A Lei Geral de Proteção de Dados (LGPD) nos cartórios

 

A Lei Geral de Proteção de Dados (LGPD) está em vigor e todos aqueles a quem a lei é aplicável devem se adaptar. E sim, isso inclui os cartórios!

A LGPD é bem clara em relação a isso quando determina, no § 4º do artigo 23, que os serviços notariais e de registro exercidos em caráter privado por delegação do Poder Público terão o mesmo tratamento dispensado às pessoas jurídicas de direito público.

A LGPD, inclusive, dedica um capítulo inteiro ao Poder Público, algo que não se repete em relação a outros segmentos da estrutura política/socioeconômica do país.

Isso se deve ao fato de que o Estado deve ser o primeiro a prestar contas ao cidadão sobre o uso dos seus dados pessoais. De fato, historicamente, a proteção de dados surgiu muito mais da preocupação com o uso que o Estado faz dos dados pessoais do que da preocupação com o uso de dados pessoais entre particulares.

A propósito, apresentamos um panorama histórico das normas de proteção de dados no nosso artigo sobre o consentimento. Não deixe de conferir!

Voltemos ao tema principal deste artigo: a LGPD nos cartórios. Continue conosco para entender por que os cartórios devem se adequar à legislação de proteção de dados e como fazê-lo.

 

A LGPD nos cartórios

 

É certo que os serviços notariais e de registro são consideravelmente regulamentados e que, nessa esteira, já conferem aos dados pessoais uma proteção maior do que aquela habitualmente conferida em outros contextos de menor regulamentação. Contudo, isso não exime os cartórios da necessidade de adequação à legislação, cujo objetivo é o de garantir um fluxo condicionado e apropriado de dados dessa natureza.

Além disso, como já ressaltamos em nosso artigo sobre a LGPD no mercado imobiliário, a lei busca impor um balizamento ético com base nos princípios e valores esculpidos em seu texto para garantir o direito fundamental à proteção de dados pessoais.

Bom, se você chegou até aqui e ainda não se convenceu sobre a necessidade da adequação dos cartórios à LGPD, saiba que estar ou não em conformidade com a lei pode influenciar, inclusive, a escolha de um ou outro cartório por empresas que precisam dos serviços notariais de forma recorrente.

Isso porque, como explicamos em nosso artigo sobre a responsabilidade civil na LGPD, se mesmo quem se adequa à lei pode ter que responder por algum incidente se não permanecer vigilante, imagine quem não se adequa.

Com efeito, a LGPD prevê a responsabilidade dos envolvidos nas operações de tratamento de dados pessoais, tanto do controlador como do operador, deixando clara a possibilidade de reparação dos danos patrimonial, moral, individual ou coletivo sempre que tais danos decorrerem de violação à legislação de proteção de dados pessoais (sobre o conceito de controlador e operador, recomendamos que leia outro de nossos conteúdos).

Daqui em diante, será cada vez mais necessária uma extensa e cuidadosa pesquisa antes da contratação de fornecedores e prestadores de serviço no que se refere à adequação à LGPD. E é nesse filtro que os cartórios também precisarão passar.

 

A adaptação dos cartórios à LGPD

 

A adaptação à LGPD nos cartórios é peculiar pela natureza dos serviços notariais e registrais – exercidos em caráter privado por delegação do poder público.

Nesse sentido, tendo em vista que os serviços notariais e registrais são organizados sob o guarda-chuva das Justiças Estaduais, cabe ao Poder Judiciário de cada Estado traçar regras de implementação da proteção de dados nas atividades sob sua jurisdição, o que já aconteceu, por exemplo, em São Paulo, Santa Catarina e Minas Gerais.

Por outro lado, o Conselho Nacional de Justiça (CNJ) está atualmente trabalhando em uma regulamentação nacional de adequação dos serviços notariais e de registro à LGPD. O CNJ abriu prazo para consulta pública e as manifestações sobre a minuta da resolução que tratará do tema deveriam ter sido enviadas até o dia 28 de fevereiro de 2022.

Na data de publicação deste artigo, portanto, o grupo de trabalho responsável pela consolidação e análise das propostas recebidas, após as devidas deliberações, já está envolvido nos trabalhos que precederão à submissão, à Corregedoria Nacional de Justiça, da versão final do texto.

Embora não se trate da versão final, tal minuta possui previsões detalhadas sobre a adaptação dos cartórios à LGPD, muitas das quais advêm de atos normativos já publicados por alguns Estados. E são esses atos que servem de base às orientações constantes deste artigo.

 

Providências a serem adotadas para a adaptação de cartórios à LGPD

 

Afinal, quais seriam as ações a serem executadas pelos cartórios para uma adaptação à LGPD? Antes de prosseguir, recomendamos a leitura do artigo sobre adequação à LGPD na prática que publicamos no blog.

Listamos, a seguir, 8 ações:

 

Nomeação do Encarregado pela proteção de dados

 

O Encarregado é um profissional chave em relação à proteção de dados pessoais. As atribuições dele vão além de ser a ponte entre controlador/operador, titulares e Autoridade Nacional de Proteção de Dados.

Cabe ao Encarregado, de acordo com o artigo 41, inciso III, da LGPD, “orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais”. 

No caso dos cartórios, é relevante destacar alguns aspectos específicos que devem ser observados quando da nomeação do Encarregado:

I – É possível que os responsáveis pelos cartórios terceirizem o exercício da função de Encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função;

II – A função do Encarregado não deve ser confundida com a do responsável pela delegação dos serviços extrajudiciais de notas e de registro;

III – A nomeação de Encarregado não deve afastar o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro quando for solicitado pelo titular dos dados pessoais.

Também é importante levar em conta alguns apontamentos constantes da minuta do CNJ, já que eles indicam uma tendência na regulamentação.

O texto da minuta permite que serventias classificadas como “Classe I” e “Classe II” pelo Provimento nº 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça, designem o Encarregado de maneira conjunta.

Adicionalmente, a minuta indica que serventias de “Classe III” deverão contar com equipe multidisciplinar de apoio ao Encarregado, composta ao menos por integrantes das áreas de tecnologia da informação, segurança de informação e jurídica. Em qualquer hipótese, ao menos 1 (um) dos 4 (quatro) integrantes listados deve ser funcionário regular da serventia.

Finalmente, a minuta prevê que não haveria óbice para a contratação independente de um mesmo Encarregado por serventias de qualquer Classe, desde que demonstrável a inexistência de conflito na cumulação de funções e a manutenção da qualidade dos serviços prestados.

 

Mapeamento e registro das atividades de tratamento

 

Mapear o fluxo de dados pessoais no cartório é examinar todo o caminho do dado pessoal, desde o momento de coleta (incluindo a forma como o dado pessoal foi coletado, o propósito da coleta e quais dados foram coletados), até a forma como os dados são utilizados dentro do cartório (transferências internas e externas) e como são armazenados (incluindo a agenda de armazenamento).

Assim, o mapeamento de dados identifica o banco de dados da serventia, tendo como produto final da atividade um inventário de dados pessoais.

Esse inventário de dados pessoais deverá conter informações sobre:

a) a finalidade do tratamento;

b) as categorias de dados pessoais e a descrição dos dados pessoais utilizados nas respectivas atividades;

c) a identificação das formas de obtenção/coleta dos dados pessoais;

d) a base legal utilizada para o tratamento dos dados pessoais;

e) a descrição da categoria dos titulares (clientes, colaboradores, fornecedores, prestadores de serviços etc);

f) se há compartilhamento de dados com terceiros, identificando eventual transferência internacional;

g) as categorias de destinatários, se houver; h) o prazo de conservação dos dados; e

i) as medidas de segurança organizacionais e técnicas adotadas.

É necessário, porém, ir além do mapeamento das atividades de tratamento já existentes no cartório, com a elaboração de um plano de ação para a implementação dos novos processos, procedimentos, controles e demais medidas internas, incluindo a revisão e criação de documentos, bem como as formas de comunicação com os titulares e a ANPD, quando necessária.

Com base nas apurações feitas no mapeamento, é possível identificar o uso imprevisto ou não intencional de dados pessoais e os principais riscos das operações a fim de verificar as áreas de maior exposição.

A partir disso, viabiliza-se uma avaliação das vulnerabilidades (o chamado gap assessment) para análise de lacunas em relação à proteção de dados pessoais no cartório. E mais: viabiliza-se a tomada de decisões diante das vulnerabilidades encontradas e a implementação das adequações necessárias e compatíveis com a atividade notarial e/ou de registro.

Exemplo: uma vez identificada a forma de armazenamento dos dados pessoais, é possível visualizar eventuais desconformidades com o princípio da segurança e tomar decisões que mitiguem eventual vulnerabilidade.

O inventário de dados pessoais deve ser atualizado periodicamente e arquivado na serventia para disponibilização em caso de eventual fiscalização da ANPD.

 

Elaboração do relatório de impacto

 

O Relatório de Impacto à Proteção de Dados (RIPD) é mais conhecido pela sigla em inglês “DPIA” (Data Protection Impact Assessment).

Este é um documento concebido para descrever o tratamento de dados pessoais, avaliar a sua necessidade/proporcionalidade e ajudar a gerir os respectivos riscos aos direitos e liberdades, por meio da avaliação de tais riscos e da determinação de medidas para fazer frente a eles. Recomendamos a leitura do nosso artigo sobre o DPIA para mais detalhes sobre o documento.

A minuta do ato normativo do CNJ indica que haverá dois modelos de Relatório de Impacto disponíveis aos cartórios: um modelo simplificado e um modelo completo.

Há previsão de que as serventias Classe I e II poderão adotar modelo simplificado de Relatório de Impacto conforme orientações do CPD/CN/CNJ para a simplificação do documento. Já as serventias Classe III deverão utilizar o modelo completo de Relatório de Impacto, conforme instruções metodológicas do CPD/CN/CNJ.

 

Adoção de medidas de transparência aos usuários

 

A transparência, um dos princípios da LGPD, exige que aos titulares sejam garantidas informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento de dados pessoais. Juntamente com o princípio da finalidade, da adequação e da necessidade, a transparência está no cerne da LGPD.

Dentre as medidas que podem ser adotadas para garantir transparência aos titulares está a criação de um canal eletrônico específico para atendimento das requisições e/ou reclamações apresentadas pelos titulares dos dados pessoais. Além disso, é imprescindível que se estabeleça um fluxo para o atendimento dos direitos dos titulares, desde o recebimento da demanda até o fornecimento da respectiva resposta.

Sobre essa questão, recomendamos a leitura do nosso artigo sobre os direitos dos titulares, no qual abordamos cada um desses direitos, com foco nas ações práticas que devem executadas pelos agentes de tratamento de dados e monitoradas pelos titulares desses dados. É também em tal artigo que disponibilizamos, gratuitamente, um modelo de respostas aos titulares que exercerem seus direitos.

Para além do canal de atendimento, a minuta do ato normativo do CNJ indica outras ações para garantir a transparência: a divulgação em local de fácil visualização; a consulta, pelo público, das informações a respeito dos procedimentos de tratamento de dados; avisos de privacidade e proteção de dados; e avisos de cookies nos sites dos cartórios, com informações sobre os procedimentos de tratamento de dados pessoais.

 

Definição e implementação de Política de Privacidade

 

A Política de Privacidade é o documento produzido pelo agente de tratamento (o controlador ou o operador de dados pessoais), que contém a descrição de todas as práticas e medidas de privacidade e segurança por ele adotadas no tratamento dos dados, em conformidade com o determinado pela LGPD.

O principal objetivo desse documento é garantir a transparência, que, como se viu, é um dos pilares da legislação de proteção de dados.

Pela necessidade de ser transparente, esse documento essencial deve ser também acessível, tanto do ponto de vista técnico – uso de terminologia de fácil compreensão – quanto do ponto de vista do alcance – o documento deve estar facilmente disposto nos principais meios de comunicação do agente de tratamento, como site e redes sociais.

 

Treinamento dos prepostos

 

Quando escrevemos sobre o verdadeiro custo de um incidente de segurança de dados pessoais, mencionamos que o relatório da IBM sobre os custos de um incidente de dados dá conta de que, em 2021, 23% dos incidentes foram causados por erro humano. Eis o quão séria é a necessidade de conscientização sobre o uso de dados pessoais.

Em outras palavras, se quem manipula dados pessoais diariamente não entender aquilo como algo que deve ser fortemente protegido, a probabilidade de falha humana cresce muito.

Assim, para fins de adequação da LGPD nos cartórios, o treinamento dos prepostos dos cartórios que lidam com dados pessoais não deve ser realizado apenas uma vez, de forma rasa. O objetivo é implementar uma cultura de proteção de dados, de forma que todos absorvam, naturalmente, a importância dessa proteção em todos os procedimentos realizados no cartório.

 

Revisão dos instrumentos que estão sendo utilizados

 

Os instrumentos que envolvam qualquer tipo de tratamento de dados pessoais devem ser revisados e adequados à LGPD. A revisão inclui contratos firmados com colaboradores, modelos de minutas e convênios externos e a inclusão de cláusulas que prevejam uma agenda de descarte de dados pessoais.

Adicionalmente, é necessário implementar procedimentos de auditoria regular para realizar a gestão de contratos com terceiros com os quais haja o compartilhamento de dados pessoais.

 

Adoção de medidas de segurança, técnicas e administrativas

 

Os agentes de tratamento de dados devem utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Essas medidas devem ser observadas desde a fase de concepção do serviço até a sua execução e os sistemas devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e governança e aos princípios gerais da LGPD.

 

Bases legais para o tratamento de dados pessoais em cartórios

 

Para que seja considerado regular, o tratamento de dados pessoais, dentre outros critérios, deve ser realizado com base em uma das hipóteses legais trazidas na LGPD. É dizer, o tratamento de dados pessoais que não estiver sustentado por uma das bases legais previstas será necessariamente irregular.

Há dez bases legais para o tratamento de dados pessoais e oito para o tratamento de dados pessoais sensíveis. Você encontra mais detalhes sobre duas delas no nosso blog: o consentimento e o legítimo interesse.

A base legal mais utilizada pelos cartórios será, certamente, o cumprimento de obrigação legal ou regulatória, hipótese prevista no artigo 7º, I, da LGPD. É a hipótese utilizada para sustentar o tratamento que deve ser realizado por imposição de lei, regulamento ou qualquer outra norma que impõe determinado comportamento ao controlador.

Há de se atentar, contudo, para o fato de que podem existir atividades realizadas pelos cartórios cuja base legal não seja o cumprimento de obrigação legal ou regulatória. Isso pode ocorrer, por exemplo, quando o cartório realiza publicações em redes sociais informando sobre serviços prestados para um determinado cliente.

Nesse exemplo, não há norma que obrigue o tratamento do dado pessoal, não havendo, portanto, que se falar em obrigação legal ou regulatória. Nessa situação fictícia, a base legal mais apropriada seria o consentimento do titular.

 

Sanções

 

A LGPD prevê a aplicação, após o esgotamento do pertinente processo administrativo, das seguintes sanções:

 

• Advertência, com indicação de prazo para adoção de medidas corretivas;

• Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;

• Multa diária, observado o mesmo limite total referido acima;

• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

• Eliminação dos dados pessoais a que se refere a infração;

• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;

• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

Dentre essas sanções, as multas certamente são aquelas que ganham maior notoriedade. Ocorre que as multas não são aplicáveis a cartórios, já que estas foram previstas para pessoas jurídicas de direito privado e os serviços notariais e de registro receberam, na LGPD, o mesmo tratamento conferido às pessoas jurídicas de direito público, conforme o já citado artigo 23, § 4º.

Todas as outras sanções previstas na LGPD são aplicáveis aos cartórios. Seja como for, como já destacado, os incidentes de dados pessoais têm elevados custos que não se resumem somente às eventuais sanções administrativas ou judiciais.

Em verdade, incidentes de dados pessoais acarretam danos reputacionais extremamente significativos. E um dano reputacional tende a se refletir em perda de receita, aumento de custo operacional e queda na confiança dos stakeholders (clientes, fornecedores e outras partes interessadas).

O mercado, de modo geral, reage negativamente a um incidente de dados pessoais. Como mencionamos no início deste texto, a adequação à LGPD nos cartórios pode, até mesmo, influenciar na escolha de um ou outro por empresas que precisam desses serviços constantemente.

Ou seja, os melhores “clientes” dos cartórios muito provavelmente evitarão realizar negócios com uma serventia que tenha se envolvido em infrações relacionadas a dados pessoais.

Afinal, se é sabido que alguma entidade já se envolveu em incidente(s) com dados pessoais, enxergam-se, claramente, riscos em se estabelecer qualquer tipo de relacionamento com essa entidade, especialmente se considerarmos que a LGPD prevê responsabilidade para todas as partes envolvidas em um incidente de tal natureza. Dizendo de outro modo, se há vulnerabilidade no sistema de uma das partes, a outra parte também estará vulnerável.

 

Conclusão

 

Tratamos, neste trabalho, da indispensável adaptação à LGPD nos cartórios.

Uma coisa é certa: se você é responsável por um cartório, a mensagem sobre a importância da LGPD chegará pelas mãos da ANPD por meio de um processo administrativo ou pelas mãos do mercado, por meio das empresas que deixarão de fazer negócios com a sua serventia se não houver conformidade à legislação de proteção de dados.

Evidentemente, é primordial investir em segurança e exigir de seus fornecedores de tecnologia, automação e armazenamento a adequação às exigências da LGPD no que se refere aos sistemas de gestão de dados utilizados.

Nas palavras de Marcelo Guimarães Rodrigues, desembargador do Tribunal de Justiça do Estado de Minas Gerais e autor da obra Lei Geral de Proteção de Dados – LGPD e os serviços notariais e registrais:

 

“crescentemente a tecnologia, de forma convergente, autônoma, inteligente e segura, nos ajuda a tirar partido dos dados e a transformá-los em conhecimento de uma maneira mais simples e ágil. A aceleração do uso da tecnologia – mais inteligente e autônoma – nos permite focar nos resultados em vez de tarefas rotineiras e de baixo valor. Fenômeno que vai se intensificar, em justa homenagem ao princípio constitucional da eficiência.”

 

Os cartórios têm um banco de dados pessoais muito grande e mudanças estruturais imediatas podem (e devem) ser aplicadas desde já. Exemplos disso são os cuidados básicos a serem tomados com uma simples fotocópia no verso dos documentos, ao deletar dados de minutas enviadas, ao controle de quem tem acesso aos livros físicos, ao lixo da serventia e ao seu descarte sustentável, à revisão da quantidade de dados que são inseridas nas escrituras, ao controle dos prestadores de serviço (como encadernadores e empresas de software) e ao treinamento contínuo dos funcionários, dentre outros.

Estamos à disposição para auxiliar na adequação à LGPD no seu cartório!

Gostou do conteúdo? Inscreva-se em nossa newsletter e continue acompanhando as publicações sobre proteção de dados pessoais!

Você também pode nos avaliar no Google. O seu feedback é muito importante para nós!

*Imagem de Getty Images, no Canva Pro.