartórios precisam fazer em suas práticas e a importância do compliance. Confira abaixo a íntegra:
CNB/PB – Qual a importância da Lei Geral de Proteção de Dados (LGPD) no quesito proteção para a nossa sociedade?
Clarissa Lima: Nas legislações ao redor do mundo em torno da proteção de dados pessoais e privacidade, sobretudo no regulamento europeu (GDPR), do qual a LGPD fortemente se inspirou, a salvaguarda da coletividade é vista a partir da garantia das liberdades e dos direitos fundamentais dos indivíduos, especialmente a vida privada.
Embora associemos que a promulgação da LGPD tenha como foco principal a regulação das empresas de tecnologia (atividade econômica de modo geral) a limitação/regulação do Poder Estatal para o tratamento de dados pessoais é – sem dúvida – o ponto mais significativo, notadamente, porque em nome do poder constituído podem se revelar graves violações à dignidade da pessoa humana, à honra, e à vida privada, como nossa própria história nos conta.
É bem verdade que, no Brasil, antes mesmo da LGPD, a proteção de dados pessoais e privacidade já eram, de certo modo, assegurados na Constituição Federal (art. 5º, e especialmente, inciso X) e nas leis, ainda que de maneira esparsa.
Com efeito, não é possível devassar uma correspondência, mensagens telegráficas, telefônicas e telemáticas (art. 5º, XII, da CF/88 e Lei nº 9.296/96); não se pode realizar cadastro ou manter banco de dados, sem o cidadão ter acesso às informações armazenadas (CDC); e, ainda, se têm definidos princípios, garantias, direitos e deveres para o uso da Internet no Brasil (Marco Civil da Internet).
No entanto, nenhuma dessas legislações foi propositalmente orientada, como a LGPD, para ter sua centralidade voltada ao cidadão – titular de dados (assim como a Européia), dando-lhe autonomia para conceder ou não os dados, ou, quando o tratamento é feito sem necessidade do seu consentimento, o poder de fiscalizá-lo, inclusive, o Poder Público.
Assim, ao assegurar os limites para o tratamento de dados pessoais em atividades econômicas e pelo Estado, a LGPD o fez em benefício e como foco na pessoa singular para alcançar o coletivo com o progresso econômico e social, o desenvolvimento do comércio e promover o bem estar.
É nessa linha que, agora, a proteção de dados pessoais foi alçada como direito fundamental, previsto no LXXIX ao artigo 5º, CF, incluído pela EC 115/22, dispondo que “é assegurado, nos termos da lei, o direito à proteção dos dados pessoais, inclusive nos meios digitais”.
CNB/PB – Como a LGPD impacta nos tratamentos de dados pessoais promovidos por serventias extrajudiciais?
Clarissa Lima: O tratamento de dados pessoais está na essência da atividade extrajudicial, e por ser regulada, não precisará, para esse mister, de consentimento dos usuários (art. 7, II).
Se é verdade que não haverá muitas novidades em como se coleta – como em muitas atividades econômicas – para as outras fases do ciclo de vida do dado – como se usa, armazena, por quanto tempo, etc, demandará maiores cuidados, principalmente dada a larga escala de arquivos físico e digital.
Isso, para ter apenas a perspectiva do exercício da atividade extrajudicial, sabendo que o delegatário é também controlador dos dados de seus colaboradores, e, portanto, deverá dispensar cuidados no tratamento de acordo com cada realidade de gestão local (como se cuida de currículos recebidos, guarda e compartilhamento de dados de saúde, dados de menores relativos aos dependentes de colaboradores, compartilhamento com terceiros, como contadores, empresas de plano de saúde, se coleta biometria ou não, etc).
O fato é que a LGPD, em qualquer organização, independente se pública ou privada, terá reflexo em ajustes de natureza técnica – tecnológica – notadamente naquelas serventias que não atendem, ainda, o Provimento nº 74/2018 do CNJ, que dispôs sobre padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro, mas, principalmente, impacto na necessária e significativa mudança de cultura em algumas práticas operacionais relacionadas ao tratamento de dados pessoais.
Não custa reforçar que a proteção é a dos dados pessoais e pessoais sensíveis, independente do meio – físico ou digital.
Assim, de nada valerá ter a melhor adequação de tecnologia, se a serventia, por exemplo: descarta minutas de forma inapropriada ou as deixa de forma desavisada em cima da mesa; fornece informações pessoais para terceiros que não são os interessados no ato; se recebe cópia de documentos ou envia minutas por WhatsApp sem qualquer controle; se permite que a encadernação dos seus livros sejam realizadas fora de suas dependências.
Os exemplos são muitos, por isso, sem dúvida, o maior impacto, para além de qualquer incremento no parque tecnológico, é o ajuste comportamental.
CNB/PB – Quais são as principais mudanças que os cartórios precisam fazer em suas práticas para a plena adequação à LGPD?
Clarissa Lima: A primeira, e principal, é a de mentalidade. Qualquer exigência legal/regulatória é vista como uma lente ampliada apenas na perspectiva de elevação de custo. É, particularmente, compreensível esse entendimento já que há uma grande assimetria na realidade da própria atividade extrajudicial nacional.
Todos os cartórios estão sob a mesma chuva, mas não no mesmo barco!
Um cartório classe A, por vezes deficitário, não tem condições de contratar uma consultoria externa, como um cartório classe C, e mantê-la caso necessário. Muitos, de fato, nem conseguem cumprir as dimensões de tecnologia previstas no Provimento nº 74/18.
No entanto, é preciso entender que a adequação é baseada no pilar: pessoas, processos e tecnologia. E coloco, propositalmente, nesta ordem. Não se resume só a tecnologia. Portanto, é possível começar hoje!
Equipe conscientizada e treinada (PESSOAS) em saber o porquê é necessário se adequar – e não se resume porque a Lei manda e o CNJ e a ANPD fiscalizam, mas para assegurar um direito fundamental – tornará o engajamento para ajuste de PROCESSOS mais fácil e menos oneroso.
Isto porque, não raro, problemas de vulnerabilidade estão nas condutas e não em falha de segurança técnica (TECNOLOGIA).
Como mencionei, a melhor estrutura de TI não significará muito, se a serventia permite que funcionários deixem seus computadores ativos sem vigilância ou usem e-mails e WhatsApp pessoais; usem minutas como rascunho; ou ainda, que livros sejam encadernados fora da serventia, como citado anteriormente.
É durante os treinamentos, com domínio de suas realidades operacionais – segundo passo, inclusive – que os próprios colaboradores sinalizam os gaps e propõem soluções eficientes, apenas com ajustes de fluxo de trabalho e controles internos, como segregação de função.
Assim, é possível implementar camadas de segurança de baixo custo e com alta eficiência. O importante é sair do zero e aprimorar continuamente. O programa de proteção de dados e privacidade só tem data de início e não se finaliza, porque se incorpora aos processos internos da serventia.
Um exemplo: Um vazamento de dado envolvendo atos notariais com significativa criticidade, por envolver dados pessoais sensíveis e/ou dados de menor, como Diretivas Antecipadas de Vontade ou atas notariais que versem sobre violência contra menor, poderão causar um relevante impacto, principalmente na perspectiva de violação de intimidade e dignidade. Se analisarmos o processo interno, poderemos perceber que a possibilidade de vazamento tanto mais se acentua quanto mais funcionários têm acesso às minutas em seus computadores (seja uma base compartilhada de documentos editáveis, ou através do sistema informatizado) ou aos livros respectivos.
Assim, a mera medida administrativa de restrição de atribuição para a prática desses atos ou a de guarda e consulta desses livros, já mitigará boa parte desse risco (a outra, pode se relacionar com TI, como restrição de acesso ao módulo de sistema, vedação de gravação de minutas nas máquinas, deixando-as apenas no sistema de rede, além da camada de proteção externa, uso de firewall, antivírus, etc).
Vê-se que riscos importantes são mitigados com medidas administrativas e nessa jornada, otimização de recursos e processos, quase sempre vêm como melhoria associada.
Com a mentalidade certa e o domínio da realidade de sua operação há, de fato, o mínimo exigido pelo art. 6º, do Provimento nº 134/22, já internalizados por algumas Corregedorias locais em seus Códigos de Normas, a saber:
I – nomear encarregado pela proteção de dados;
II – mapear as atividades de tratamento e realizar seu registro;
III – elaborar relatório de impacto sobre suas atividades, na medida em que o risco das atividades o faça necessário;
IV – adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais;
V – definir e implementar Política de Segurança da Informação;
VI – definir e implementar Política Interna de Privacidade e Proteção de Dados;
VII – criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares;
VIII – zelar para que terceiros contratados estejam em conformidade com
a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluam previsões sobre proteção de dados pessoais; e
IX – treinar e capacitar os prepostos.
Bem por isso é de extrema relevância o apoio das entidades representativas como o CNB, voltadas a democratizar o conhecimento e ofertar ferramentas, como a possibilidade um Encarregado de dados centralizado para diminuir o custo por serventia, modelos de documentos e cláusulas para revisão de contratos, treinamentos, modelos de peças de comunicação e conscientização – para que todos os cartórios independente de sua classe consiga implementar as medidas técnicas e organizacionais necessárias, previstas no art. 12, do Provimento nº 134/22.
CNB/PB – Quais são as penalidades previstas pela LGPD em caso de descumprimento por parte dos cartórios?
Clarissa Lima: Além de eventual processo administrativo perante sua respectiva corregedoria e o CNJ, a ANPD é o responsável por apurar eventuais descumprimentos e aplicar as sanções previstas no art. 52, da LGPD, tais como:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração.
No entanto, as penalidades previstas nos incisos X, XI e XII precisarão de oitiva prévia do órgão fiscalizador, à luz do disposto no §6º, do mesmo dispositivo e do art. 3º, §2º, da RESOLUÇÃO CD/ANPD Nº 4, de 24 de fevereiro de 2023 para que se manifeste sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas reguladas desenvolvidas pelo controlador, especialmente na prestação de serviços públicos, assim como forneça outras informações que entender pertinentes, a saber:
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A meu sentir, considerando a evidente impossibilidade da suspensão ainda que parcial da atividade extrajudicial, a penalidade, nesse caso, não terá como recair sobre o funcionamento da serventia, mas, sim, sobre o delegatário, que eventualmente punido administrativamente, não terá como sofrer nova penalização da ANPD, sob pena de bis in idem. A conferir, no entanto, as primeiras situações que exigirão uma interpretação da norma pelo CNJ e ANPD.
CNB/PB – Qual é a importância do compliance com relação à proteção de dados?
Clarissa Lima: Como atividade regulada que é, a manutenção da conformidade – estar em compliance – é essencial. No entanto, esse monitoramento pode deixar de ser meramente intuitivo para ser uma boa prática de governança estruturada por meio de um programa de compliance – que significa instituir processos, procedimentos, controles e políticas internas como código de ética e conduta, as quais são “leis” para a organização e devem ser cumpridas sob pena de medidas disciplinares.
O Compliance deve ter em perspectiva não só a LGPD, mas a aderência da serventia às mais diversas obrigações regulatórias, desde a adequação das normativas a um dos ODS da agenda 2030 da ONU – Provimento nº 85/19; como a instituição de treinamento, políticas e controles, em relação à Lavagem de Dinheiro – Provimento nº 88/19) e legais.
Não basta ser compliance com a LGPD, e non compliant com as demais.
Compliance, em resumo, é sobre boa governança, tal como se exige pela Lei nº 13.709/18, que não à toa, em seu art. 50, fala em programa de governança em privacidade.
Serventias que possuem essa visão estratégica de investir em práticas de governança tendem a enxergar oportunidades, otimizar recursos e garantir, cada vez mais, a excelência dos seus serviços.
CNB/PB – Poderia informar sobre algumas das tendências futuras em relação à proteção de dados pessoais no setor extrajudicial?
Clarissa Lima: O avanço das tecnologias estará à serviço de todos os setores econômicos, não fugindo do setor extrajudicial, como já o é, por exemplo, o blockchain. A Notarychain responsável pelo registro dos certificados digitais do e-Notariado atingiu, agora em agosto, a marca de um milhão de certificados digitais autenticados. A concepção do uso da tecnologia, no setor extrajudicial, é trazer maior segurança em relação às partes envolvidas, inibindo falsificações e fraudes.
Entendo, todavia, que o componente humano sempre será o garantidor mais seguro da proteção de dados pessoais. Nenhuma tecnologia, nem mesmo IA (já que por trás do algoritmo, haverá quem – pessoa humana – definirá o que é certo ou errado), substituirá o juízo ético e crítico no tratamento de dados pessoais. A conscientização de cada um dos cidadãos enquanto titulares de dados e empoderamento nas ferramentas fiscalizatórias é o futuro da proteção de dados pessoais. Em qualquer setor.
Fonte: Assessoria de Comunicação CNB/PB