Finalmente em agosto de 2020 passou a valer no Brasil a Lei Geral de Proteção de Dados Pessoais (Lei Federal 13.709, aprovada em seu texto inicial em agosto de 2018) [1]. Também conhecida como LGPD, a lei é uma disrupção no sistema brasileiro de gestão de informações (veja no rodapé a abrangente definição de dado pessoal [2]) e a sua aplicação alterará profundamente a governança de banco de dados (físicos ou virtuais) pelo poder privado e poder público no país. Os cartórios, como verdadeiros repositórios de dados pessoais, também estão regulados [3].
A nova legislação chega em boa hora. Na era da informação, temos uma economia baseada em dados, valendo ouro o conhecimento sobre o perfil de um consumidor, de um eleitor, dos cidadãos. Em contraposição ao interesse sobre os dados, fortalece-se o direito de proteção de dados enquanto desdobramento do livre desenvolvimento da personalidade (dimensão coletiva da privacidade, legitimando a própria criação da Autoridade Nacional de Proteção de Dados — ANPD — para resguardá-lo), superando a visão estritamente intimista e individual da privacidade. Há o direito do cidadão (titular) de informar-se sobre que dados seus estão com determinada organização e como estão sendo tratados, corrigi-los e solicitar a sua eliminação, quando não houver do controlador (aquele que controla os dados) razão para sua manutenção em seu arquivo. É o que se chama de autodeterminação informativa [4].
A LGPD prestigia segurança e privacidade. A segurança [5] é para se criarem mecanismos que evitem a invasão de sistemas e toda sorte de vazamentos: “Acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão” (artigo 6º, VII). Não é apenas uma questão de programa, mas também de revisão de processos, de quem tem acesso ao que, de responsabilidades, de necessidade de armazenamento, entre outros pontos. A privacidade dialoga bem com a revisão de tratamentos de dados em uma organização pela avaliação da necessidade de tratamento para a finalidade pretendida, devendo esta finalidade ser amparada nas circunstâncias do artigo 7º ou 11 da lei (bases legais) e este tratamento ser o adequado com a finalidade pretendida.
A Lei 13.709 é uma norma de gestão de riscos, trazendo princípios e um conjunto de regras muitas vezes genéricas para cada tipo de atividade privada ou pública. É uma norma que adere a qualquer atividade, sendo natural que o conjunto de ações e condutas para a conformidade à lei variem substancialmente de acordo com cada segmento no país. Isso se dá porque cada atividade possui processos únicos de uso de informações, sendo regulada por diferentes normas específicas do ramo, gerando diferentes tipos de dados, diferentes finalidades de tratamento de informações e, consequentemente, uma diferente maneira de subsunção à LGPD.
Os notários e registradores, além de se lhes aplicarem as normas gerais da lei, são expressamente mencionados no artigo 23, §4º, em que fica evidenciado que terão de, assim como a administração pública, tornar a sua política de privacidade transparente [6] e nomear um encarregado [7] para lidar com a gestão de dados da organização.
A atividade de registro público envolverá dois olhares distintos para o tratamento de dados pessoais, pois nem sempre em um cartório o tratamento de dados se dá enquanto serviço público de registro público, por atividade fim, mas também há, nos termos do artigo 21 da 8.935, atividades meio, em que se aplicarão todas as normativas específicas das empresas, do setor privado, aos cartórios extrajudiciais (verificação e gestão de situações de consentimento, comprovação de tratamentos realizados com base no legítimo interesse, direito de exclusão e de retificação de dados de parceiros privados nas circunstâncias possíveis etc.).
Nessa linha, os notários e registradores deverão mapear os fluxos de dados pessoais que tratam em seu cartório, enquadrá-los em uma das circunstâncias dos artigos 7º e 11 e daí implementar as medidas necessárias para adequação.
Se é certo que o serviço de registro público se amoldará às circunstâncias de “cumprimento de obrigação legal ou regulatória” (artigo 7º, II), porque o protocolo, a inscrição em livros, a certidão, o compartilhamento com terceiros, tudo isso é desempenhado de maneira abstratamente prevista em normas da atividade (8.934, 6.015, provimentos do CNJ, normas de serviço da Corregedoria do estado etc.), isso não quer dizer que o enquadramento legal seja suficiente (“sou notário/registrador e tudo que faço é por conta da lei“), pois a subsunção ao artigo 7º de cada tipo de ato notarial ou registral é apenas uma etapa do atendimento à LGPD. O tratamento variará substancialmente como cada cartório desempenhará a segurança dessas informações e a gestão administrativa sobre a privacidade entre os seus colaboradores, a partir de como esses dados estão segregados no exercício deste ato.
Daí, já é possível sistematizar o conjunto de obrigações aos notários e registradores a partir da LGPD. Organizando o tema, posso dizer que o diploma traz aos cartórios três níveis de obrigação, portanto:
1) Obrigações concretas e imediatas: são posturas já descritas na lei, como a nomeação de um encarregado (artigo 4) a implantação de programa de governança em privacidade (artigo 50, §2º, I), a elaboração de relatório de impacto (artigo 5º, XVII), o registro das operações de tratamento (artigo 37), a construção de plano de resposta a incidentes de segurança da informação (artigo 50, §2º, I, “g”) etc.;
2) Obrigações mediatas: reguladas pela(s) Corregedoria(s). Principalmente no que concerne a eventual mudança de comportamento na atividade fim dos cartórios, caberá à ANPD, CNJ e Corregedorias locais [8] a disciplina de regras mais específicas para o serviço de registro público na adequação das atividades extrajudiciais à lei. A Corregedoria de São Paulo, por exemplo, no Provimento 23/2020, estabeleceu mudanças no paradigma do pedido de certidões que envolvam a busca e o fornecimento de dados em bloco, critérios não usuais de pesquisa e consultas aos indicadores pessoais (itens 144 e seguintes do provimento);
3) Boas práticas e padronizações específicas: Parece impossível ou desnecessário a lei e as normas de serviço disporem sobre todos os prazos de temporalidade, sobre os detalhes de software, sobre padrão de atendimento no balcão, melhores práticas de arquivamento de pedidos de certidão, e assim todas as outras condutas específicas de cada atribuição do registro público no tratamento de dados pessoais do titular, seja usuário ou não (afinal, funcionários, ex-funcionários, prestadores de serviços também são titulares de dados pessoais). Aqui valem as boas práticas em privacidade e segurança da informação (Família ISO 27000, sua atualização pela ISO 27701, normas da NIST, soluções encontradas por atribuições em outras países etc.) e, nesse bojo, há sobretudo o importante papel das associações de classe na construção dessas boas práticas, a fim de promover a autorregulação regulada, nos termos do que prevê o artigo 50 da LGPD.
A autorregulação regulada é um dos grandes vanguardismos da LGPD, especialmente se tratando de norma com projeção multissetorial. Trata-se de uma estratégia regulatória que permite a construção das regras de governança pelos próprios regulados (individualmente ou por suas associações de classe), a serem validadas pela entidade reguladora, unindo aspectos da autorregulação privada e da regulação externa estatal [9]. Enquanto as organizações dispõem da expertise e do conhecimento técnico de sua atividade, elas podem perder de vista a preservação de interesses públicos gerais, criando um problema de legitimação dos seus mecanismos de governança. Já a regulação estatal consegue prescrever interesses públicos que devem ser preservados, sem conhecer tecnicamente a dinâmica organizativa, de forma a estabelecer as condutas específicas de governança que devem ser adotadas [10].
Por isso, é equivocada a ideia de que é necessária uma regulamentação na sua Corregedoria ou até mesmo do respeitável CNJ, ou da ANPD, para que o cartório inicie o seu processo de adequação [11]. Muito pelo contrário. A lei já está vigente desde agosto de 2020, sendo desde já possível responsabilizações judiciais, pois o que se inicia em agosto de 2021 são as punições administrativas pela ANPD, sem prejuízo da já vigente possibilidade de sanções por descumprimento da LGPD na esfera administrativa, como falta funcional, pelos órgãos de correição do Judiciário (artigos 31 e 32 da Lei Federal 8.935) [12].
Para concluir o raciocínio, consignam-se as etapas do compliance de proteção de dados, destinado à construção de melhores práticas de privacidade e segurança da informação para a realidade específica da organização:
1) Diagnóstico: objetiva-se compreender preliminarmente quais os fluxos de dados, onde estão, quais são, como são tratados e para onde vão;
2) Inventário de dados: busca-se qualificar os tipos de dados, o volume, os locais de armazenamento, as origens, mecanismos de segurança da informação adotados e, principalmente, a base legal para o seu tratamento;
3) Análise de riscos de privacidade e segurança da informação: permite-se a elaboração de relatório de desconformidades e de um plano de implementação para atingir a conformidade legal (revisão de contratos, elaboração de portarias, plano de resposta a incidentes), estabelecendo inclusive controles preventivos, detectivos e corretivos para a segurança da informação;
4) Implementação das medidas de conformidade e fortalecimento da cultura de proteção de dados por meio de treinamentos e capacitações: oferta-se cursos, seminários, workshops e afins aos prepostos das Serventias, objetivando torná-los aptos a lidar a realidade da aplicação da LGPD às suas atividades.
Ao cabo desse processo de adequação, a serventia disporá de uma série de instrumentos que conferem transparência ao titular de dados pessoais, a fim possam exercer os direitos que consubstanciam sua autodeterminação informativa (artigo 18 da LGPD). Também ressignificará processos de negócios ineficientes pela coleta excessiva de dados ou pela falta de sistematização da governança necessária.
O cerne da aplicação de LGPD nas serventias, portanto, é a proteção do acervo registral e notarial. Ao redimensionar o papel das informações pessoais nesse acervo público, a LGPD incrementa a segurança jurídica, protege o delegatário de falhas de segurança da informação que ultrapassem as medidas técnicas e organizacionais adotadas em consideração ao porte da organização e melhora o desempenho dos serviços de registros públicos em prol de toda sociedade [13].
[1] Houve tentativas de prorrogação da vacatio legis da Lei Geral de Proteção de Dados pela Medida Provisória 959/2020 e pelo Projeto de Lei 1.179/2020 (RJET), que não prosperam. Somente as multas administrativas estão com vigência prevista para agosto de 2021, o que não impede responsabilizações judiciais desde já por descumprimento ao diploma, como temos acompanhado na jurisprudência pátria, a exemplo da condenação da Cyrela pela 13ª Vara Cível de São Paulo.
[2] Nos termos do art. 5º, I, da LGPD, dado pessoal é a “informação relacionada a pessoa natural identificada ou identificável”. Trata-se de critério expansionista, pois abrange não só os dados que imediatamente identificam a pessoa natural (como nome, número de CPF, fotografia), mas também aqueles que permitem sua identificação de forma indireta, por meio da conjugação de informações (profissão, gostos, interesses, hábitos de consumo, etc.).
[3] Cartórios realizam tratamento de dados pessoais a todo momento, pois consistem em sistemas de informação que recolhem e organizam dados a fim de lhes dar publicitação a terceiros.
[4] Cf. PEREIRA, Alexandre Libório Dias. O «direito à autodeterminação informativa» na jurisprudência portuguesa: breve apontamento. Ars Iuris Salmanticensis, v. 5, dez. 2017, p. 27-30.
[5] O cerne da segurança da informação é a garantia da Confidencialidade, Integridade e Disponibilidade da informação (CID).
[6] A política de privacidade é um manifesto organizacional que tem um público-alvo bem definido: o titular de dados pessoais. Por meio dela, informa-se o titular sobre os tratamentos que são realizados e sobre os seus direitos e como invocá-los. Deve ser afixada em lugares de ampla exposição na organização, bem como em seu website (caso possua).
[7] O encarregado é a pessoa indicada pela organização para atuar como canal de comunicação entre o controlador, os titulares dos dados, a Autoridade Nacional de Proteção de Dados (ANPD). É um propagador da nova cultura de proteção de dados, com protagonismo no atendimento ao titular, na gestão de incidentes de segurança da informação, etc. Pode ser interno (DPO – integra o quadro de prepostos de uma organização) ou externo (DPO as a service – terceiro contratado).
[8] É de se esperar debate em relação à repartição de competências regulatórias entre semelhantes entes, em atenção à inteligência do art. 55-K da LGPD, que dispõe que “a aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública”. Considerando o regime de regulação das serventias previsto no art. 236, §1º, da Constituição Federal, pondera-se que os registros públicos são por essência sistemas de informação e que regulações do CNJ ou das Corregedorias Locais dificilmente não afetarão os fluxos de dados nesses ambientes, por serem intrínsecos à atividade. Assim, espera-se uma melhor definição sobre o sistema regulatório e punitivo entre ANPD e Corregedorias.
[9] ABRUSIO, Juliana; CAMPOS, Ricardo e MARANHÃO, Juliano. Armadilhas e Saídas para a Regulação de Fake News. Disponível em https://www.conjur.com.br/2020-jun-23/direito-digital-armadilhas-saidas-regulacao-fake-news. ASSOCIAÇÃO Brasileira De Normas Técnicas. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para controles de segurança da informação. Rio de Janeiro, 2013.
[10] Não por acaso o próprio Provimento 23 fala do importante papel das entidades representativas de classe na construção de boas práticas para as serventias. No item 133.2 esclarece que as associações poderão subsidiar encarregados prestadores de serviços técnicos para as serventias. Já no item 138, estabelece que poderão contribuir em aspectos do compliance de proteção de dados, fornecendo formulários para registro do controle de fluxo dos dados, adaptados para cada especialidade dos serviços extrajudiciais.
[11] Consta das metas do CNJ para as Corregedorias estaduais em 2021 a normatização e a implementação de uma política de proteção de dados para os cartórios extrajudiciais da respectiva unidade federativa, incluindo a fiscalização.
[12] O Provimento 23/2020 da CGJ-SP fala em fiscalização pelo juiz corregedor permanente e pela Corregedoria estadual.
[13] Este artigo busca colaborar com a compreensão do tema pela comunidade do extrajudicial, democratizando os seus conceitos e aplicações a partir do cenário atual, anterior a regulamentações adicionais de ANPD, CNJ e da maior parte das corregedorias locais. A doutrina aqui apontada ou ora consubstanciada não substitui o posicionamento dos órgãos de controle mencionados a respeito de algum ponto apresentado.
Playvolume00:00/00:59conjurTruvidfullScreen
Fonte: Revista Consultor Jurídico