Portaria nº 6.735/CGJ/2021 – Institui Comissão Especial de Trabalho para promover estudos e apresentar propostas acerca do tratamento de dados pessoais nos serviços extrajudiciais – Recivil.
Glossário:
Acesso – possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados.
Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
Armazenamento – ação ou resultado de manter ou conservar em repositório um dado.
Arquivamento – ato ou efeito de manter registrado um dado embora já tenha perdido a validade ou esgotada a sua vigência.
Autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.
Avaliação – ato ou efeito de calcular valor sobre um ou mais dados.
Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico.
Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados.
Classificação – maneira de ordenar os dados conforme algum critério estabelecido. Coleta – recolhimento de dados com finalidade específica.
Comunicação – transmitir informações pertinentes a políticas de ação sobre os dados.
Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
Controle – ação ou poder de regular, determinar ou monitorar as ações sobre o dado.
Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.
Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.
Dado pessoal: informação relacionada à pessoa natural identificada ou identificável.
Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
Difusão – ato ou efeito de divulgação, propagação, multiplicação dos dados Distribuição – ato ou efeito de dispor de dados de acordo com algum critério estabelecido.
Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Extração – ato de copiar ou retirar dados do repositório em que se encontrava.
Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da informação aos órgãos e às entidades da administração pública federal em seu âmbito de atuação.
Garantia da segurança de dados: ver garantia da segurança da informação.
Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos padrões de interoperabilidade de governo eletrônico (ePING).
Modificação – ato ou efeito de alteração do dado.
Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou estatístico.
Processamento – ato ou efeito de processar dados.
Produção – criação de bens e de serviços a partir do tratamento de dados. Recepção – ato de receber os dados ao final da transmissão
Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
Reprodução – cópia de dado preexistente obtido por meio de qualquer processo. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Transferência – mudança de dados de uma área de armazenamento para outra, ou para terceiro.
Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
Tratamento: toda operação realizada com dados pessoais.
Transmissão – movimentação de dados entre dois pontos por meio de dispositivos elétricos, eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc.
Utilização – ato ou efeito do aproveitamento dos dados
Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicas no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados
Uma breve explanação antes de adentrar à referida portaria; em 14 de agosto de 2018 foi sancionada a Lei 13.709 (Lei Geral de Proteção de Dados) trazendo maior rigor ao tratamento de dados pessoais. A Lei Brasileira veio colocar nosso país no rol daqueles que entenderam que a informação é a mais valiosa commodity desses novos tempos, devendo proteger seus cidadãos quanto ao tratamento indevido de seus dados pessoais.
“A importância da Lei, resumidamente, é o estabelecimento de segurança jurídica para os envolvidos no processo de tratamento de dados pessoais porque apesar de termos alguma legislação setorial (como o Código de Defesa do Consumidor, por exemplo), existem casos de obscuridade, sem definição do que seriam os dados pessoais e as consequências do mau uso deles.”
Apesar da autoridade nacional de proteção de dados (ANPD) possuir atribuições para elaboração de diretrizes para a política nacional de proteção de dados pessoais e da privacidade, fiscalizar e aplicar sanções na hipótese de tratamento de dados realizados em descumprimento à legislação, promover para a população conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, além de estarem incumbidos a tratar sobre as regras de compartilhamento de dados pessoais, inclusive os internacionais, o Art. 23 da LGPD sobre o tratamento de dados pessoais pelo poder público, estabelece que o tratamento de dados pessoais pelas pessoas de direito público referidas no parágrafo único do Art. 1º. da Lei 12.527 de 12 de novembro de 2011 (Lei de acesso à informação), deverá ser realizado para
o atendimento de sua finalidade pública na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Cabe ressaltar que segundo a Lei 8.935/94, em seu Art. 30, inciso VI, guardam sigilo sobre a documentação e os assuntos de natureza reservada de que tenham conhecimento em razão do exercício de sua profissão, passíveis de penalidades segundo o Art. 31, incisos I e IV da referida legislação.
Neste sentido as considerações desta Portaria Nº 6.905/CGJ/2021, editada pela douta Corregedoria Geral de Justiça de Minas Gerias, em seu refinado papel, vem através desta nortear e preencher algumas lacunas deixadas pela LGPD.
PORTARIA Nº 6.905/CGJ/2021
Dispõe sobre o tratamento e proteção de dados pessoais nos serviços notariais e de registro do Estado de Minas Gerais, nos termos da Lei nº 13.709, de 14 de agosto de 2018.
O CORREGEDOR-GERAL DE JUSTIÇA DO ESTADO DE MINAS GERAIS, no uso das atribuições que lhe conferem os incisos I e XIV do art. 32 do Regimento Interno do Tribunal de Justiça, aprovado pela Resolução do Tribunal Pleno nº 3, de 26 de julho de 2012,
CONSIDERANDO a competência dos órgãos judiciários para exercerem a função regulatória das atividades prestadas nas serventias notariais e de registros, consoante o disposto no § 1º do art. 236 da Constituição da República Federativa do Brasil;
CONSIDERANDO que compete à Corregedoria-Geral da Justiça orientar, normatizar e fiscalizar as atividades das serventias extrajudiciais;
CONSIDERANDO a necessidade de regulamentação, no âmbito dos serviços notariais e de registro do Estado de Minas Gerais, da Lei nº 13.709, de 14 de agosto de 2018, “Lei Geral de Proteção de Dados Pessoais (LGPD)”, que dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
CONSIDERANDO o princípio da publicidade, que orienta a prática dos atos notariais e de registros, possibilitando, inclusive, que a pessoa possa requerer certidão sem informar o motivo ou o interesse do pedido, nos termos do art. 17 da Lei nº 6.015, de 31 de dezembro de 1973, que “dispõe sobre os registros públicos, e dá outras providências”, e do art. 1º da Lei nº 8.935,
de 18 de novembro de 1994, que “regulamenta o art. 236 da Constituição Federal, dispondo sobre serviços notariais e de registro (Lei dos cartórios)”;
CONSIDERANDO a obrigação das serventias extrajudiciais de cumprir as normas técnicas estabelecidas pelo Poder Judiciário, nos moldes dos arts. 37 e 38 da Lei nº 8.935, de 1994;
CONSIDERANDO o fato de haver tratamento de dados pessoais, sensíveis ou não, na prestação das atividades notariais e de registros;
CONSIDERANDO o compartilhamento de dados pessoais pelos responsáveis das serventias extrajudiciais com as centrais de serviços eletrônicos compartilhados, decorrente de previsões legais e normativas;
CONSIDERANDO, por fim, o que ficou consignado no processo do Sistema Eletrônico de Informações – SEI nº 0006007-39.2021.8.13.0000,
Planilha – Mapeamento de Processos
Baixe nossa planilha preenchendo o formulário e entenda mais.
RESOLVE:
Art. 1º O tratamento de dados pessoais estabelecido pela Lei nº 13.709, de 14 de agosto de 2018, “Lei Geral de Proteção de Dados Pessoais (LGPD)”, deverá ser observado em todas as operações realizadas pelos serviços notariais e de registros do Estado de Minas Gerais, independentemente do meio ou do país onde os dados sejam armazenados e tratados.
A Lei Geral de Proteção de Dados brasileira (LGPD) versa exclusivamente sobre toda operação realizada por pessoa natural ou pessoa jurídica de direito público ou privado com o tratamento de dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, transmissão, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Salientando que a LGPD não abarca o tratamento dos dados de pessoas jurídicas. A PORTARIA Nº 6.905/CGJ/2021 vem para dispor o cumprimento da LGPD pelo extrajudicial, bem como as demais legislações e provimentos pertinentes ao tema. Ao final deste artigo está listada as principais Leis e normativas as quais o Extrajudicial está submetida.
Parágrafo único. Os responsáveis pelos serviços notariais e de registros devem atender aos objetivos, fundamentos e princípios previstos nos Arts. 1º, 2º e 6º da Lei nº 13.709, de 2018.
O Objetivo basilar da LGPD é o de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Seus fundamentos se norteiam para com o respeito a privacidade; a autodeterminação informativa; a liberdade de expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa, a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Possui ainda como princípios a finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades; adequação: compatibilidade do tratamento com as
finalidades informadas ao titular, de acordo com o contexto do tratamento; necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com a abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados; livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integridade de seus dados pessoais; qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial; segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
Art. 2º O tratamento de dados pessoais realizado pelos serviços notariais e de registro, no exercício de suas atribuições, deverá ser informado aos usuários, bem como fornecidas informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as práticas utilizadas para a execução dessas atividades.
“O tratamento de dados pessoais realizados pelos cartórios destinado à prática dos atos inerentes ao exercício dos respectivos ofícios, deve visar ao atendimento de sua finalidade da prestação do serviço público, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir com as atribuições legais inerentes aos serviços notariais e de registro e não dependem, nesses casos, de autorização específica da pessoa natural que dela for titular.”
LGPD e Cartórios: implementação e questões praticas / Adriane Correia de Lima … [et. Al.] – São Paulo : Saraiva Educação, 2021.
Parágrafo único. As informações deverão ser disponibilizadas em meios de comunicação de fácil acesso, de modo eletrônico (internet, aplicativos) ou impresso (cartaz afixado na própria serventia).
As Serventias deverão, em seus sítios eletrônicos e aplicativos destinados a divulgação e solicitação dos seus atos de ofício, disponibilizar sua política de segurança da informação. Nesta política, para uma maior abrangência da informação e divulgação das conformidades, já devem incluir a compliance com a LGPD, bem como os Provimentos da Corregedoria Nacional de Justiça No. 50 (dispõe sobre a conservação de documentos nos cartórios extrajudiciais) e No. 74 (dispõe sobre padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil), a Lei 8.935/94 (que regulamenta o Art. 236 da Constituição Federal, dispondo sobre serviços notariais e de registro [Lei dos Cartórios]) e demais legislações pertinentes às suas especialidades. Também deverão deixar uma cópia da política de segurança da informação, disponíveis e de fácil acesso no balcão da serventia.
Art. 3º O tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício dos serviços notariais e de registros, no cumprimento de obrigação legal ou normativa, independe de autorização específica da pessoa natural que deles for titular.
Parágrafo único. Consideram-se inerentes ao exercício dos ofícios, os atos praticados nos livros mantidos por força de previsão nas legislações específicas, incluídos:
I – os atos de inscrição, transcrição, registro, averbação, anotação, escrituração de livros de notas, reconhecimento de firmas,
autenticação de documentos;
II – as comunicações para unidades distintas, visando as anotações nos livros e atos nelas mantidos;
III – os atos praticados para a escrituração de livros previstos em normas administrativas; IV – as informações e certidões;
V – os atos de comunicação e informação para órgãos públicos e para centrais de serviços eletrônicos compartilhados que decorrerem de previsão legal ou normativa.
Decorrente do reconhecimento de que a massificação das relações travadas entre os órgãos públicos e os cidadãos, é marcada pela grande coleta de dados e tratados de forma não padronizada, tão pouco, transparente, redunda no risco dos órgãos públicos violarem direitos e garantias fundamentais do titular. Neste sentido, e para que houvesse execução de políticas públicas que regulamentasse sobre o tema foi editada a LGPD.
Existem hipóteses legais em que os órgãos públicos são investidos do poder de tratar dados pessoais excluindo por via de consequência, qualquer outra, atrelando-as ao propósito de cumprir sua finalidade pública e desde que tenham como premissa o interesse público.
“Como profissionais do Direito, especialmente no âmbito do Sistema do Notariado Latino, guardam independência jurídica e, em igual medida, equidistância em relação às partes e seus variados e possíveis interesses.”
Rodrigues, Marcelo Guimarães
Lei Geral de Proteção de Dados – LGPD e os Serviços Notariais e de Registros/Marcelo Guimarães Rodrigues – Belo Horizonte : Colégio Notarial do Brasil – MG, 2021.
Destarte, ancorado à uma base legal que o legítima, os serviços notariais e de registro, seguindo os princípios da finalidade, da adequação, da necessidade, e procedimentos e práticas ficam
amparados e obrigados ao cumprimento de suas atribuições quanto ao tratamento de dados pessoais, mesmo sem os consentimentos dos titulares dos dados.
Art. 4º Os responsáveis pelos serviços notariais e de registros, na qualidade de delegatários, interventores ou interinos, são controladores e responsáveis pelas decisões referentes ao tratamento de dados pessoais.
Em seu Art. 23, § 4º. a LGPD estabelece que os serviços notariais e de registros exercidos em caráter privado, por delegação do poder público, terão o mesmo tratamento dispensado às pessoas jurídicas de direito privado, referidas no caput deste artigo.
“…percebe-se que os Tabeliães e Oficiais Registradores são agentes de tratamento de dados especialmente qualificados na gestão de informações pessoais com segurança jurídicas e respeito aos direitos de seus titulares.”
Rodrigues, Marcelo Guimarães
Lei Geral de Proteção de Dados – LGPD e os Serviços Notariais e de Registros/Marcelo Guimarães Rodrigues – Belo Horizonte : Colégio Notarial do Brasil – MG, 2021.
“… É dispensada a atividade registral e notarial uma especial prelazia estatal que ele atribui confiabilidade decorrente do poder que advém da própria soberania.”
Viviane Nóbrega Maldonado
LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum, coordenadores – São Paulo: Thomson Reuters Brasil, 2019.
Parágrafo único. Os sistemas e procedimentos internos utilizados para o tratamento e o armazenamento de dados pessoais deverão atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais da Lei nº 13.709, de 2018, e do Provimento da Corregedoria Nacional de Justiça nº 74, de 31 de julho de 2018, que “dispõe sobre padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro do Brasil e dá outras providências”.
Os requisitos de segurança, os padrões de boas práticas e de governança encontram-se no Capítulo VII da LGPD e norteiam como proceder com a utilização de medidas técnicas e administrativas para proteger os dados pessoais. Dentre as medidas técnicas podemos exemplificar o uso de autenticação de acesso a sistemas, recursos de criptografia, anonimização de dados, backups, dentre muitos outros que agreguem segurança no âmbito da tecnologia da informação. Dentre as medidas administrativas podemos exemplificar o uso de políticas organizacionais, políticas de privacidade de sites e aplicativos, contratos de confidencialidade, controle de acesso aos arquivos físico, bem como seu descarte, dentre outros. O Provimento No. 74 do CNJ, antecipou aos notários e registradores a obrigação de estarem em conformidade com requisitos mínimos de segurança integridade e disponibilidade de dados para a continuidade da atividade a serem adotados pelas Serventias, destarte teve sua contribuição no que tange a adequação à LGPD, uma vez que encontra-se em consonância com algumas obrigações da referida.
Art. 5º Os responsáveis pelos serviços notariais e de registros poderão nomear operador, pessoa natural ou jurídica, de direito público ou privado, integrante ou não integrante do quadro de prepostos, para realizar o tratamento dos dados pessoais em nome e por responsabilidade exclusiva do controlador.
Este artigo acrescenta os prepostos da serventia como possíveis operadores realizando o tratamento de dados pessoais em nome do controlador (Serventia), em consonância com o Art.5, VII da LGPD.
“ Art. 5º., VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;”
Lei 13.709/2018 – LGPD
Parágrafo único. Os responsáveis pelos serviços notariais e de registros atuarão como co controladores, quando, por força de lei, convênio ou contrato, determinarem as finalidades e os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica, de direito público ou privado.
O artigo 25 da LGPD estabelece que: “Os dados deverão ser mantidos em formato interoperáveis e estruturado para uso compartilhado, com vistas à execução de políticas públicas, à prestação de serviços públicos, a descentralização da atividade pública e à disseminação e ao acesso das informações pelo público em geral.”
“A interoperabilidade pode ser entendida como uma característica que se refere a capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar) de modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar informações de maneira eficaz e eficiente.”
LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum, coordenadores – São Paulo: Thomson Reuters Brasil, 2019.
Não obstante o Art. 7º., estabelece que: “O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: …”, “III-Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;”
Desta forma, a responsabilidade será compartilhada entre as Serventias e demais entidades, quando da celebração de convênios ou contratos com terceiros, quando do tratamento de dados compartilhado.
Art. 6º Os responsáveis pelos serviços notariais e de registros poderão nomear como encarregado:
I – Integrante do quadro de prepostos da serventia; ou
Poderá o controlador nomear dentre seus prepostos àquela cuja capacidade técnica-jurídica mais se enquadra com a responsabilidade da função. Observará o conflito de interesses, visto que o encarregado subordinado deverá possuir visão crítica analítica junto ao controlador (serventia), sempre prezando pela adequação e cumprimentos das normas, lembrando que este
deverá ter autonomia irrestrita quanto ao tema, uma vez que se co-responsabilizará por omissões, culpa ou dolo.
II – Prestador terceirizado de serviços técnicos.
Poderá o controlador buscar no mercado empresas ou prestadores autônomos para desempenharem a função de encarregado. Como o tema é recente, assim como as empresas e prestadores se qualificaram recentemente, deverá o controlador conhecer o profissional terceirizado ou empresa a ser contratada, investigando sempre sua idoneidade, experiência técnica comprovada, bem como atuações no mercado seja com a implantação da LGPD ou outros serviços oferecidos pelos mesmos.
“… o encarregado tem especial importância para que o ente representado, portanto deve reunir conhecimento técnico necessário para ser suporte, conselheiro, consultor interno e realizar a formação continuada dos gestores na cultura da proteção de dados.”
MINCO, Sandro di. O impacto da Lei Geral de Proteção de Dados (LGPD) nas lides forenses. Palestra proferida em curso de extensão na Escola Paulista de Magistratura. São Paulo, 26.11.2018
Cabe especial análise nesta escolha visto o tamanho da importância e responsabilidade que o encarregado deverá possuir, bem como total e irrestrito acesso a informações de processos internos e dados da Serventia, o que caberá aos responsáveis pelos serviços notariais e de registros ponderar com grande cautela na escolha desta função.
- 1º O prestador terceirizado de serviços técnicos poderá ser contratado como encarregado de mais de uma serventia.
Assim como um determinado escritório de contabilidade, ou uma acessória jurídica que podem ser contratados por mais de uma serventia, esta portaria autoriza que os prestadores de serviços nomeados como encarregados também assim o façam.
- 2º A contratação do prestador terceirizado de serviços técnicos será realizada por meio de contrato escrito, a ser arquivado na serventia.
Por possuir grande responsabilidades e relevância na adequação e continuidade do processo de compliance da Serventia, é imprescindível que no momento da contratação desta empresa ou profissional o contrato de prestação de serviços tenha como objeto claro a função a ser desempenhada e suas respectivas responsabilidades.
- 3º A remuneração dos encarregados prestadores de serviços técnicos poderá ser paga, ou subsidiada, pelas entidades representativas de classe.
Em cumprimento ao artigo 41 da LGPD as serventias deverão nomear obrigatoriamente um encarregado para o tratamento dos dados pessoais. Também chamado de DPO – Data Protection Officer, possui o papel de avaliar, opinar, educar e monitorar o tratamento de dados pessoais, auxiliando os Controladores (Serventias) no cumprimento das obrigações previstas na LGPD. Suas funções vêm claramente descritas no § 2º. do artigo 41 da LGPD.
“é recorrente o uso da expressão techie-lawyer para designar esse novo profissional que possui a tecnologia como idioma e o direito como linguagem.”
ROSAS, Eduarda Chacon. Techie Lawyers: eles não são nem TI nem advogados. disponível em: [www.machinae.com/2018/11/01/techie-lawyers-nem-ti-nem-advogados/]
Esta portaria autoriza a serventia a nomear um de seus prepostos para a obrigação de encarregado, ou contrate prestador terceirizado.
Art. 7º O consentimento do titular será exigido, por escrito ou por outro meio capaz de registrá-lo, na hipótese de tratamento de dados pessoais sensíveis.
Segundo o artigo 5º., II são considerados dados sensíveis todos os dados pessoais sobre origem racial ou étnica, convicções religiosas, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. Um exemplo é a solicitação de uma
certidão para fins de mudança de nome de pessoa em processo de alteração de gênero.
Art. 8º A anonimização de dados pessoais para a transferência de informações para as centrais eletrônicas, ou outro destinatário, será efetuada de acordo com os critérios técnicos estabelecidos no art. 12 da Lei nº 13.709, de 2018.
Dados pessoais anonimizados são aqueles que, originariamente, era relativo a uma pessoa, mas que passou por etapas que garantiram a desvinculação dele a essa pessoa. Se um dado for anonimizado, então a LGPD não se aplicará a ele. Vale frisar que um dado só é considerado efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o caminho para “descobrir” quem era a pessoa titular do dado -se de alguma forma a identificação ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado e estará, então, sujeito à LGPD.
Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-anonimizados-lgpd
Art. 9º Os responsáveis pelos serviços notariais e de registros orientarão seus operadores e encarregados sobre as formas de coleta, de tratamento e de compartilhamento de dados pessoais a que tiverem acesso, bem como sobre as respectivas responsabilidades.
Segundo os Art. 39 “O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.” e Art. 41 IV, que versa sobre as obrigações do encarregado, “Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.”
“É sobre o controlador que é LGPD imponha o seu maior peso jurídico, pois é ele o responsável pela tomada de decisões sobre o tratamento de dados pessoais.
…
O operador, por sua vez, é quem realiza o tratamento de dados pessoais em nome do controlador. Portanto, este não poderá tratar dados pessoais se não em virtude das determinações do controlador ou de previsão legal.
…
A designação do encarregado pelo tratamento de dados pessoais deve ocorrer baseada nas qualidades profissionais do indicado, particularmente em seu conhecimento da legislação de proteção de dados, das práticas de tratamento de dados pessoais, e na sua capacidade em cumprir os requisitos da lei geral de proteção de dados ponto.”
LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum, coordenadores – São Paulo: Thomson Reuters Brasil, 2019.
0
Art. 10. É de responsabilidade dos delegatários, dos interventores ou dos interinos a orientação dos prepostos, dos prestadores de serviços terceirizados, dos operadores e dos encarregados sobre as práticas a serem adotadas em relação à proteção de dados pessoais.
Como controladores, as serventias podem formular suas próprias regras de boas práticas e de governança sobre a proteção de dados pessoais, nos termos da definição do artigo 5º., IX da LGPD.
“Há claramente um estímulo para que os agentes da iniciativa pública e privada formulem suas próprias regras e se autorregulem de acordo com as condições e as peculiaridades da organização e a sua forma de funcionamento. Isso porque, embora a LGPD seja soberana, a depender do setor econômico as normas de segurança e os padrões técnicos serão diferentes.”
LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum, coordenadores – São Paulo: Thomson Reuters Brasil, 2019.
Art. 11. A orientação aos operadores ou encarregados e qualquer outra pessoa que intervenha em uma das fases de coleta, tratamento e compartilhamento abrangerá, ao menos:
I – As medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
Este inciso coaduna com o inciso V do Art. 26 da LGPD, bem como o cumprimento das tratativas de boas práticas descritas no Capítulo VII – Da segurança e das boas práticas, mais precisamente no seu Art. 46.
Para estar em conformidade com os ditames legais, os agentes de tratamento de dados deverão implementar soluções de natureza multidisciplinar, deste modo, não bastará apenas a implementação de recursos tecnológicos ou adoção de documentação interna como atividades isoladas. Para a garantia da segurança, também precisarão adotar um conjunto de processos internos, controles tecnológicos, políticas corporativas, regulamentos e contratos, que terão por missão precípua a proteção dos dados pessoais que estejam sob sua custódia.
“Pessoas não autorizadas são aquelas alheias ao sistema e que não tem legitimidade legal, regulamentar ou estatutária para ingressar.”
BITENCOURT, Roberto Cezar. Tradado de Direito Penal. São Paulo: Saraiva,2012 p.449-450
Quanto a situações acidentais ou ilícitas de: Destruição – indica a eliminação dos dados pessoais de forma física e/ou lógica (digitalmente); Perda – indica o sumiço ou desaparecimento das informações de dados pessoais decorrentes, por exemplo, de desastres naturais sem que haja cópias de backup como forma de segurança; Alteração – indica a modificação do dado pessoal por pessoas não autorizadas ou modificação indevida realizada por pessoas autorizadas com o objetivo de cometer fraudes contra o titular dos dados; Comunicar – indica a divulgação ou
exposição ilícita para expor dados pessoais através de vazamento de informações; Qualquer forma de tratamento inadequado ou ilícito – o termo inadequado utilizado da margem a uma interpretação bem abrangente, porém o tratamento ilícito é todo aquele que contrarie as disposições legais da LGPD.
O Centro Nacional de Cibersegurança de Portugal reuniu o conjunto das melhores práticas em um único documento muito bem escrito. Em um quadro nacional de referência para a cibersegurança, o qual permite às organizações reduzir o risco associado às Cyber ameaças.
II – A informação de que a responsabilidade dos operadores prepostos, ou terceirizados, e de qualquer outra pessoa que intervenha em uma das fases abrangida pelo fluxo dos dados pessoais, subsiste mesmo após o término do tratamento;
Constatada inicialmente imposição aos agentes de tratamentos o dever de adotar medidas de seguranças e técnicas administrativas aptas a proteger os dados pessoais conforme o disposto no artigo 46 da LGPD, o legislador encontra um meio de alcançar os mesmos objetivos que sustentam os pilares da segurança da informação (confidencialidade, disponibilidade e integridade) incorporando a ideia de que a segurança é uma questão que vai muito além da tecnologia embora a tecnologia seja parte contribuinte da solução. Assim constatamos que a
LGPD torna a disciplina, pelo menos no que toca os dados pessoais, uma obrigação legal e não apenas uma mera opção de controle interno que poderia ou não ser adotada pelas organizações. O legislador ao citar a intervenção em uma das fases por qualquer pessoa envolvidas no ciclo de vida dos dados pessoais, quer que essa segurança seja abrangida por todo ciclo de vida deles
(criação, coleta, manuseio, processamento, armazenamento, transporte, transmissão, exclusão ou destruição definitiva da informação), mesmo depois de concluído o seu tratamento, os obrigando a tratar em todo o ciclo de vida dos dados e não somente em cada etapa.
III – A forma de comunicação com aqueles que forneçam os seus dados pessoais e com terceiros;
As Serventias deverão criar um canal de atendimento para facilitar o contato entre os titulares ou quem forneçam os dados pessoais, e os respectivos operadores ou encarregados da proteção de dados. Àquela serventia que já possuir uma ouvidoria, deverá segregá-la e criar uma categoria relacionada especificamente para a LGPD. Desta forma quando se tratar de dados pessoais os questionamentos deverão ser direcionados exclusivamente aos encarregados da proteção dos dados pessoais. Esta comunicação contempla o princípio da prestação de contas ou accountability, dentro da governança corporativa aplicada aos cartórios, além dos incisos VII, VII e do caput, do Art 6º., e inciso I do §4º. do Art. 18 da LGPD que elenca sobre os direitos dos titulares dos dados pessoais, bem como o inciso II do Art. 2º que dispões sobre a autodeterminação informativa. Cabe aqui ressaltar que segundo o artigo 30 da LGPD, a agência nacional de proteção de dados poderá estabelecer normas complementares para as atividades de comunicação e de uso compartilhado de dados pessoais.
IV – O atendimento de eventuais solicitações dos direitos do titular de dados contido no art. 18 da Lei nº 13.709, de 2018, em prazo razoável.
É obrigação dos controladores e operadores atender as solicitações dos próprios titulares dos dados para cumprimento do artigo 18º. da LGPD, porém, o citado prazo razoável é muito
subjetivo, devendo sempre os encarregados e operadores a conduzirem de forma célere todas solicitações referente a tratamento de dados pessoais.
Art. 12. Os responsáveis pelos serviços notariais e de registros, por meio de canal próprio, do canal do encarregado, se terceirizado, e/ou em parceria com as respectivas entidades de classe, deverão manter em suas unidades:
I – Sistema de controle do fluxo abrangendo a coleta, o tratamento, o armazenamento e o compartilhamento de dados pessoais, até a restrição de acesso futuro;
Inserida na seção II – Das boas práticas e da governança – em seu artigo 50, a LGPD estabelece que os controladores e operadores poderão formular regras de boas práticas de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclama ações e petições de titulares, às normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de risco e outros aspectos relacionados ao tratamento de dados pessoais. Neste sentido a Lei prevê que os agentes poderão criar mecanismos internos para contemplar um ciclo da governança corporativa. As serventias deverão adotar checklist para confirmar transparência e cumprimento dos direitos dos titulares sob o viés da LGPD.
II – Política de privacidade que descreva os direitos dos titulares de dados pessoais, de modo claro e acessível, os tratamentos realizados e a sua finalidade;
“A política de privacidade deverá estar razoado ao artigo 1º. da LGPD que esclarece e se aplicam em suas disposições ao:
tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoas jurídicas de direito público ou privado, com o
objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade a pessoa
natural.”
Segundo os autores Flávia Alcassa e João Rodrigo Stinghen, em “LGPD e Cartórios”, a política de privacidade é uma concretização do princípio da transparência: “garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observado o segredo comerciais e industriais” (Art. 6º., IV, da LGPD). Convém destacar que, para os cartórios, as normas das corregedorias são de grande relevância, devendo a política de privacidade contemplar essas “fontes normativas” da atividade em seu bojo: legislação federal, legislação estadual, normativas do CNJ, normativas das corregedorias estaduais.
III – Canal de atendimento adequado para informações, reclamações e sugestões ligadas ao tratamento de dados pessoais, com formulários específicos e fluxo de atendimento das requisições e/ou reclamações apresentadas, desde o seu ingresso até o fornecimento da resposta.
As serventias deverão implementar um canal de atendimento para contato direto com encarregado de dados no cartório, definido pela lei como um “canal de comunicação”. Àquelas
serventias que já possuírem uma ouvidoria deverão estar atentas para que todos os questionamentos referentes a LGPD sejam direcionadas única e exclusivamente ao encarregado/DPO, evitando desta forma que outros colaboradores recebam questionamentos ou mesmo dados pessoais, que não sejam de suas responsabilidades.
Parágrafo único. Os formulários e programas de informática para o registro do controle de fluxo, adaptados para cada especialidade dos serviços de notas e de registros, poderão ser fornecidos pelas entidades representativas de classe.
Art. 13. Na implementação dos procedimentos de tratamento de dados, os responsáveis pelos serviços notariais e de registros deverão:
I – Mapear as atividades de tratamento de dados pessoais por meio de formulário e/ou questionário sobre os aspectos gerais da Lei nº 13.709, de 2018, devidamente arquivado na serventia e disponibilizado em caso de solicitação da Corregedoria-Geral de Justiça, da Autoridade Nacional de Proteção de Dados Pessoais (ANPDP) ou de outro órgão de controle;
“Art. 23 – O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que:
…
- 5º – Os órgãos notariais e de registro devem fornecer acesso aos dados por meio eletrônico para administração pública, tendo em vista as finalidades de que trata o caput deste artigo.”
Lei Geral de Proteção de Dados.
“O acesso da administração pública aos dados deve estar necessariamente atrelado ao atendimento da finalidade pública da atividade registral, qual seja a garantia da autenticidade, segurança e eficácia dos atos jurídicos, bem como do órgão ou ente administrativo que postula o acesso.”
LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum, coordenadores – São Paulo: Thomson Reuters Brasil, 2019.
II – Conduzir a avaliação das vulnerabilidades e lacunas em relação à proteção de dados pessoais no que se refere às atividades desenvolvidas na serventia;
Em uma das etapas de adequação a LGPD existe uma fase chamada de gap analyses, onde aborda as avaliações de segurança, analisando os riscos organizacionais sob vários aspectos tais como: infra-estrutura tecnológica, pessoal, processos e auditorias, para obter um retrato claro do status de adequação e conformidade da atividade de tratamento de dados pessoais, que é realizado sob responsabilidade do controlador.
III – revisar e adequar os contratos e convênios, internos e externos, presentes e futuros, que tratem de compartilhamento de dados pessoais, em conformidade com a lei de regência;
Conforme descrito no Art. 7º., inciso III, os serviços notariais e de registros deverão observar disposições do capítulo IV da LGPD que aborda sobre o tratamento de dados pessoais pelo poder público, ao qual estão obrigados.
Inclui-se aqui os contratos trabalhistas, bem como contratos para terceirização de serviços, devendo sempre a serventia solicitar o consentimento expresso, do candidato na fase pré contratual de recrutamento de seleção; do empregado na fase contratual e pós-contratual; e na etapa ou procedimento de terceirização quando feito em nome de pessoa física.
Demais contratos e convênios efetuados em nome de pessoa física, a serventia também deverá colher o expresso consentimento para o tratamento dos dados pessoais.
IV – Realizar relatórios de impacto à proteção de dados pessoais referentes aos atos em que o tratamento desses dados gere risco a direitos e liberdades fundamentais;
“Para o tratamento dos dados pessoais sensíveis, poderá se revelar útil a elaboração de relatórios de impacto, contendo, ao menos a): e que tenha descrição dos tipos de dados coletados; b): metodologia utilizada para coleta e para garantia da segurança; c): indicação das pessoas com acesso aos dados pessoais coletados; d): análise do controlador com relação aos mecanismos de mitigação dos riscos.”
Rodrigues, Marcelo Guimarães
Lei Geral de Proteção de Dados – LGPD e os Serviços Notariais e de Registros/Marcelo Guimarães Rodrigues – Belo Horizonte : Colégio Notarial do Brasil – MG, 2021.
Determinação em consonância com inciso XVII do Art. 5º. da LGPD.
V – Adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
“Medidas de segurança podem ser considerada como aquelas aptas a proteger os dados pessoais de acessos não autorizados e de situações ainda sinais ou ilícitas de destruição perda alteração comunicação ou de fusão.
Medidas técnicas podem ser representadas pelo uso de tecnologias como ferramentas de autenticação de acesso aos sistemas mecanismos de segurança em software hardware, recursos de controle de tráfego de dados em rede, instrumentos detectores de invasão de sistemas (pen tests), recursos de criptografia, segregação de servidores, ferramentas de prevenção à perda de dados, testes de vulnerabilidade, cópias de segurança dentre outros.
Medidas administrativas podem ser representadas com políticas corporativas para proteção dos dados pessoais, contratos de confidencialidade, políticas de privacidade de sites e aplicativos, capacitação dos empregados cujas atividades envolvam o tratamento de dados pessoais, controle de acesso aos arquivos físicos, dentre outros.”
LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum, coordenadores – São Paulo: Thomson Reuters Brasil, 2019.
VI – Implementar sistemas de controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, que deverão proteger contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, sendo vedado o compartilhamento dos dados pessoais sem autorização específica, legal ou normativa e permitir, quando necessário, a elaboração dos relatórios de impacto previstos nos arts. 32 e 38 da Lei n. 13.709, de 2018.
Este sistema é chamado de Sistema de Gestão do Programa de Privacidade e Proteção de Dados (Data Protection Management System – DPMS) que tem como objetivo implementar estratégias, governanças, políticas e procedimentos, ferramentas, e promover uma gestão da mudança – conscientização e treinamento, dentro da Serventia.
Em seu Art. 32, a LGPD faculta aos agentes do Poder Público a elaboração e publicação do relatório de impacto à proteção de dados pessoais RIPDP.
“A inexistência de dispositivo legal expresso determinando ao ente público a obrigatoriedade na elaboração periódica do relatório de impacto à proteção de dados pessoais na LGPD poderia levar a inferência da obrigatoriedade em sua elaboração, já que apenas a publicação é passível de solicitação.”
LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum, coordenadores – São Paulo: Thomson Reuters Brasil, 2019.
Parágrafo único. Os incidentes de segurança com dados pessoais deverão ser comunicados imediatamente à Corregedoria Geral de Justiça e ao juiz diretor do foro da comarca, com esclarecimentos da natureza do incidente e das medidas adotadas, para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.
Quando houver incidentes com dados pessoais, as serventias deverão elaborar e encaminhar de imediato a corregedoria geral de justiça e ao juiz diretor do foro da comarca o RIPDP.
Art. 14. Os responsáveis pelos serviços notariais e de registro deverão exigir de suas respectivas empresas de automação a adequação às exigências da Lei nº 13.709, de 2018, quanto aos sistemas e programas de gestão de dados internos utilizados.
Aquelas serventias que possuem sistemas e programas terceirizados, deverão obrigatoriamente exigir das empresas contratadas a adequação a LGPD, já as serventias que por ventura possuírem sistemas e programas proprietários deverão solicitar aos seus funcionários Analistas/Desenvolvedores adequação a mesma norma.
Art. 15. Os titulares terão livre acesso sobre o tratamento de seus dados pessoais, por intermédio de consulta facilitada e gratuita, que poderá abranger a exatidão, a clareza, a relevância, a atualização, a forma, a duração do tratamento e a integralidade dos dados.
Parágrafo único. A gratuidade do livre acesso dos titulares de dados será restrita aos dados pessoais constantes nos sistemas administrativos da serventia, sem alcançar a prática dos atos inerentes à prestação dos serviços notariais e de registros, e não abrangerá a emissão de certidões sobre as quais incidam emolumentos ou isenções na forma da lei específica.
As serventias deverão disponibilizar aos titulares consulta gratuita sobre o tratamento de seus dados pessoais devendo se restringir apenas aquelas informações que o identifiquem (nome completo, endereço, cpf, telefones e e-mails), bem como o interesse legítimo e a duração do tratamento destes dados.
“Art. 7º § 3º – O tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.”
LGPD
Art. 16. Os responsáveis pelos serviços notariais e de registros poderão exigir o fornecimento, por escrito, da identificação do solicitante e da finalidade da solicitação para a expedição de certidão ou informação restrita ao que constar nos indicadores e índices pessoais.
Esta exigência permitirá identificar quem será o responsável pelas informações prestadas pelas Serventias após a entrega das certidões ou outros atos que identifiquem os dados pessoais de um titular de dados, transferindo àqueles as responsabilidades da segurança de tais informações.
- 1º A exigência de que trata o “caput” deste artigo poderá ser feita quando forem solicitadas certidões ou informações em bloco, ou agrupadas, ou segundo critérios não usuais de pesquisa, ainda que relativas a registros e atos notariais envolvendo titulares distintos de dados pessoais.
- 2° As solicitações de certidões e informações formuladas em bloco, relativas a registros e atos notariais do mesmo titular de dados pessoais ou de titulares distintos, poderão ser negadas, por meio de nota fundamentada, quando as circunstâncias da solicitação indicarem a finalidade de tratamento de dados pessoais, pelo solicitante ou outrem, de forma contrária aos objetivos, fundamentos e princípios da Lei nº 13.709, de 2018.
As serventias poderão negar, por meio de nota fundamentada, caso verifiquem que as motivações e finalidade para a prática do ato, forem discordantes aos Objetivos de: proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural; Fundamentos: I – O respeito à privacidade; II – A autodeterminação informativa; III – a liberdade de expressão informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.; Princípios: finalidade de adequação, necessidades, livre acesso, qualidade dos dados, transparência, segurança prevenção, não discriminação, e responsabilização e prestação de contas. Vide comentários do Art. 1º. Parágrafo Único deste documento.
- 3º A identificação do solicitante será exigida para as informações que abranjam dados pessoais, quando se tratar de requerimento eletrônico, salvo se a solicitação for realizada por responsável ou preposto da serventia extrajudicial, na prestação do serviço público delegado.
Fica facultado a identificação do solicitante, quando do requerimento eletrônico para a prática de atos, desde que realizada por responsável ou prepostos da serventia, e exigida para qualquer outro requerimento efetuado pelo público em geral.
Art. 17. Os responsáveis pelos serviços notariais e de registro deverão armazenar os documentos físicos que contenham dados pessoais e dados pessoais sensíveis em salas ou compartimentos com controle de acesso.
A LGPD exige que as organizações adotem medidas técnicas e organizacionais apropriadas para proteger os dados pessoais que processam e armazenam. A ISO/IEC 27001, é o padrão internacional para um SGSI – Sistema de Gerenciamento de Segurança da Informação. Ela possui várias extensões que tratam das Técnicas de Segurança, Sistemas de Gestão de Segurança da Informação e demais requisitos para a
proteção dos dados pessoais. Em uma de suas extensões a ISO 27701, mais especificamente no seu item 9.1, é abordado sobre a segurança física do ambiente – áreas seguras, onde trata como objetivo a prevenção do acesso físico não autorizado, danos e interferências com as instalações e informações da organização. Também aborda no item 9.2 sobre a segurança em escritórios, salas e instalações.
Art. 18. A digitalização dos documentos físicos ainda utilizados poderá ser realizada pelos responsáveis pelos serviços notariais e de registro.
“Ao transpor arquivos físicos ao formato digital, o armazenamento poderá ainda passar por mudanças que virgula sob uma nova perspectiva, faz surgir outro viés da conservação: o zelo em precaver indevido por terceiros aos dados do ato notarial ou do registro, em ambiente digital.”
Rodrigues, Marcelo Guimarães
Lei Geral de Proteção de Dados – LGPD e os Serviços Notariais e de Registros/Marcelo Guimarães Rodrigues – Belo Horizonte : Colégio Notarial do Brasil – MG, 2021.
- 1º O documento físico poderá ser eliminado após a digitalização, respeitados as disposições e os prazos definidos no Provimento da Corregedoria Nacional de Justiça nº 50, de 28 de setembro de 2015, que “dispõe sobre a conservação de documentos nos cartórios extrajudiciais”.
O referido provimento dispõe sobre a conservação de documentos nos cartórios extrajudiciais, observadas as bases legais e prazo de guardas definidas no mesmo.
- 2º A inutilização e eliminação de documentos não afasta os deveres previstos na Lei nº 13.709, de 2018, em relação aos dados pessoais que remanescerem em índices, classificadores, indicadores, banco de dados, arquivos de segurança ou qualquer outro modo de conservação adotado na serventia extrajudicial.
Segundo o autor Marcelo Guimarães, em sua obra, LGPD e os Serviços Notariais e de Registros, observa que os Tabeliães e Oficiais Registradores são agentes de tratamentos de dados especialmente qualificados na gestão de informações pessoais com a segurança jurídica e respeito aos direitos de seus titulares. Como profissionais do direito especialmente no âmbito do sistema do notariado Latino, guardam Independência jurídica e, em igual medida, equidistância em relação às partes e seus variados e possíveis interesses. Atendendo ao princípio da conservação ao qual os cartórios do extrajudicial desempenham ainda uma importante missão supralegal como conservadores da memória de um povo e de sua nação, na qual o interesse público igualmente é preponderante, e a preservação deste rico e insubstituível acervo histórico deve ser ditada pelo interesse legítimo, específico e rigorosamente compatível na estrutura da LGPD. Tudo de modo a manter, permanentemente, a conservação dos registros, globalmente considerados, fora da esfera de controle de particulares que não tenham interesse legítimo no seu conteúdo, de forma a proteger os dados pessoais constantes do registo.
Art. 19. Os responsáveis pelos serviços notariais e de registro deverão interpretar a Lei nº 13.709, de 2018, em consonância com as normas atinentes aos serviços notariais e de registros, podendo formular consulta ao juiz diretor do foro.
Apesar de gozarem de Independência jurídica provida pelo artigo 28 da Lei dos Cartórios, ainda que relativa, os responsáveis pelos serviços notariais e de registros deverão observar as restrições impostas pela LGPD, bem como as normativas instituídas pelos órgãos competentes do poder judicial.
Art. 20. Os responsáveis pelos serviços notariais e de registro deverão, no prazo de 180 (cento e oitenta) dias a contar da publicação deste Provimento, elaborar relatório final sobre as ações adotadas para adaptação ao regime da Lei nº 13.709, de 2018, que ficará arquivado para fins de fiscalização pelo juiz diretor do foro ou pela Corregedoria-Geral de Justiça.
Art. 21. Esta Portaria entra em vigor na data de sua publicação.
Belo Horizonte, 31 de agosto de 2021.
(a) Desembargador AGOSTINHO GOMES DE AZEVEDO
Corregedor-Geral de Justiça
Abaixo as regulamentações exigidas para o segmento:
Lei No. 9.698 e 12.683/2012 – Dispõem sobre o crime de lavagem ou ocultação de bens direitos e valores;
Provimento 88 – Dispõem sobre a política, os procedimentos e os controles a serem adotados pelos Notários e Registradores que tratam sobre tecnologias e serviços para a prevenção a lavagem de dinheiro e ao financiamento ao terrorismo;
Lei número 12846/2013 (Lei Anticorrupção) – Dispõem sobre a responsabilização administrativa, civil e penal de pessoas jurídicas e pessoas físicas pela prática de atos corruptivos no âmbito das empresas, interna e externamente. disponha ainda sobre as melhores práticas no segmento de cartórios e Notários que trata de processos de due diligence em colaboradores e terceiros;
Lei 8.935/94 (Lei dos Cartórios) – Dispõe sobre os serviços notariais e de registro, tendo como base a organização técnica e administrativa, destinados a garantia, a publicidade, autenticidade, segurança e eficácia dos atos jurídicos;
Lei 13.709/2018 (Lei geral de proteção de dados) que regulamenta as atividades de tratamento de dados pessoais, com objetivos específicos de proteção, privacidade e transferência transparência de dados de pessoas físicas.
Provimento no. 74/2018 – Dispõe sobre os padrões mínimos de tecnologia da informação para a segurança, integridade e disponibilidade de dados para continuidade da atividade, com compromisso de protegê-los e tratá-los, mitigando os riscos por meio de modernas técnicas de infraestrutura de TI.
ABNT NBR 15.906: 2010 – estabelece os requisitos de sistema de gestão empresarial para demonstrar a capacidade dos serviços notariais e de registros de gerir seus processos com qualidade, de forma a satisfazer as partes interessadas, atender aos requisitos legais, elementos de gestão socioambiental, saúde e segurança ocupacional.
ISO 9001: 2015 (gestam de qualidade) – tem o objetivo de verificar todos os processos das serventias e como eles podem melhorar a qualidade dos serviços oferecido aos clientes, sendo fundamentais para a melhoria da imagem institucional.
ISO 31.000 – Aborda sobre a gestão de riscos ;
ISO 37.001:2017 (Lei Anti Suborno) – fornece os requisitos de orientações para estabelecer, implementar, manter e aperfeiçoar um sistema de gestam antes suborno;
ISO 22.301/2012 – Aborda os requisitos para planejar estabelecer implementar operar monitorar analisar criticamente, manter e melhorar continuamente um sistema de gestão documentado para se proteger reduzir a impossibilidade de ocorrência prepara-se, responder e a e recupera-se de incidentes de interrupção quando isso ocorrem.
ISO 27.001/2013 (segurança da informação) – especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.
ISO 27.701/2019 (sistema de gestão de privacidade da informação) – especifica os requisitos e fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão de privacidade da informação.