Artigo: Novo marco de proteção de dados nos cartórios: saiba o que está valendo com o provimento 134/22 – Por Daniel Ribeiro dos Santos

Espera-se que a Comissão de Proteção de Dados atue com diligência para expedição de diretrizes complementares e fornecimento dos insumos pertinentes para a adequação dos cartórios

 

Por se tratar de uma norma geral com repercussão setorial, a lei 13.709/18, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), ainda carecia de uma determinação específica para ser aplicada, em nível nacional, nas serventias extrajudiciais. Alguns meses desde a consulta pública realizada pela Corregedoria Nacional de Justiça1, o órgão – ligado ao Conselho Nacional de Justiça (CNJ) – finalmente publicou o Provimento 134/22, que estabelece os parâmetros a serem seguidos pelos cartórios de todo o país.

 

O documento materializa diversos comandos contidos na LGPD, corrige falhas pontuais da versão publicada preliminarmente2 e pacifica questões controversas presentes em provimentos estaduais. Por outro lado, ainda deixa algumas dúvidas sobre procedimentos elencados em sua redação.

 

Este artigo busca elucidar os principais pontos de atenção do novo marco normativo para os cartórios brasileiros, bem como trazer reflexões acerca da sua compatibilidade com o cenário de proteção de dados no país.

 

1. Governança de dados pessoais e cultura organizacional protetiva

 

O Provimento 134/22 desenha um mapa a ser seguido para a governança de dados pessoais nas serventias extrajudiciais, estabelecendo procedimentos técnicos e medidas a serem adotas para concretizar o espírito protetivo da LGPD. Ao longo do texto, é possível perceber preocupações vinculadas à segurança dos dados pessoais, à transparência das atividades de tratamento, ao exercício de direitos dos titulares e à proteção dos próprios cartórios.

 

O art. 6º, por exemplo, elenca uma série de providências essenciais, tais como a implementação de medidas técnicas e administrativas de segurança para proteger os dados pessoais de acessos não autorizados ou de tratamentos inadequados ou ilícitos, a formulação de uma Política Interna de Privacidade e Proteção de Dados, bem como a revisão de contratos com prestadores de serviços e o treinamento de prepostos do agente delegado.

 

O conjunto de ações preconizadas pelo CNJ forma um programa de governança de dados pessoais. Para segui-lo da forma devida, as serventias precisarão reformular os processos internos, mudar condutas, aperfeiçoar tecnologias e controles, realizar um aprimoramento contínuo da equipe e monitorar permanentemente a eficácia das providências implementadas.

 

Com isso, cria-se um paradigma para os cartórios, focado na consolidação de uma cultura de proteção dos dados pessoais para todos os serviços prestados. Até mesmo porque, a partir da edição do Provimento, o assunto passa a compor definitivamente o temário a ser fiscalizado pelas corregedorias no âmbito notarial e registral.

 

Dada a importância do tema, foi criada a Comissão de Proteção de Dados da Corregedoria Nacional (CPD/CN/CNJ). O órgão tem caráter consultivo, sendo responsável por propor diretrizes para aplicação, interpretação e adequação das serventias à LGPD, seja de forma espontânea ou mediante provocação pelas associações (art. 3º).

 

2. Quem liderará o processo de adequação no cartório?

 

Conforme dispõe o art. 4º do Provimento e na inteligência do art. 5º, VI, da LGPD3, os delegatários, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, aos quais competem as decisões referentes ao tratamento de dados pessoais. Apesar disso, não estão sozinhos na jornada de adequação do cartório, contando com a ajuda do encarregado pelo tratamento de dados. Essa figura foi instituída pela LGPD4, sendo responsável por atuar não só como canal de comunicação entre o agente delegado, titulares dos dados e autoridades, como também na liderança da implementação de medidas rumo à conformidade à lei 13.709/18.

 

O Provimento determina a nomeação de um encarregado (art. 10), uma vez que sua indicação pelo controlador, em regra, é obrigatória5. Não obstante a existência de serventias extrajudiciais dos mais variados portes e com diferentes volumes de dados pessoais tratados, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não estabeleceu um regramento para dispensa de indicação do encarregado pelos delegatários6.

 

As serventias poderão designar um encarregado de maneira conjunta7, bem como terceirizar o exercício da função mediante contratação de um prestador de serviços (“Encarregado Externo” ou “DPO as a service”), seja pessoa física ou jurídica8. Adicionalmente, o Provimento prevê que os cartórios poderão ter a remuneração do encarregado subsidiada ou custeada pelas entidades representativas de classe.

 

Importante pontuar que não há óbice para contratação de um mesmo encarregado por cartórios de qualquer classe9, conforme assegura o art. 10, § 3º, desde que demonstrável a inexistência de conflito na cumulação de funções e na manutenção da qualidade dos serviços prestados.

 

3. Lacuna deixada na estrutura de governança de dados

 

O art. 10, § 2º, do texto disponibilizado pela Corregedoria para consulta pública, indicava que as serventias de “Classe III” deveriam contar com uma equipe de apoio multidisciplinar para governança dos dados, composta, ao menos, por integrantes das áreas de tecnologia da informação, segurança da informação e jurídica. Esse time seria equivalente ao Comitê Gestor de Proteção de Dados Pessoais, estrutura comumente criada pelos agentes de tratamento durante o processo de adequação à LGPD e que representaria uma boa prática de governança em compasso com o art. 50 da Lei de Proteção de Dados Pessoais10.

 

Os processos de mapeamento de dados, de avaliação das vulnerabilidades do cartório e de elaboração de relatórios de impacto seriam facilitados com a implementação de uma equipe multidisciplinar, atuando ao lado do encarregado na proposição de boas práticas e na identificação de medidas de conformidade dentro da serventia, sobretudo nas de Classe III. Infelizmente, a menção a esse time foi retirada da versão final do Provimento. Restou a citação a uma eventual equipe de apoio ao encarregado no art. 16, IV11, jogando para segundo plano, inoportunamente, a importância desse grupo na jornada de adequação.

 

A ausência de uma estrutura como a mencionada poderá demandar mais tempo e gerar dificuldades técnicas na implementação de ações de conformidade nos cartórios. A existência de determinação para criação de um comitê de proteção de dados nos cartórios maiores, inclusive, serviria de inspiração para adoção da mesma estrutura por serventias menores, guardadas as devidas proporções.

 

4. Mapeamento das atividades de tratamento e atualização anual do inventário de dados

 

Um dos procedimentos técnicos previstos no Provimento é o mapeamento das atividades de tratamento de dados pessoais, previsto no art. 7º. Ele permitirá a identificação dos dados pessoais e do seu ciclo de vida dentro da serventia, incluindo todas as operações a que estão sujeitos, tais como coleta, armazenamento, compartilhamento e descarte.

 

Intitulado “inventário de dados pessoais”, o produto desse processo conterá, conforme art. 7º, § 1º, I:

 

• Descrição e categoria dos dados e dos titulares envolvidos;
• Formas de obtenção e de coleta das informações;
• Finalidades e bases legais autorizativas do tratamento;
• Tempo de retenção dos dados;
• Situações de compartilhamento com terceiros e eventual transferência internacional;
• Medidas de segurança organizacionais e técnicas adotadas no bojo do tratamento.

 

A redação do documento consolida a nomenclatura do procedimento mencionado no art. 7º como “mapeamento de dados pessoais”. No esforço de expedir diretrizes sobre a adequação dos cartórios à LGPD, várias corregedorias estaduais publicaram provimentos sobre o tema. Algumas delas vinham se referindo ao mapeamento como “sistema de controle de fluxo”, embora não exista um termo similar na LGPD ou nos documentos da ANPD. Na prática, ambos os nomes se referem ao ato de identificar, registrar e sistematizar as atividades que envolvem informações pessoais, conforme preconiza a LGPD no art. 3712.

 

O mapeamento de dados pessoais deverá, de acordo com o art. 7º, § 1º, V, ser atualizado anualmente ou sempre que for necessário, exigindo um trabalho contínuo de monitoramento da governança de dados pessoais da serventia. Alterações em processos internos e na estrutura organizacional, bem como mudanças de ordem legal ou regulatória, por exemplo, poderão dar causa ao incremento do inventário de dados.

 

5. Avaliação de riscos e impacto do tratamento de dados

 

A partir do mapeamento poderão ser trazidos à baila problemas nos controles de acesso às informações, nas medidas de segurança adotadas, no volume de dados tratados13 ou, até mesmo, na legalidade no uso de informações pessoais14. Nesse sentido, os insumos coletados deverão ser aproveitados para análise de lacunas relacionadas à proteção dos dados, cabendo à serventia conduzir a avaliação das vulnerabilidades (gap assessment) encontradas.

 

O gap assessment – preconizado no art. 7º, III – perseguirá a realização de ajustes de conformidade, a fim de tratar os riscos associados às vulnerabilidades encontradas no mapeamento, seja para conviver com eles, mitigá-los ou eliminá-los.

 

O texto publicado também trata sobre o Relatório de Impacto à Proteção de Dados Pessoais (RIPD)15. Ele deve ser realizado nas atividades em que o tratamento possa gerar riscos a direitos e liberdades fundamentais do titular, de acordo com as orientações da ANPD. Seu conteúdo deve conter a descrição de tais processos de tratamento, bem como as medidas, salvaguardas e mecanismos de mitigação dos riscos. Assim, sua elaboração depende da boa condução do mapeamento de dados, do gap assessment e da adoção das medidas de conformidade.

 

O capítulo VI do documento do CNJ, diferente do que foi visto em muitos provimentos estaduais, detalha algumas instruções para elaboração do RIPD. Ele indica, por exemplo, que o Relatório deve ser formulado previamente à pactuação de contrato ou convênio e à adoção de novos procedimentos ou tecnologias pelo cartório.

 

O texto deixa dúvidas, entretanto, no tocante à possibilidade franqueada aos afetados pelo tratamento, a título de transparência, de se manifestarem sobre o conteúdo do RIPD (art. 11, III). Não está evidente o tipo de manifestação, nem a extensão, objetivamente, da sua influência no Relatório.

 

Os parágrafos 2º16 e 3º17 do art. 11 trazem a possibilidade de a CPD/CN/CNJ padronizar modelos de RIPD para as serventias. Espera-se que a disponibilização dos templates venha acompanhada de uma pormenorização das diretrizes em relação à confecção dos documentos.

 

6. Atenção ao uso do conceito de “operador”

 

Um erro comum em alguns provimentos estaduais foi o enquadramento dos prepostos do delegatário como operador. Os funcionários do agente delegado (controlador), contudo, não são operadores – eles apenas atuam sob seu poder diretivo.

 

O art. 5º do Provimento, acertadamente, indica que o operador é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da serventia, contratada para serviço que envolva o tratamento de dados pessoais em nome do controlador.

 

Esse entendimento coaduna com o manifestado pela ANPD no “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”18. Segundo o documento, o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este. Por esta razão, deve-se evitar a confusão dessas figuras – preposto do controlador e operador. Os modelos de contratação são diferentes, assim como o regime de responsabilização previsto na LGPD.

 

O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do controlador – hipótese em que o operador se equipara ao controlador19. Já os prepostos do controlador, uma vez que não são tecnicamente agentes de tratamento, não respondem diretamente pelo dano. Com isso, o controlador é quem será obrigado a repará-lo20.

 

Apesar do acerto na conceituação realizada no art. 5º, o texto final do Provimento manteve a confusão relacionada à menção ao operador no art. 16, V21. Aparentemente se trata de erro na redação, uma vez que o capítulo VIII se dedica ao treinamento dos prepostos do agente delegado que, como já visto anteriormente, não são agentes de tratamento, muito menos, operadores.

 

Por outro lado, pode-se interpretar que há um comando para que os cartórios também capacitem os prestadores externos ao quadro funcional da serventia. Tal medida não seria uma prática desaconselhada, ainda mais ao se considerar o dever de orientação do operador pelo controlador.

 

Caberá à CPD/CN/CNJ, se não houver alteração no texto do Provimento que esclareça os pontos mencionados, a definição da melhor interpretação do conteúdo do art. 16, V.

 

7. Unificação do prazo de comunicação de incidentes de segurança

 

Outro ponto controverso nos provimentos estaduais foi a comunicação de incidentes a autoridades. Em sua maioria, os textos determinavam que o juiz corregedor permanente e a Corregedoria-Geral da Justiça deveriam ser informados em, no máximo, 24 horas. A ANPD, por sua vez, recomenda, enquanto pendente a regulamentação do tema, que a comunicação seja feita no prazo de dois dias úteis, contados da data do conhecimento do incidente22.

 

As diretrizes expedidas pelas corregedorias dos estados, em regra, também não elencavam a Autoridade Nacional como um dos destinatários da comunicação e não faziam a ressalva de que a lei 13.709/18 determina apenas a informação de eventos que possam acarretar riscos ou danos relevantes aos titulares.

 

A versão definitiva do Provimento resolve os problemas mencionados, uma vez que o art. 13 determina a comunicação de incidentes de segurança à ANPD, ao juiz corregedor permanente e à Corregedoria-Geral da Justiça, desde que possam acarretar risco ou dano relevante aos titulares. O prazo estipulado passou a ser o de 48 horas úteis, contados a partir do conhecimento do caso.

 

Salienta-se a importância de realizar uma apuração prévia para atestar a efetiva ocorrência do incidente, sendo esta investigação preliminar o procedimento que consolida, de fato, o conhecimento sobre o evento. Ademais, é esse exame que permitirá a reunião das informações que devem ser comunicadas às autoridades mencionadas no art. 13.

 

*

 

É relevante o passo dado pelo Poder Judiciário ao editar o dispositivo analisado neste artigo, uma vez que demonstra responsabilidade e preocupação com o assunto. Apesar de ainda possuir pontos de melhoria, a norma já traz medidas práticas e alinhadas ao espírito preventivo e protetivo da legislação em vigor, representando um excelente parâmetro para uniformização de condutas no sistema extrajudicial brasileiro.

 

As serventias terão o prazo de 180 dias para entrarem em conformidade às disposições contidas no Provimento, mesmo tempo dado às corregedorias estaduais para que promovam a adequação das normas locais que contrariarem as regras e diretrizes constantes no ato do CNJ.

 

Espera-se, agora, que a Comissão de Proteção de Dados atue com diligência para expedição de diretrizes complementares e fornecimento dos insumos pertinentes para a adequação dos cartórios.

 

Fonte: Migalhas