O tratamento e proteção de dados pessoais é assunto presente no cotidiano da atividade notarial do Brasil. Rotineiramente há grande fluxo de informações sensíveis de clientes e prepostos entre os serviços de serventias de todos os tamanhos, sob regulamentação direta da Lei Geral de Proteção de Dados.
Para instruir de forma prática e capacitar notários de todo o país quanto a legislação vigente, o advogado membro do comitê jurídico e coordenador do comitê de conteúdo da Associação Nacional de Profissionais de Privacidade de Dados Pessoais (ANPPD), João Rodrigo Stinghen, fala com a Academia Notarial Brasileira sobre a edição 2021 do livro “LGPD e Cartórios: implementação e questões práticas”, organizado e publicado pelo Instituto de Compliance Notarial e Registral (ICNR), a qual também é fundador.
ANB – Qual a iniciativa do livro?
João Rodrigo Stinghen – A obra foi concebida por iniciativa de seus coordenadores: Tarcísio Teixeira, Adrianne Lima, Marcelo Karam, Mirian Jabur e João Rodrigo Stinghen. Todos nós temos mútuas parcerias em cursos, treinamentos e projetos implementação da Lei Geral de Proteção de Dados Pessoais (LGPD). Diante dessa proximidade, concebemos a obra em questão a partir do conhecimento técnico e prático que todos temos em proteção de dados, matizado pela minha experiência com advocacia para delegatários de todas as especialidades
ANB – De que forma a obra aborda a LGPD?
João Rodrigo Stinghen – A obra contempla os aspectos mais importantes para a aplicação prática da LGPD, abordando também conceitos indispensáveis para compreensão da matéria, de maneira multidisciplinar. A divisão dos temas foi cuidadosamente pensada pelos coordenadores em contato com cada autor.
ANB – Como foi a escolha dos autores?
João Rodrigo Stinghen – Para garantir a multidisciplinaridade, os 26 autores da obra são oriundos de diferentes áreas, a saber: advogados em direito digital e proteção de dados; advogados, juízes e delegatários atuantes no extrajudicial; gestores de compliance e riscos; encarregados de dados de diferentes setores; e consultores em tecnologia e segurança da informação.
Ressalte-se que esse rol de autores conta profissionais notáveis, abarcando dois membros do Conselho Nacional de Proteção de Dados (Patrícia Peck e Davis Alves), e autores renomados (Tarcisio Teixeira e Vitor Kümpel). Além disso, o prefácio foi redigido pela desembargadora Denise Francoski, membro do Grupo de Trabalho do Conselho Nacional de Justiça (CNJ) para regulamentar a LGPD no âmbito extrajudicial.
ANB – Sendo profissionais que lidam com muitos dados pessoais cotidianamente, como os notários devem se preparar para estar em conformidade com a LGPD?
João Rodrigo Stinghen – A primeira referência sempre deve ser os regulamentos. Até o momento, 15 unidades federativas já publicaram regulamentações sobre a aplicação da LGPD aos cartórios. Apesar de divergências pontuais, elas mantêm certo padrão. Logo, caso não haja ainda provimento em seu estado, você pode seguramente basear sua implementação nos demais já publicados.
Nesta entrevista, não há espaço para explicar o passo-a-passo da adequação, mas a isso o leitor pode ter acesso: (i) em nosso ebook A LGPD Segundo o provimento 23/2020 do TJ/SP; (ii) em nossa live no youtube Parabéns LGPD – 1 ano de vigência: o que mudou para os cartórios?; (iii) e é claro, na obra da qual tratamos agora.
ANB – Quem são os titulares de dados perante as serventias e como a obra auxilia no respeito a seus direitos?
João Rodrigo Stinghen – Através de seus capítulos, a obra abarca todos os principais elementos práticos para a adequação, tais como: conscientização da equipe; indicação do encarregado de dados; canal de atendimento de solicitações; atualização de contratos; criação de políticas e outros documentos, como relatório de impacto; mapeamento e governança de dados; etc.
Mas o que todas essas coisas têm a ver com os direitos dos titulares de dados? É que não é possível efetivá-los sem uma implementação completa da LGPD. Não basta ter um encarregado de dados, é preciso que ele seja preparado para atender às solicitações dos titulares; não basta ter uma política de privacidade, é preciso que ela seja transparente; não basta ter canal de atendimento, é necessário ter mapeado o fluxo de dados para poder efetivar os direitos de acesso, eliminação e correção. E assim por diante.
João Rodrigo Stinghen – Tendo em vista todas as rígidas normas que já seguem, os cartórios já não cumpriam a LGPD desde sempre?
Já há bom tempo tenho sustentado que, pelo princípio da conservação, os cartórios possuem um nível muito mais elevado de proteção de dados em comparação com empresas e órgãos públicos em geral. Mas isso não significa que já estejam adequados à LGPD. Essa tese, aliás, coloca em risco os delegatários que a acatam.
Implementar a LGPD não é apenas salvaguardar documentos e possuir as medidas técnicas de segurança; tampouco consiste em indicar um encarregado e fazer uma política de privacidade. Esses são passos importantes, mas a adequação vai muito além, exigindo uma série de outros documentos e medidas. Note-se que essas exigências não são uma interpretação expansiva da LGPD, mas estão detalhadas nos provimentos das corregedorias (cujo descumprimento é infração contemplada no art. 31, I da Lei 8.935/1994).
ANB – Temos visto na mídia muitas situações de incidentes de segurança, e parece que ninguém está seguro. Se isso ocorrer em algum cartório, haverá sanções?
João Rodrigo Stinghen – Desde logo é importante ressaltar que nenhum cartório será punido apenas por ter sofrido um incidente de segurança – como uma invasão hacker, por exemplo – mesmo que tal incidente afete os direitos dos titulares de dados.
As sanções existem para punir aqueles que relutam em se adequar à LGPD. Note-se a diferença com um exemplo. Em dois cartórios ocorreram situações de violação de dados. Apurando os fatos, o corregedor percebe que Tabelionato Silva implementou a LGPD, com medidas jurídicas, administrativas e tecnológicas para prevenir riscos; já o Tabelionato Pereira não sequer havia iniciado o projeto.
Nesse caso, apenas o Tabelionato Pereira poderia ser punido. E por quê? Porque muito provavelmente, mesmo que não tenha conseguido evitar o incidente, o Tabelionato Silva possui mais condições de contornar as consequências do incidente e estancar os danos. Em suma, estar adequado à LGPD – e evitar sanções – não é ser inexpugnável, mas ter feito tudo o que estava a seu alcance para salvaguardar os dados pessoais.
ANB – Quais as sanções administrativas que os delegatários podem sofrer caso ocorram violações de dados pessoais?
João Rodrigo Stinghen – Para infrações relacionadas a proteção de dados, existem duas fontes normativas de sanções administrativas.
A primeira fonte é a própria LGPD, cuja aplicação é competência exclusiva da Autoridade Nacional de Proteção de Dados (ANPD). O art. 52 da lei contempla sanções como advertência, publicização da infração, bloqueio de dados, dentre outras. Ressalve-se, contudo, que as multas da LGPD não são aplicáveis às serventias extrajudiciais por força do art. 52, § 3º da lei c/c art. 23, § 4º.
A segunda fonte é a Lei 8.935/1994, de aplicação pelo Poder Judiciário. Uma vez que descumprir a legislação é uma infração (art. 31, I), a ofensa à LGPD pode desencadear as sanções do art. 32 da Lei 8.935/1994, o que inclusive é previsto expressamente no Provimento 45/2021 da CGJ/ES (art. 23-O) e no Provimento 19/2021 da CGJ/TO (art. 29).
Para saber mais sobre o tema da fiscalização dos cartórios para fins da LGPD, leia o capítulo 15 da obra, escrito pelo Prof. Vitor Kumpel e pela advogada Giselle de Menezes Viana. Garanto que vale a pena!
ANB – Dessas duas fontes normativas para sanções, existe alguma delas para priorizar?
João Rodrigo Stinghen – Como consultor de cartórios já há alguns anos, eu me preocuparia muito menos com as sanções da LGPD. Sendo órgão de competência horizontal, a ANPD fiscaliza todas as entidades públicas e privadas do Brasil, tornando inviável uma análise pormenorizada. Além disso, o órgão já deixou claro que aplicará sanções apenas depois de regulamentar a matéria, o que ainda não ocorreu.
Eu ficaria preocupado, isso sim, com as sanções da Lei 8.935/1994, seja porque o Judiciário tem uma fiscalização bem mais estreita em face dos cartórios, seja porque as corregedorias estaduais estão sendo cobradas disso pelo CNJ (art. 1º, VIII da Resolução 363/2020).
Destas sanções, acredito seriam aplicáveis apenas a repreensão e multa, eis que não vislumbro, a partir da LGPD, infrações graves ou gravíssimas. Alerto, porém, que corregedores costumam considerar os antecedentes para majorar sanções. Logo, o descumprimento da LGPD pode gerar precedentes passíveis de assombrar o delegatário, elevando penas de multa a suspenção, de suspensão a perda de delegação.
ANB – De que forma tais regramentos devem ser aplicados a pequenas serventias?
João Rodrigo Stinghen – Infelizmente, apenas alguns provimentos estaduais preveem essa diferenciação, mas ela decorre do princípio constitucional da isonomia. Com efeito, é injusto manter o mesmo grau de exigência diante do abismo de faturamento existente entre os cartórios.
Mas isso não significa que cartórios menores não devam se adequar, já que tratam grande volume de dados pessoais, com riscos aos respectivos titulares. A questão é que a adequação pode ser exigida em níveis – por exemplo, com uma carga menor de documentações e medidas de segurança, bem como a ausência do dever de registro das operações de tratamento.
Inclusive na audiência pública que a ANPD fez para subsidiar o regulamento de Agentes de Pequeno Porte, defendi a tese de que deveriam ser inclusos, nesta categoria, as serventias menores. . Tal previsão não é algo essencial, ante a diferenciação que o Provimento 74/2018 já faz, mas certamente elevaria o arcabouço argumentativo em favor de uma exigência de adequação proporcional ao porte das serventias.
ANB – Por fim, há cuidados específicos que notários que realizam atos online devem ter em relação à proteção de dados?
João Rodrigo Stinghen – Mesmo antes de entrar em vigor a LGPD, o Provimento 100/2020 do CNJ já previa que os atos notariais eletrônicos estivessem adequados à LGPD (art. 33).
Apesar de, em caráter geral, os atos eletrônicos não exigirem obrigações diferenciadas, há certas peculiaridades. Por exemplo, as medidas de segurança se alteram: protegem-se arquivos físicos com trancas e câmeras de segurança; já arquivos digitais, com senhas, firewall e antivírus.
Na obra em questão, temos inclusive um capítulo todo dedicado aos provimentos do CNJ que contemplam atos eletrônicos em cotejo com as exigências da LGPD. Ele foi escrito a seis mãos, por um advogado, um consultor em segurança e uma oficiala de registro. Vale a pena conferir!
Fonte: CNB-CF