Espera-se que a Comissão de Proteção de Dados atue com diligência para expedição de diretrizes complementares e fornecimento dos insumos pertinentes para a adequação dos cartórios.
Por se tratar de uma norma geral com repercussão setorial, a lei 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), ainda carecia de uma determinação específica para ser aplicada, em nível nacional, nas serventias extrajudiciais. Alguns meses desde a consulta pública realizada pela Corregedoria Nacional de Justiça1, o órgão – ligado ao Conselho Nacional de Justiça (CNJ) – finalmente publicou o Provimento 134/22, que estabelece os parâmetros a serem seguidos pelos cartórios de todo o país.
O documento materializa diversos comandos contidos na LGPD, corrige falhas pontuais da versão publicada preliminarmente2 e pacifica questões controversas presentes em provimentos estaduais. Por outro lado, ainda deixa algumas dúvidas sobre procedimentos elencados em sua redação.
Este artigo busca elucidar os principais pontos de atenção do novo marco normativo para os cartórios brasileiros, bem como trazer reflexões acerca da sua compatibilidade com o cenário de proteção de dados no país.
1. Governança de dados pessoais e cultura organizacional protetiva
O Provimento 134/22 desenha um mapa a ser seguido para a governança de dados pessoais nas serventias extrajudiciais, estabelecendo procedimentos técnicos e medidas a serem adotas para concretizar o espírito protetivo da LGPD. Ao longo do texto, é possível perceber preocupações vinculadas à segurança dos dados pessoais, à transparência das atividades de tratamento, ao exercício de direitos dos titulares e à proteção dos próprios cartórios.
O art. 6º, por exemplo, elenca uma série de providências essenciais, tais como a implementação de medidas técnicas e administrativas de segurança para proteger os dados pessoais de acessos não autorizados ou de tratamentos inadequados ou ilícitos, a formulação de uma Política Interna de Privacidade e Proteção de Dados, bem como a revisão de contratos com prestadores de serviços e o treinamento de prepostos do agente delegado.
O conjunto de ações preconizadas pelo CNJ forma um programa de governança de dados pessoais. Para segui-lo da forma devida, as serventias precisarão reformular os processos internos, mudar condutas, aperfeiçoar tecnologias e controles, realizar um aprimoramento contínuo da equipe e monitorar permanentemente a eficácia das providências implementadas.
Com isso, cria-se um paradigma para os cartórios, focado na consolidação de uma cultura de proteção dos dados pessoais para todos os serviços prestados. Até mesmo porque, a partir da edição do Provimento, o assunto passa a compor definitivamente o temário a ser fiscalizado pelas corregedorias no âmbito notarial e registral.
Dada a importância do tema, foi criada a Comissão de Proteção de Dados da Corregedoria Nacional (CPD/CN/CNJ). O órgão tem caráter consultivo, sendo responsável por propor diretrizes para aplicação, interpretação e adequação das serventias à LGPD, seja de forma espontânea ou mediante provocação pelas associações (art. 3º).
2. Quem liderará o processo de adequação no cartório?
Conforme dispõe o art. 4º do Provimento e na inteligência do art. 5º, VI, da LGPD3, os delegatários, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, aos quais competem as decisões referentes ao tratamento de dados pessoais. Apesar disso, não estão sozinhos na jornada de adequação do cartório, contando com a ajuda do encarregado pelo tratamento de dados. Essa figura foi instituída pela LGPD4, sendo responsável por atuar não só como canal de comunicação entre o agente delegado, titulares dos dados e autoridades, como também na liderança da implementação de medidas rumo à conformidade à lei 13.709/18.
O Provimento determina a nomeação de um encarregado (art. 10), uma vez que sua indicação pelo controlador, em regra, é obrigatória5. Não obstante a existência de serventias extrajudiciais dos mais variados portes e com diferentes volumes de dados pessoais tratados, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não estabeleceu um regramento para dispensa de indicação do encarregado pelos delegatários6.
As serventias poderão designar um encarregado de maneira conjunta7, bem como terceirizar o exercício da função mediante contratação de um prestador de serviços (“Encarregado Externo” ou “DPO as a service“), seja pessoa física ou jurídica8. Adicionalmente, o Provimento prevê que os cartórios poderão ter a remuneração do encarregado subsidiada ou custeada pelas entidades representativas de classe.
Importante pontuar que não há óbice para contratação de um mesmo encarregado por cartórios de qualquer classe9, conforme assegura o art. 10, § 3º, desde que demonstrável a inexistência de conflito na cumulação de funções e na manutenção da qualidade dos serviços prestados.
3. Lacuna deixada na estrutura de governança de dados
O art. 10, § 2º, do texto disponibilizado pela Corregedoria para consulta pública, indicava que as serventias de “Classe III” deveriam contar com uma equipe de apoio multidisciplinar para governança dos dados, composta, ao menos, por integrantes das áreas de tecnologia da informação, segurança da informação e jurídica. Esse time seria equivalente ao Comitê Gestor de Proteção de Dados Pessoais, estrutura comumente criada pelos agentes de tratamento durante o processo de adequação à LGPD e que representaria uma boa prática de governança em compasso com o art. 50 da Lei de Proteção de Dados Pessoais10.
Os processos de mapeamento de dados, de avaliação das vulnerabilidades do cartório e de elaboração de relatórios de impacto seriam facilitados com a implementação de uma equipe multidisciplinar, atuando ao lado do encarregado na proposição de boas práticas e na identificação de medidas de conformidade dentro da serventia, sobretudo nas de Classe III. Infelizmente, a menção a esse time foi retirada da versão final do Provimento. Restou a citação a uma eventual equipe de apoio ao encarregado no art. 16, IV11, jogando para segundo plano, inoportunamente, a importância desse grupo na jornada de adequação.
A ausência de uma estrutura como a mencionada poderá demandar mais tempo e gerar dificuldades técnicas na implementação de ações de conformidade nos cartórios. A existência de determinação para criação de um comitê de proteção de dados nos cartórios maiores, inclusive, serviria de inspiração para adoção da mesma estrutura por serventias menores, guardadas as devidas proporções.
4. Mapeamento das atividades de tratamento e atualização anual do inventário de dados
Um dos procedimentos técnicos previstos no Provimento é o mapeamento das atividades de tratamento de dados pessoais, previsto no art. 7º. Ele permitirá a identificação dos dados pessoais e do seu ciclo de vida dentro da serventia, incluindo todas as operações a que estão sujeitos, tais como coleta, armazenamento, compartilhamento e descarte.
Intitulado “inventário de dados pessoais”, o produto desse processo conterá, conforme art. 7º, § 1º, I:
- Descrição e categoria dos dados e dos titulares envolvidos;
- Formas de obtenção e de coleta das informações;
- Finalidades e bases legais autorizativas do tratamento;
- Tempo de retenção dos dados;
- Situações de compartilhamento com terceiros e eventual transferência internacional;
- Medidas de segurança organizacionais e técnicas adotadas no bojo do tratamento.
A redação do documento consolida a nomenclatura do procedimento mencionado no art. 7º como “mapeamento de dados pessoais”. No esforço de expedir diretrizes sobre a adequação dos cartórios à LGPD, várias corregedorias estaduais publicaram provimentos sobre o tema. Algumas delas vinham se referindo ao mapeamento como “sistema de controle de fluxo”, embora não exista um termo similar na LGPD ou nos documentos da ANPD. Na prática, ambos os nomes se referem ao ato de identificar, registrar e sistematizar as atividades que envolvem informações pessoais, conforme preconiza a LGPD no art. 3712.
O mapeamento de dados pessoais deverá, de acordo com o art. 7º, § 1º, V, ser atualizado anualmente ou sempre que for necessário, exigindo um trabalho contínuo de monitoramento da governança de dados pessoais da serventia. Alterações em processos internos e na estrutura organizacional, bem como mudanças de ordem legal ou regulatória, por exemplo, poderão dar causa ao incremento do inventário de dados.
5. Avaliação de riscos e impacto do tratamento de dados
A partir do mapeamento poderão ser trazidos à baila problemas nos controles de acesso às informações, nas medidas de segurança adotadas, no volume de dados tratados13 ou, até mesmo, na legalidade no uso de informações pessoais14. Nesse sentido, os insumos coletados deverão ser aproveitados para análise de lacunas relacionadas à proteção dos dados, cabendo à serventia conduzir a avaliação das vulnerabilidades (gap assessment) encontradas.
O gap assessment – preconizado no art. 7º, III – perseguirá a realização de ajustes de conformidade, a fim de tratar os riscos associados às vulnerabilidades encontradas no mapeamento, seja para conviver com eles, mitigá-los ou eliminá-los.
O texto publicado também trata sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)15. Ele deve ser realizado nas atividades em que o tratamento possa gerar riscos a direitos e liberdades fundamentais do titular, de acordo com as orientações da ANPD. Seu conteúdo deve conter a descrição de tais processos de tratamento, bem como as medidas, salvaguardas e mecanismos de mitigação dos riscos. Assim, sua elaboração depende da boa condução do mapeamento de dados, do gap assessment e da adoção das medidas de conformidade.
O capítulo VI do documento do CNJ, diferente do que foi visto em muitos provimentos estaduais, detalha algumas instruções para elaboração do RIPD. Ele indica, por exemplo, que o Relatório deve ser formulado previamente à pactuação de contrato ou convênio e à adoção de novos procedimentos ou tecnologias pelo cartório.
O texto deixa dúvidas, entretanto, no tocante à possibilidade franqueada aos afetados pelo tratamento, a título de transparência, de se manifestarem sobre o conteúdo do RIPD (art. 11, III). Não está evidente o tipo de manifestação, nem a extensão, objetivamente, da sua influência no Relatório.
Os parágrafos 2º16 e 3º17 do art. 11 trazem a possibilidade de a CPD/CN/CNJ padronizar modelos de RIPD para as serventias. Espera-se que a disponibilização dos templates venha acompanhada de uma pormenorização das diretrizes em relação à confecção dos documentos.
6. Atenção ao uso do conceito de “operador”
Um erro comum em alguns provimentos estaduais foi o enquadramento dos prepostos do delegatário como operador. Os funcionários do agente delegado (controlador), contudo, não são operadores – eles apenas atuam sob seu poder diretivo.
O art. 5º do Provimento, acertadamente, indica que o operador é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da serventia, contratada para serviço que envolva o tratamento de dados pessoais em nome do controlador.
Esse entendimento coaduna com o manifestado pela ANPD no “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”18. Segundo o documento, o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este. Por esta razão, deve-se evitar a confusão dessas figuras – preposto do controlador e operador. Os modelos de contratação são diferentes, assim como o regime de responsabilização previsto na LGPD.
O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do controlador – hipótese em que o operador se equipara ao controlador19. Já os prepostos do controlador, uma vez que não são tecnicamente agentes de tratamento, não respondem diretamente pelo dano. Com isso, o controlador é quem será obrigado a repará-lo20.
Apesar do acerto na conceituação realizada no art. 5º, o texto final do Provimento manteve a confusão relacionada à menção ao operador no art. 16, V21. Aparentemente se trata de erro na redação, uma vez que o capítulo VIII se dedica ao treinamento dos prepostos do agente delegado que, como já visto anteriormente, não são agentes de tratamento, muito menos, operadores.
Por outro lado, pode-se interpretar que há um comando para que os cartórios também capacitem os prestadores externos ao quadro funcional da serventia. Tal medida não seria uma prática desaconselhada, ainda mais ao se considerar o dever de orientação do operador pelo controlador.
Caberá à CPD/CN/CNJ, se não houver alteração no texto do Provimento que esclareça os pontos mencionados, a definição da melhor interpretação do conteúdo do art. 16, V.
7. Unificação do prazo de comunicação de incidentes de segurança
Outro ponto controverso nos provimentos estaduais foi a comunicação de incidentes a autoridades. Em sua maioria, os textos determinavam que o juiz corregedor permanente e a Corregedoria-Geral da Justiça deveriam ser informados em, no máximo, 24 horas. A ANPD, por sua vez, recomenda, enquanto pendente a regulamentação do tema, que a comunicação seja feita no prazo de dois dias úteis, contados da data do conhecimento do incidente22.
As diretrizes expedidas pelas corregedorias dos estados, em regra, também não elencavam a Autoridade Nacional como um dos destinatários da comunicação e não faziam a ressalva de que a lei 13.709/18 determina apenas a informação de eventos que possam acarretar riscos ou danos relevantes aos titulares.
A versão definitiva do Provimento resolve os problemas mencionados, uma vez que o art. 13 determina a comunicação de incidentes de segurança à ANPD, ao juiz corregedor permanente e à Corregedoria-Geral da Justiça, desde que possam acarretar risco ou dano relevante aos titulares. O prazo estipulado passou a ser o de 48 horas úteis, contados a partir do conhecimento do caso.
Salienta-se a importância de realizar uma apuração prévia para atestar a efetiva ocorrência do incidente, sendo esta investigação preliminar o procedimento que consolida, de fato, o conhecimento sobre o evento. Ademais, é esse exame que permitirá a reunião das informações que devem ser comunicadas às autoridades mencionadas no art. 13.
*
É relevante o passo dado pelo Poder Judiciário ao editar o dispositivo analisado neste artigo, uma vez que demonstra responsabilidade e preocupação com o assunto. Apesar de ainda possuir pontos de melhoria, a norma já traz medidas práticas e alinhadas ao espírito preventivo e protetivo da legislação em vigor, representando um excelente parâmetro para uniformização de condutas no sistema extrajudicial brasileiro.
As serventias terão o prazo de 180 dias para entrarem em conformidade às disposições contidas no Provimento, mesmo tempo dado às corregedorias estaduais para que promovam a adequação das normas locais que contrariarem as regras e diretrizes constantes no ato do CNJ.
Espera-se, agora, que a Comissão de Proteção de Dados atue com diligência para expedição de diretrizes complementares e fornecimento dos insumos pertinentes para a adequação dos cartórios.
Referências
1 CONSELHO NACIONAL DE JUSTIÇA. Edital de Abertura de Consulta Pública – Minuta de Provimento sobre LGPD. Disponível em: Acesso em: 31 de ago. de 2022.
2 CONSELHO NACIONAL DE JUSTIÇA. Minuta de Provimento sobre aplicação da LGPD pelas serventias extrajudiciais. Disponível em: Acesso em: 31 de ago. de 2022.
3 Art. 5º, VI, LGPD: VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
4 Art. 5º, VII, LGPD: encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
5 Art. 41, caput, LGPD: o controlador deverá indicar encarregado pelo tratamento de dados pessoais.
6 A ANPD tem regulamentado situações específicas para dispensa de indicação de encarregado. A Resolução CD/ANPD 2, de 27 de janeiro de 2022, por exemplo, estabeleceu a não obrigatoriedade de nomeação de um encarregado por agentes de tratamento de pequeno porte (art. 11), cuja definição trazida no art. 2º, I, não engloba os serviços notariais e de registro. As serventias extrajudiciais recebem, conforme art. 23, § 4º, da LGPD, o mesmo tratamento dispensado à administração pública, ou seja, são obrigadas a indicar encarregado, na forma do art. 23, III, da mesma Lei. A ANPD não expediu, até então, qualquer regulamento que disponha o contrário.
7 Art. 10, § 2º, Provimento 134/22 do CNJ: A nomeação e contratação do Encarregado de Proteção de Dados Pessoais pelas Serventias será de livre escolha do titular da Serventias, podendo, eventualmente, ser realizada de forma conjunta, ou ser subsidiado ou custeado pelas entidades de classe.
8 Art. 10, I, Provimento 134/22 do CNJ: os responsáveis pelas Serventias Extrajudiciais poderão terceirizar o exercício da função de Encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função.
9 O Provimento 74/18 da Corregedoria Nacional de Justiça dispõe sobre os padrões mínimos de tecnologia da informação para a segurança, a integridade e a disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro. Em seu texto, as serventias extrajudiciais são divididas em três classes, de acordo com a arrecadação semestral, para definição de pré-requisitos para cumprimento dos padrões de segurança.
10 Art. 50, caput, LGPD: os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
11 Art. 16, IV, Provimento 134/22 do CNJ: As serventias deverão realizar treinamentos para implementação da cultura de privacidade e proteção de dados pessoais, bem como para a capacitação de todos os envolvidos no tratamento dos dados pessoais sobre os novos controles, processos e procedimentos, observando o seguinte: IV – organizar, por meio do Encarregado e eventual equipe de apoio, programa de conscientização a respeito dos procedimentos de tratamento de dados, que deverá atingir todos os trabalhadores.
12 Art. 37, caput, LGPD: o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.
13 O tratamento de dados pessoais, conforme reza o art. 6º, III, da LGPD, deve ser limitado ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.
14 O art. 7º da lei 13.709/18 elenca as hipóteses autorizadoras de tratamento de dados pessoais. Dessa forma, as operações identificadas no mapeamento deverão passar por controle de legalidade à luz das bases contidas na lei.
15 Art. 5º, XVII, LGPD: relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;
16 Art. 11, § 2º, Provimento 134/22 do CNJ: Serventias Classe I e II poderão adotar modelo simplificado de Relatório de Impacto conforme orientações da CPD/CN/CNJ para a simplificação do documento. Na ausência de metodologia simplificada, adotar-se-á o Relatório completo.
17 Art. 11, § 3º, Provimento 134/22 do CNJ: Serventias Classe III adotarão o modelo completo de Relatório de Impacto, conforme instruções metodológicas da CPD/CN/CNJ.
18 Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível em: Acesso em: 06 de ago. de 2022.
19 Art. 42, I, LGPD: o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador, salvo nos casos de exclusão previstos no art. 43 desta lei;
20 Art. 42, caput, LGPD: O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
21 Art. 16, V, Provimento 134/22 do CNJ: As serventias deverão realizar treinamentos para implementação da cultura de privacidade e proteção de dados pessoais, bem como para a capacitação de todos os envolvidos no tratamento dos dados pessoais sobre os novos controles, processos e procedimentos, observando o seguinte: V – manter os comprovantes da participação em cursos, conferências, seminários ou qualquer modo de treinamento proporcionado pelo controlador aos operadores e Encarregado, com indicação do conteúdo das orientações transmitidas.
22 Autoridade Nacional de Proteção de Dados (ANPD). Incidente de Segurança. Disponível em: Acesso em: 07 de ago. de 2022.
*Daniel Ribeiro dos Santos é advogado, sócio e coordenador do núcleo de Proteção de Dados e Compliance do Chezzi Advogados, professor, especialista em Direito Digital e Compliance pelo Ibmec – São Paulo.
Fonte: Migalhas