Em 27/09/2022

Proteção de dados nos cartórios: respostas às principais dúvidas


Confira a opinião de Adrianne Lima e Flávia Alcassa publicada no ConJur.


 

Recentemente foi publicado o Provimento nº 134/22, após consulta pública realizada pela Corregedoria Nacional de Justiça (CNJ), sendo que cartórios de todo o país deverão atender às disposições presentes na Lei Geral de Proteção de Dados Pessoais (LGPD, Lei nº 13.709/2018).

É de que conhecimento que há tratamento de dados pessoais, sensíveis ou não, na prestação das atividades notariais e registrais, sendo os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, no desempenho de suas atividades, controladores de dados pessoais. 

A norma tem especial relevância quando se considera a quantidade e a qualidade dos dados pessoais guardados por cada um dos notários e registradores brasileiros, que vão do nascimento à morte das pessoas, questões de Estado, filiação, parentalidade, assim como as mais variadas e complexas questões patrimoniais, ou relacionadas com pessoas jurídicas de várias naturezas (CNJ, 2022).

Inclusive há compartilhamento de dados pessoais pelos responsáveis das serventias extrajudiciais com as centrais de serviços eletrônicos compartilhados, decorrente de previsões legais e normativas.

Sendo, a seguir, respondemos algumas dúvidas que podem surgir: 

1) O que as serventias devem fazer?
Os responsáveis pelas serventias extrajudiciais deverão atender às disposições da Lei Geral de Proteção de Dados Pessoais (LGPD) (Lei nº 13.709/2018)

Tanto a LGPD (artigos 46 a 51), como o Provimento (artigo 6), estabelecem que o responsável pela serventia extrajudicial deverá:

I – nomear encarregado pela proteção de dados;
II – mapear as atividades de tratamento e realizar seu registro;
III – elaborar relatório de impacto sobre suas atividades, na medida em que o risco das atividades o faça necessário;
IV – adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais;
V – definir e implementar Política de Segurança da Informação;
VI – definir e implementar Política Interna de Privacidade e Proteção de Dados;
VII – criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares;
VIII – zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluam previsões sobre proteção de dados pessoais; e
IX – treinar e capacitar os prepostos.

2) Quem são controladores, segundo a LGPD e o Provimento do CNJ?
Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, na qualidade de titulares das serventias, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, a quem compete as decisões referentes ao tratamento de dados pessoais.

O operador, a que se refere o artigo 5º da LGPD, é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da serventia, contratada para serviço que envolva o tratamento de dados pessoais em nome e por ordem do controlador.

3) Quem é o encarregado pela proteção de dados (Data Protection  Officer — DPO)?
Encarregado (ou mais conhecido como Data Protection Officer — DPO) é a pessoa que oferece o suporte para que o cartório cumpra a LGPD, isso porque a lei traz diversas obrigações e rotinas que são contínuas.

O trabalho pode ser realizado por um colaborador interno ou de forma terceirizada, como nós autoras realizamos, com uma equipe experiente e multidisciplinar (Jurídico, TI, Segurança da Informação e Projetos). Assim, os responsáveis pelas serventias, podem dedicar-se às atividades principais, sem preocupações.

Cada serventia possui determinado porte e envolve determinada complexidade, a depender, por exemplo, da região de atuação, maturidade de governança e quantidade de colaboradores, por isso a prestação de serviços de consultoria pode oferecer suporte personalizado a cada caso.

O artigo 41 da LGPD define as atribuições do Encarregado e o Provimento especifica que:

"Artigo 10. Deverá ser designado o encarregado pelo tratamento de dados pessoais, conforme o disposto no artigo 41 da LGPD, consideradas as seguintes particularidades:
I – os responsáveis pelas Serventias Extrajudiciais poderão terceirizar o exercício da função de Encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função;
II – a função do Encarregado não se confunde com a do responsável pela delegação dos serviços extrajudiciais de notas e de registro;
III – a nomeação do Encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador na qualidade de responsável pela nomeação e o Encarregado; e
IV – a nomeação de Encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais.
§1º Serventias classificadas como 'Classe I' e 'Classe II' pelo Provimento nº 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça, poderão designar Encarregado de maneira conjunta.
§2º A nomeação e contratação do Encarregado de Proteção de Dados Pessoais pelas Serventias será de livre escolha do titular da Serventias, podendo, eventualmente, ser realizada de forma conjunta, ou ser subsidiado ou custeado pelas entidades de classe.
§3º Não há óbice para a contratação independente de um mesmo Encarregado por serventias de qualquer Classe, desde que demonstrável a inexistência de conflito na cumulação de funções e a manutenção da qualidade dos serviços prestados".

4) Como a serventia é beneficiada ao cumprir a LGPD, o quanto antes?
Sabemos que a Lei Geral de Proteção de Dados trouxe grande disrupção para o mundo dos negócios, visando aumentar dramaticamente a transparência quanto ao processamento e métodos de tratamento de dados pessoais. Instituições que estiverem inseridas na irregularidade com a lei, não apenas sofrerão sanções pecuniárias, mas também estarão mais suscetíveis a vazamentos de dados.

A conformidade com a LGPD pode promover um grau de confiança essencial para criar relações sólidas com os titulares de dados pessoais. Com o compliance realizado, os titulares/usuários começarão a ter mais conhecimento sobre como seus dados são utilizados, minimizando possíveis reclamações e requisições. Concluiu-se que necessário as adoções de boas práticas para a governança de dados nas serventias.

___________________

Referências consultadas
Provimento nº 134, de 24 de agosto de 2022 (Estabelece medidas a serem adotadas pelas serventias extrajudiciais em âmbito nacional para o processo de adequação à Lei Geral de Proteção de Dados Pessoais). Disponível em: <https://atos.cnj.jus.br/atos/detalhar/4707>         

Cartórios têm 180 dias para adequação às novas regras de proteção de dados. Disponível em: <https://www.cnj.jus.br/cartorios-tem-180-dias-para-adequacao-as-novas-regras-de-protecao-de-dados/> 

Adrianne Lima é advogada consultora em Direito Digital e LGPD, mestre em Administração e Desenvolvimento de Negócios pela Mackenzie, lead implementer ISO 27701, professora convidada da Universidade Mackenzie e diretora do Comitê Jurídico da ANPPD.

 é sócia-fundadora do escritório Alcassa & Pappert Advogados, especializada em Direito Digital Corporativo, Bancário e Compliance, membro do comitê jurídico da ANPPD® (Associação Nacional dos Profissionais de Privacidade) e autora dos livros "LGPD e Contratos" e "LGPD e Cartórios" (ed. Saraiva).

Revista Consultor Jurídico, 26 de setembro de 2022, 18h27

Fonte: ConJur.



Compartilhe