LGPD: como proteger os dados pessoais nos serviços notariais e de registro
Atender integralmente a lei pode não ser uma das tarefas mais fáceis, mas certamente trará diversos benefícios.
quinta-feira, 26 de março de 2020
Atualizado em 25 de março de 2020 15:21
Este texto poderia se iniciar com o histórico da privacidade e da proteção de dados pessoais no Brasil e no mundo. No entanto, considerando os objetivos já sinalizados no título acima, opta-se por ir direto ao ponto, destacando trechos da LGPD (lei 13.709/18) e como os serviços notariais e de registro podem se adequar à nova realidade legislativa.
Fato é que, quando se fala em proteção de dados pessoais, não há como se afastar da temática atinente à segurança, incluindo a da informação. Já no artigo 1º da lei 8.935/94, que regulamenta o artigo 226 da CF/88, observa-se que os serviços notariais e de registro destinam-se, dentre outros pontos, a conferir segurança aos atos jurídicos.
Ao falar em segurança, o legislador não se limita à segurança jurídica, abarcando também a segurança física/lógica das informações disponibilizadas ao notário e ao registrador, sendo dever de tais profissionais guardar em locais seguros os livros, papéis e documentos de sua serventia; guardar sigilo sobre a documentação e os assuntos de natureza reservada que tenham conhecimento em razão do exercício da função (artigo 30, I e VI da lei 8.935/94).
De mais a mais, a "lei dos cartórios", no artigo 42, exige que os papéis referentes aos serviços dos notários e dos oficiais de registro sejam "arquivados mediante utilização de processos que facilitem as buscas" e, lá no artigo 46, dispõe que "os livros, fichas, documentos, papéis, microfilmes e sistemas de computação deverão permanecer sempre sob a guarda e responsabilidade do titular de serviço notarial ou de registro, que zelará por sua ordem, segurança e conservação" (grifo do autor).
Como se vê, bem antes da LGPD1, a legislação setorial já continha direcionamentos quanto à necessidade de garantia da tríade base da segurança da informação, a "CID": confidencialidade, integridade e disponibilidade das informações2.
Ainda no campo da ciência da informação, é interessante mencionar que os dados (incluindo os pessoais) encontram-se na base da pirâmide informacional, ou seja, a partir de dados (números, palavras, imagens), são obtidas - pelo destinatário - informações, as quais levam ao conhecimento (saber utilizar as informações coletadas) e, por fim, à sabedoria (saber quando usar as informações)3.
Mas, o que a LGPD, em resumo, fez? Além de criar regras mais claras para o tratamento de dados pessoais, elevou de patamar a temática atinente à segurança da informação, seja ao estabelecer um regramento quanto à necessidade de controladores e operadores adotarem "medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito" (artigo 46, caput), seja ao incentivar a adoção de padrões de boas práticas e de governança4.
Na definição da LGPD, dados pessoais são qualquer informação relacionada a uma pessoa natural identificada ou identificável. Já os dados pessoais sensíveis são uma categoria especial, identificada por serem dados que, se tratados indevidamente, podem gerar elevados riscos para os titulares, tais como discriminação. Dessa maneira, a LGPD inclui nessa categoria os dados "sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico".
O titular dos dados pessoais é a pessoa natural a quem os dados se referem, possuindo diversos direitos, dentre eles os de obter confirmação da existência e da finalidade do tratamento, correção, portabilidade, exclusão, revogação do consentimento etc.
Por outro lado, "tratamento" é absolutamente qualquer operação realizada com dados pessoais, desde a coleta até a exclusão, passando por armazenamento, compartilhamento, distribuição, processamento, classificação, reprodução etc.
Para os cartórios, a LGPD definiu que se aplicarão as mesmas regras do tratamento pelo Poder Público (artigo 23 e seguintes), e, considerando a natureza dos serviços previstos nas leis 6.015/73 e 8.935/945, é evidente que uma imensa quantidade de dados pessoais é diariamente tratada pelos cartórios extrajudiciais, exigindo dos notários e registradores muita precaução.
A verdade é que a LGPD, com suas diversas obrigações e princípios6 traz uma série de desafios a serem vencidos pelos agentes de tratamento, como - por exemplo: (i) garantir aos titulares o regular exercício de todos os direitos previstos na lei (portabilidade, confirmação do tratamento, cópia dos dados, anonimização...); (ii) garantir que o acesso aos dados pessoais é conferido apenas àqueles colaboradores/terceirizados que devam ter acesso; (iii) adequar corretamente as hipóteses legais de tratamento (às vezes, partir para obter o consentimento pode não ser a melhor alternativa); (iv) garantir a segurança dos dados pessoais durante todo o ciclo de vida, gerando trilhas auditáveis; e (v) mudar a cultura, conscientizar e treinar colaboradores e terceirizados.
Esses desafios ganham relevo, quando se vê diariamente uma infinidade de fatores de risco, como coleta de dados sem finalidade definida corretamente; exposição de dados pessoais em documentos físicos ou por via telefônica; falta de clareza para o titular quanto à finalidade do tratamento de seus dados pessoais; falta de correspondência entre perfis de acesso e competências funcionais, no uso de sistemas internos dos agentes de tratamento; e utilização de meios informais (whatsapp, telegram) para envio de dados.
Para conferir segurança no tratamento dos dados pessoais, durante todo o ciclo de vida do dado, implementar um programa de governança em privacidade e proteção desses dados é mais que necessário.
Embora não haja um modelo único, a implantação do programa de governança pode seguir estas etapas: (i) planejamento - entendimento do contexto no qual o cliente está inserido; (ii) conscientização - objetivando alinhar conhecimentos sobre privacidade e proteção de dados pessoais, para que o projeto flua com maior facilidade; (iii) identificação e diagnóstico - quando são analisados documentos/contratos, aplicados questionários e realizadas entrevistas, tudo no intuito de apontar as lacunas existentes; (iv) preparação - definição dos responsáveis, atividades e objetivos do programa; (v) desenvolvimento - análise e avaliação de riscos, revisão de documentos, políticas, normas, procedimentos; e (vi) implantação - implementação das rotinas, controles de conformidade, colocando efetivamente o programa para "rodar".
Dentre os benefícios do programa de governança mencionado, podem ser citados: a) prevenção contra incidentes envolvendo dados pessoais; b) maior facilidade na investigação interna de eventuais incidentes e identificação dos responsáveis; c) atenuante de penalidades em caso de autuação pelo Poder Público (artigo 52, §1º da LGPD); d) impacto positivo na imagem da instituição junto aos stakeholders; e) redução do risco de tratamentos ilegais de dados pessoais (art. 44 da LGPD).
No mínimo, um cartório extrajudicial deveria, após uma avaliação inicial de seu nível de conformidade com a legislação (e partindo da premissa de que já exista política de segurança da informação em prática):
a) estabelecer os fluxos dos dados pessoais nos diversos setores
b) preparar um guia de direitos dos titulares, com modelo para requerimentos e o fluxo de tratamento das solicitações eventualmente recebidas
c) instituir políticas de privacidade e proteção de dados pessoais (uma pública e uma interna)
d) definir formalmente as atividades e nomear um Encarregado pelo Tratamento de Dados Pessoais, disponibilizando os contatos para o público externo e interno
e) criar norma para gestão de incidentes com dados pessoais (incluindo canal de comunicação, modelos base para notificações aos titulares e à Autoridade Nacional)
f) utilizar software ou outra ferramenta que possa manter o registro das operações de tratamento de dados pessoais que realiza
g) criar (e implementar!) rotina de treinamentos, seja para perfeito entendimento das políticas e normas adotadas internamente, seja para conscientização dos colaboradores e terceirizados.
Outra medida que pode valer a pena é avaliar os benefícios (e a viabilidade técnica) de um canal exclusivo para tratar os "vazamentos individuais" ou os "acessos não autorizados de que trata o caput do art. 46" da LGPD7 e, com isso, tentar a "conciliação direta entre controlador e titular", nos moldes do previsto no §7º do artigo 528:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
(...)
§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.
Para arrematar o assunto, no contexto das operações dos notários e registradores, para além dos textos legais editados pelo Poder Legislativo, o CNJ publica importantes atos, como a recomendação 9/13 e o provimento 74/18, este último dispondo sobre "padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil".
No provimento 74/18, o CNJ estabelece regras como, por exemplo, a necessidade de os serviços notariais e de registro: adotarem políticas de segurança da informação, garantindo confidencialidade, disponibilidade, autenticidade e integridade (artigo 2º, caput); terem plano de continuidade de negócios (artigo, 2º, parágrafo único, I); garantirem a segurança dos livros e atos eletrônicos (artigo 3º, caput); possuírem sistema de backup em nuvem (artigo 3º, §3º) e regras para identificação segura dos usuários dos sistemas e segregação de funções (artigo 4º); e manterem trilhas auditáveis (artigo 5º).
Na Bahia, é válido citar que o Código de Normas e Procedimentos dos Serviços Notariais e de Registro do Estado, editado pela Corregedoria Geral de Justiça e pela Corregedoria das Comarcas do Interior expõe, numa série de artigos, a preocupação com a segurança dos dados e das informações na posse dos cartórios9.
Enfim, regras de segurança da informação e proteção dos dados pessoais não podem ser consideradas uma novidade para os cartórios.
Várias normas podem direcionar os trabalhos dos notários e registradores, como as da família ISO/IEC 27000 (em especial as ISO/IEC 27001, 27002 e 27701), além de documentos editados pelos próprios tribunais estaduais, como o Decreto Judiciário 474/19, do TJ/BA, que regulamentou a política de segurança da informação e instituiu normas para utilização de recursos de tecnologia da informação, gestão de ativos, classificação de informações, gerenciamento de acessos e gestão de incidentes, dentre outras.
Não é demais enfatizar que o titular dos dados pessoais é a figura principal da LGPD (ele é o rei), a correta identificação das bases legais para cada operação de tratamento é fundamental, e transparência e boa-fé são palavras de ordem.
Atender integralmente a lei pode não ser uma das tarefas mais fáceis, mas certamente trará diversos benefícios. Mãos à obra, que o tempo é curto.
_________________________________________________________________________
1 - Observe-se também a lei 6.015/73, que revela preocupação em garantir a segurança das informações.
2 - Confidencialidade: a informação só deve estar disponível para aqueles autorizados (princípio needtoknow); Integridade: garantir a exatidão e completude da informação; Disponibilidade: informação acessível sempre que necessário.
3 - https://www.ibccoaching.com.br/portal/entenda-como-funciona-piramide-do-conhecimento-e-seus-quatro-componentes/
4 - Vide, por exemplo, os artigos 49 e 50 da LGPD.
5 - Sem falar nos atos editados pelo CNJ (como o provimento 88/19, sobre controle para prevenção de lavagem de dinheiro) e Corregedorias dos Tribunais de Justiça.
6 - Artigo 6º da lei 13.709/18: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização/prestação de contas
7 - Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
8 - Reflexão: se, num caso concreto, o controlador conciliar individualmente com todos os titulares, a ANPD ficaria impedida de aplicar punições administrativas baseadas na lei 13.709/18?
9 - Como exemplos, temos os seguintes artigos: 3º; 4º; 27; 37; 254, §1º; 276; 290; 392; 417, IV; 426; 442; 795; 841; 972; 1011; 1014, §1º, §2º; 1438, §15.
_________________________________________________________________________
*Umberto Lucas de Oliveira Filho é advogado sócio do escritório Queiroz Cavalcanti Advocacia, certificado pelo EXIN. Especialista em Direito Processual. Pós-Graduando em Direito Digital pelo CERS.
