Aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) aos Cartórios Extrajudiciais
EMBASAMENTO LEGAL
Por força do art. 23 da Lei nº 13.709 / 2018 ( Lei Geral de Proteção de Dados Pessoais – LGPD), os titulares dos serviços notariais e de registro, no desempenho de suas atividades, são controladores dos dados pessoais, responsáveis pelas decisões referentes ao tratamento desses dados.
Sem prejuízo da LGPD, e dadas as particularidades das atividades cartorárias, a Corregedoria Nacional de Justiça (CNJ) publicou o Provimento 134/2022, que estabelece os parâmetros a serem seguidos pelos cartórios de todo o país, no que se refere ao tratamento de dados pessoais, que se dá em grande volume nos serviços prestados pelas serventias extrajudiciais.
TRATAMENTO DE DADOS PESSOAIS NOS CARTÓRIOS
De fato, dentro das serventias notariais e de registro, grande parte das atividades envolve o tratamento de dados pessoais destinado à prática dos atos inerentes ao exercício dos respectivos ofícios, tais como: atos de inscrição, transcrição, registro, averbação, anotação, escrituração de livros de notas, reconhecimento de firmas, autenticação de documentos, etc.
Da mesma forma, as atividades administrativas englobam o tratamento de dados pessoais, tais como: contratação de prepostos; • gerenciamento administrativo/financeiro; • emissão de recibos e notas fiscais para emolumentos e custas; • prestação de esclarecimentos a órgãos públicos; • fornecimento de informações; • compartilhamento de dados com centrais de serviços eletrônicos, conforme previsto em Provimentos do Poder Judiciário.
PRINCIPAIS PONTOS DO PROVIMENTO 134/2022
- O Provimento 134/2022 estabelece uma espécie de um roteiro a ser seguido pelos cartórios, com o fim de estabelecer uma sólida governança de dados pessoais, consolidando uma cultura de proteção de dados.
Nesse sentido, determina a adoção de providências de caráter técnico e administrativo visando proteger os dados pessoais de acessos não autorizados ou de tratamentos inadequados ou ilícitos, assim como determina a definição e implementação de uma política de privacidade que descreva os direitos dos titulares de dados pessoais, de modo claro e acessível, bem como os tratamentos realizados e a sua finalidade.
Essa acessibilidade significa que o documento deve ser de fácil compreensão e deve estar disponível nos principais meios de comunicação do agente de tratamento, como um site na internet e redes sociais.
Outras providências também pontuadas são a revisão de contratos com prestadores de serviços e o treinamento de prepostos do agente delegado.
- De acordo com o art. 4 do Provimento, a liderança do processo de adequação é atribuída aos titulares dos cartórios, enquanto controladores do tratamento dos dados pessoais no exercício da atividade típica registral ou notarial.
- Os delegatários (titulares responsáveis pelos cartórios) estão obrigados a indicar um encarregado dos dados pessoais, cujas funções estão descritas no art. 41, § 2º da LGPD, sendo possível a terceirização do exercício dessa função de encarregado, mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que aptos ao exercício da função.
De todo modo, é mantido o dever de atendimento, pelo titular responsável pelo cartório, de solicitações dos titulares de dados, além de competir a ele transmitir, por escrito, a esse encarregado, bem como a qualquer outra pessoa que intervenha em uma das fases de tratamento de dados pessoais, todas as orientações necessárias ao tratamento dos dados.
- Um dos procedimentos técnicos previstos no Provimento é o mapeamento do fluxo de dados pessoais na rotina de atividades do cartório. Deve ser examinado todo o caminho do dado pessoal, desde o momento de coleta (incluindo a forma como o dado pessoal foi coletado, o propósito da coleta e quais dados foram coletados), até a forma como os dados são utilizados dentro do cartório (transferências internas e externas) e como são armazenados (incluindo a agenda de armazenamento).
O intuito desse mapeamento é visualizar os procedimentos adotados, de modo a identificar eventuais vulnerabilidades no tratamento dos dados pessoais e tomar decisões que mitiguem eventual vulnerabilidade.
- O capítulo VI do Provimento detalha algumas instruções para a elaboração do Relatório de Impacto à Proteção de Dados (RIPD).
Esse é um documento concebido para descrever o tratamento de dados pessoais, avaliar a sua necessidade/proporcionalidade e ajudar a gerir os respectivos riscos aos direitos e liberdades, por meio da avaliação de tais riscos e da determinação de medidas e mecanismos para fazer frente a eles.
- O plano de resposta a incidentes de segurança com dados pessoais deverá prever a comunicação ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça, desde que possam acarretar risco ou dano relevante aos titulares, dentro do prazo máximo de 48 horas úteis, contados a partir do conhecimento do caso.
Esse plano de resposta deverá conter o esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.
SANÇÕES PELO DESCUMPRIMENTO DAS REGRAS LGPD
Conforme pontuado, em que pesem as diretrizes específicas trazidas pelo Provimento em questão, a LGPD também é aplicada às atividades dos cartórios, em termos gerais.
Além da responsabilidade de indenizar o titular dos dados, a LGPD prevê sanções administrativas na hipótese de seu descumprimento. São elas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
- Multa diária, observado o mesmo limite total referido acima;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Cumpre observar que, dentre essas sanções, as multas não são aplicáveis aos cartórios, uma vez que elas foram previstas para pessoas jurídicas de direito privado e os serviços notariais e de registro receberam, na LGPD, o mesmo tratamento conferido às pessoas jurídicas de direito público, conforme o artigo 23, § 4º. No entanto, estão sujeitos a outras sanções, em especial às impostas pela Corregedoria do Tribunal de Justiça do respectivo Estado.
De todo modo, é preciso dizer que os incidentes de dados pessoais acarretam danos reputacionais extremamente significativos, podendo implicar na perda de receita, aumento de custo operacional e queda na confiança dos clientes, fornecedores e outras partes interessadas.
VIGÊNCIA DO PROVIMENTO 134/2022.
As serventias terão o prazo de 180 dias (contados da data da publicação do documento, 24.08.2022) para entrarem em conformidade às disposições contidas no Provimento, mesmo tempo dado às Corregedorias Estaduais para que promovam a adequação das normas locais que, eventualmente, contrariarem as regras e diretrizes constantes no ato do CNJ.
LGPD
LGPD