Skip to main content

O que você precisa saber sobre a LGPD

Tempo de Leitura: 31 minutos

O que você precisa saber sobre a LGPD

Portaria nº 6.735/CGJ/2021 – Institui Comissão Especial de Trabalho para promover estudos e  apresentar propostas acerca do tratamento de dados pessoais nos serviços extrajudiciais – Recivil.

Glossário: 

Acesso – possibilidade de comunicar-se com um dispositivo, meio de armazenamento, unidade  de rede, memória, registro, arquivo etc., visando receber, fornecer, ou eliminar dados. 

Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento,  por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um  indivíduo. 

Armazenamento – ação ou resultado de manter ou conservar em repositório um dado. 

Arquivamento – ato ou efeito de manter registrado um dado embora já tenha perdido a validade  ou esgotada a sua vigência. 

Autoridade nacional: órgão da administração pública responsável por zelar, implementar e  fiscalizar o cumprimento desta Lei em todo o território nacional. 

Avaliação – ato ou efeito de calcular valor sobre um ou mais dados. 

Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários  locais, em suporte eletrônico ou físico. 

Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do  dado pessoal ou do banco de dados. 

Classificação – maneira de ordenar os dados conforme algum critério estabelecido. Coleta – recolhimento de dados com finalidade específica. 

Comunicação – transmitir informações pertinentes a políticas de ação sobre os dados. 

Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o  tratamento de seus dados pessoais para uma finalidade determinada. 

Controle – ação ou poder de regular, determinar ou monitorar as ações sobre o dado.

Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as  decisões referentes ao tratamento de dados pessoais. 

Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a  utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento. 

Dado pessoal: informação relacionada à pessoa natural identificada ou identificável. 

Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião  política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado  referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma  pessoa natural. 

Difusão – ato ou efeito de divulgação, propagação, multiplicação dos dados Distribuição – ato ou efeito de dispor de dados de acordo com algum critério estabelecido. 

Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados,  independentemente do procedimento empregado. 

Encarregado: pessoa indicada pelo controlador e operador para atuar como canal de  comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção  de Dados (ANPD). 

Extração – ato de copiar ou retirar dados do repositório em que se encontrava. 

Garantia da segurança da informação: capacidade de sistemas e organizações assegurarem a  disponibilidade, a integridade, a confidencialidade e a autenticidade da informação. A Política  Nacional de Segurança da Informação (PNSI) dispõe sobre a governança da segurança da  informação aos órgãos e às entidades da administração pública federal em seu âmbito de  atuação. 

Garantia da segurança de dados: ver garantia da segurança da informação. 

Interoperabilidade: capacidade de sistemas e organizações operarem entre si. A autoridade  nacional poderá dispor sobre padrões de interoperabilidade para fins de portabilidade, além dos  padrões de interoperabilidade de governo eletrônico (ePING). 

Modificação – ato ou efeito de alteração do dado. 

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de  dados pessoais em nome do controlador. 

Órgão de pesquisa: órgão ou entidade da administração pública direta ou indireta ou pessoa  jurídica de direito privado sem fins lucrativos legalmente constituída sob as leis brasileiras, com  sede e foro no País, que inclua em sua missão institucional ou em seu objetivo social ou  estatutário a pesquisa básica ou aplicada de caráter histórico, científico, tecnológico ou  estatístico. 

Processamento – ato ou efeito de processar dados. 

Produção – criação de bens e de serviços a partir do tratamento de dados. Recepção – ato de receber os dados ao final da transmissão

Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém  a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às  liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos  de mitigação de risco. 

Reprodução – cópia de dado preexistente obtido por meio de qualquer processo. Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. Transferência – mudança de dados de uma área de armazenamento para outra, ou para terceiro. 

Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou  organismo internacional do qual o país seja membro. 

Tratamento: toda operação realizada com dados pessoais. 

Transmissão – movimentação de dados entre dois pontos por meio de dispositivos elétricos,  eletrônicos, telegráficos, telefônicos, radioelétricos, pneumáticos etc. 

Utilização – ato ou efeito do aproveitamento dos dados 

Uso compartilhado de dados: comunicação, difusão, transferência internacional, interconexão  de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e  entidades públicas no cumprimento de suas competências legais, ou entre esses e entes  privados, reciprocamente, com autorização específica, para uma ou mais modalidades de  tratamento permitidas por esses entes públicos, ou entre entes privados 

 

Uma breve explanação antes de adentrar à referida portaria; em 14 de agosto de 2018 foi  sancionada a Lei 13.709 (Lei Geral de Proteção de Dados) trazendo maior rigor ao tratamento  de dados pessoais. A Lei Brasileira veio colocar nosso país no rol daqueles que entenderam que  a informação é a mais valiosa commodity desses novos tempos, devendo proteger seus cidadãos  quanto ao tratamento indevido de seus dados pessoais.  

“A importância da Lei, resumidamente, é o estabelecimento de segurança  jurídica para os envolvidos no processo de tratamento de dados pessoais porque  apesar de termos alguma legislação setorial (como o Código de Defesa do  Consumidor, por exemplo), existem casos de obscuridade, sem definição do que  seriam os dados pessoais e as consequências do mau uso deles.” 

Apesar da autoridade nacional de proteção de dados (ANPD) possuir atribuições para elaboração de diretrizes para a política nacional de proteção de dados pessoais e da privacidade,  fiscalizar e aplicar sanções na hipótese de tratamento de dados realizados em descumprimento  à legislação, promover para a população conhecimento das normas e das políticas públicas sobre  proteção de dados pessoais e das medidas de segurança, além de estarem incumbidos a tratar  sobre as regras de compartilhamento de dados pessoais, inclusive os internacionais, o Art. 23  da LGPD sobre o tratamento de dados pessoais pelo poder público, estabelece que o tratamento  de dados pessoais pelas pessoas de direito público referidas no parágrafo único do Art. 1º. da  Lei 12.527 de 12 de novembro de 2011 (Lei de acesso à informação), deverá ser realizado para 

o atendimento de sua finalidade pública na persecução do interesse público, com o objetivo de  executar as competências legais ou cumprir as atribuições legais do serviço público.  

Cabe ressaltar que segundo a Lei 8.935/94, em seu Art. 30, inciso VI, guardam sigilo sobre a  documentação e os assuntos de natureza reservada de que tenham conhecimento em razão  do exercício de sua profissão, passíveis de penalidades segundo o Art. 31, incisos I e IV da  referida legislação. 

Neste sentido as considerações desta Portaria Nº 6.905/CGJ/2021, editada pela douta  Corregedoria Geral de Justiça de Minas Gerias, em seu refinado papel, vem através desta nortear  e preencher algumas lacunas deixadas pela LGPD. 

PORTARIA Nº 6.905/CGJ/2021  

Dispõe sobre o tratamento e proteção de dados pessoais nos serviços notariais e de  registro do Estado de Minas Gerais, nos termos da Lei nº 13.709, de 14 de agosto  de 2018.  

O CORREGEDOR-GERAL DE JUSTIÇA DO ESTADO DE MINAS GERAIS, no uso das atribuições que  lhe conferem os incisos I e XIV do art. 32 do Regimento Interno do Tribunal de Justiça, aprovado  pela Resolução do Tribunal Pleno nº 3, de 26 de julho de 2012,  

CONSIDERANDO a competência dos órgãos judiciários para exercerem a função regulatória das  atividades prestadas nas serventias notariais e de registros, consoante o disposto no § 1º do art.  236 da Constituição da República Federativa do Brasil;  

CONSIDERANDO que compete à Corregedoria-Geral da Justiça orientar, normatizar e fiscalizar  as atividades das serventias extrajudiciais;  

CONSIDERANDO a necessidade de regulamentação, no âmbito dos serviços notariais e de  registro do Estado de Minas Gerais, da Lei nº 13.709, de 14 de agosto de 2018, “Lei Geral de  Proteção de Dados Pessoais (LGPD)”, que dispõe sobre o tratamento de dados pessoais,  inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou  privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o  livre desenvolvimento da personalidade da pessoa natural;  

CONSIDERANDO o princípio da publicidade, que orienta a prática dos atos notariais e de  registros, possibilitando, inclusive, que a pessoa possa requerer certidão sem informar o motivo  ou o interesse do pedido, nos termos do art. 17 da Lei nº 6.015, de 31 de dezembro de 1973,  que “dispõe sobre os registros públicos, e dá outras providências”, e do art. 1º da Lei nº 8.935, 

de 18 de novembro de 1994, que “regulamenta o art. 236 da Constituição Federal, dispondo  sobre serviços notariais e de registro (Lei dos cartórios)”;  

CONSIDERANDO a obrigação das serventias extrajudiciais de cumprir as normas técnicas  estabelecidas pelo Poder Judiciário, nos moldes dos arts. 37 e 38 da Lei nº 8.935, de 1994;  

CONSIDERANDO o fato de haver tratamento de dados pessoais, sensíveis ou não, na prestação  das atividades notariais e de registros;  

CONSIDERANDO o compartilhamento de dados pessoais pelos responsáveis das serventias  extrajudiciais com as centrais de serviços eletrônicos compartilhados, decorrente de previsões  legais e normativas;  

CONSIDERANDO, por fim, o que ficou consignado no processo do Sistema Eletrônico de  Informações – SEI nº 0006007-39.2021.8.13.0000,  

RESOLVE:  

Art. 1º O tratamento de dados pessoais estabelecido pela Lei nº 13.709, de 14 de agosto de  2018, “Lei Geral de Proteção de Dados Pessoais (LGPD)”, deverá ser observado em todas as  operações realizadas pelos serviços notariais e de registros do Estado de Minas Gerais,  independentemente do meio ou do país onde os dados sejam armazenados e tratados.  

A Lei Geral de Proteção de Dados brasileira (LGPD) versa exclusivamente sobre toda operação  realizada por pessoa natural ou pessoa jurídica de direito público ou privado com o tratamento  de dados pessoais, como as que se referem a coleta, produção, recepção, classificação,  utilização, transmissão, acesso, reprodução, transmissão, distribuição, processamento,  arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação,  comunicação, transferência, difusão ou extração. Salientando que a LGPD não abarca o  tratamento dos dados de pessoas jurídicas. A PORTARIA Nº 6.905/CGJ/2021 vem para dispor o  cumprimento da LGPD pelo extrajudicial, bem como as demais legislações e provimentos  pertinentes ao tema. Ao final deste artigo está listada as principais Leis e normativas as quais o  Extrajudicial está submetida. 

Parágrafo único. Os responsáveis pelos serviços notariais e de registros devem atender aos  objetivos, fundamentos e princípios previstos nos Arts. 1º, 2º e 6º da Lei nº 13.709, de 2018.  

O Objetivo basilar da LGPD é o de proteger os direitos fundamentais de liberdade e de  privacidade e o livre desenvolvimento da personalidade da pessoa natural. Seus fundamentos  se norteiam para com o respeito a privacidade; a autodeterminação informativa; a liberdade de  expressão, de informação, de comunicação e de opinião; a inviolabilidade da intimidade, da  honra e da imagem; o desenvolvimento econômico e tecnológico e a inovação; a livre iniciativa,  a livre concorrência e a defesa do consumidor; e os direitos humanos, o livre desenvolvimento  da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais. Possui ainda  como princípios a finalidade: realização do tratamento para propósitos legítimos, específicos,  explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma  incompatível com essas finalidades; adequação: compatibilidade do tratamento com as 

finalidades informadas ao titular, de acordo com o contexto do tratamento; necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com a  abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do  tratamento de dados; livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre  a forma e a duração do tratamento, bem como sobre a integridade de seus dados pessoais;  qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos  dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; 

transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis  sobre a realização do tratamento e os respectivos agentes de tratamento, observados os  segredos comercial e industrial; segurança: utilização de medidas técnicas e administrativas  aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou  ilícitas de destruição, perda, alteração, comunicação ou difusão; prevenção: adoção de medidas  para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais; não  discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou  abusivos; responsabilização e prestação de contas: demonstração, pelo agente, da adoção de  medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de  proteção de dados pessoais e, inclusive, da eficácia dessas medidas. 

Art. 2º O tratamento de dados pessoais realizado pelos serviços notariais e de registro, no  exercício de suas atribuições, deverá ser informado aos usuários, bem como fornecidas  informações claras e atualizadas sobre a previsão legal, a finalidade, os procedimentos e as  práticas utilizadas para a execução dessas atividades.  

O tratamento de dados pessoais realizados pelos cartórios destinado à prática  dos atos inerentes ao exercício dos respectivos ofícios, deve visar ao atendimento de sua finalidade da prestação do serviço público, na persecução  do interesse público, com o objetivo de executar as competências legais ou  cumprir com as atribuições legais inerentes aos serviços notariais e de registro  e não dependem, nesses casos, de autorização específica da pessoa natural que  dela for titular.” 

LGPD e Cartórios: implementação e questões praticas / Adriane Correia de Lima … [et.  Al.] – São Paulo : Saraiva Educação, 2021. 

Parágrafo único. As informações deverão ser disponibilizadas em meios de comunicação de  fácil acesso, de modo eletrônico (internet, aplicativos) ou impresso (cartaz afixado na própria  serventia).  

As Serventias deverão, em seus sítios eletrônicos e aplicativos destinados a divulgação e  solicitação dos seus atos de ofício, disponibilizar sua política de segurança da informação. Nesta  política, para uma maior abrangência da informação e divulgação das conformidades, já devem  incluir a compliance com a LGPD, bem como os Provimentos da Corregedoria Nacional de Justiça  No. 50 (dispõe sobre a conservação de documentos nos cartórios extrajudiciais) e No. 74 (dispõe  sobre padrões mínimos de tecnologia da informação para a segurança, integridade e  disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de registro  do Brasil), a Lei 8.935/94 (que regulamenta o Art. 236 da Constituição Federal, dispondo sobre  serviços notariais e de registro [Lei dos Cartórios]) e demais legislações pertinentes às suas  especialidades. Também deverão deixar uma cópia da política de segurança da informação,  disponíveis e de fácil acesso no balcão da serventia.

Art. 3º O tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício  dos serviços notariais e de registros, no cumprimento de obrigação legal ou normativa,  independe de autorização específica da pessoa natural que deles for titular.  

Parágrafo único. Consideram-se inerentes ao exercício dos ofícios, os atos praticados nos  livros mantidos por força de previsão nas legislações específicas, incluídos:  

I – os atos de inscrição, transcrição, registro, averbação, anotação, escrituração de livros de  notas, reconhecimento de firmas,  

autenticação de documentos;  

II – as comunicações para unidades distintas, visando as anotações nos livros e atos nelas  mantidos;  

III – os atos praticados para a escrituração de livros previstos em normas administrativas;  IV – as informações e certidões;  

V – os atos de comunicação e informação para órgãos públicos e para centrais de serviços  eletrônicos compartilhados que decorrerem de previsão legal ou normativa.  

Decorrente do reconhecimento de que a massificação das relações travadas entre os órgãos  públicos e os cidadãos, é marcada pela grande coleta de dados e tratados de forma não  padronizada, tão pouco, transparente, redunda no risco dos órgãos públicos violarem direitos e  garantias fundamentais do titular. Neste sentido, e para que houvesse execução de políticas  públicas que regulamentasse sobre o tema foi editada a LGPD. 

Existem hipóteses legais em que os órgãos públicos são investidos do poder de tratar dados  pessoais excluindo por via de consequência, qualquer outra, atrelando-as ao propósito de  cumprir sua finalidade pública e desde que tenham como premissa o interesse público. 

“Como profissionais do Direito, especialmente no âmbito do Sistema do Notariado  Latino, guardam independência jurídica e, em igual medida, equidistância em relação às  partes e seus variados e possíveis interesses.” 

Rodrigues, Marcelo Guimarães 

Lei Geral de Proteção de Dados – LGPD e os Serviços Notariais e de Registros/Marcelo Guimarães Rodrigues  – Belo Horizonte : Colégio Notarial do Brasil – MG, 2021. 

Destarte, ancorado à uma base legal que o legítima, os serviços notariais e de registro, seguindo  os princípios da finalidade, da adequação, da necessidade, e procedimentos e práticas ficam 

amparados e obrigados ao cumprimento de suas atribuições quanto ao tratamento de dados  pessoais, mesmo sem os consentimentos dos titulares dos dados. 

Art. 4º Os responsáveis pelos serviços notariais e de registros, na qualidade de delegatários,  interventores ou interinos, são controladores e responsáveis pelas decisões referentes ao  tratamento de dados pessoais.  

Em seu Art. 23, § 4º. a LGPD estabelece que os serviços notariais e de registros exercidos em  caráter privado, por delegação do poder público, terão o mesmo tratamento dispensado às  pessoas jurídicas de direito privado, referidas no caput deste artigo. 

“…percebe-se que os Tabeliães e Oficiais Registradores são agentes de tratamento de  dados especialmente qualificados na gestão de informações pessoais com segurança  jurídicas e respeito aos direitos de seus titulares.” 

Rodrigues, Marcelo Guimarães 

Lei Geral de Proteção de Dados – LGPD e os Serviços Notariais e de Registros/Marcelo Guimarães Rodrigues  – Belo Horizonte : Colégio Notarial do Brasil – MG, 2021. 

“… É dispensada a atividade registral e notarial uma especial prelazia estatal que ele  atribui confiabilidade decorrente do poder que advém da própria soberania.” 

Viviane Nóbrega Maldonado 

LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum,  coordenadores – São Paulo: Thomson Reuters Brasil, 2019. 

Parágrafo único. Os sistemas e procedimentos internos utilizados para o tratamento e o  armazenamento de dados pessoais deverão atender aos requisitos de segurança, aos padrões  de boas práticas e de governança e aos princípios gerais da Lei nº 13.709, de 2018, e do  Provimento da Corregedoria Nacional de Justiça nº 74, de 31 de julho de 2018, que “dispõe  sobre padrões mínimos de tecnologia da informação para a segurança, integridade e  disponibilidade de dados para a continuidade da atividade pelos serviços notariais e de  registro do Brasil e dá outras providências”.  

Os requisitos de segurança, os padrões de boas práticas e de governança encontram-se no  Capítulo VII da LGPD e norteiam como proceder com a utilização de medidas técnicas e  administrativas para proteger os dados pessoais. Dentre as medidas técnicas podemos  exemplificar o uso de autenticação de acesso a sistemas, recursos de criptografia, anonimização  de dados, backups, dentre muitos outros que agreguem segurança no âmbito da tecnologia da  informação. Dentre as medidas administrativas podemos exemplificar o uso de políticas  organizacionais, políticas de privacidade de sites e aplicativos, contratos de confidencialidade,  controle de acesso aos arquivos físico, bem como seu descarte, dentre outros. O Provimento  No. 74 do CNJ, antecipou aos notários e registradores a obrigação de estarem em conformidade  com requisitos mínimos de segurança integridade e disponibilidade de dados para a  continuidade da atividade a serem adotados pelas Serventias, destarte teve sua contribuição no  que tange a adequação à LGPD, uma vez que encontra-se em consonância com algumas  obrigações da referida.

Art. 5º Os responsáveis pelos serviços notariais e de registros poderão nomear operador,  pessoa natural ou jurídica, de direito público ou privado, integrante ou não integrante do  quadro de prepostos, para realizar o tratamento dos dados pessoais em nome e por  responsabilidade exclusiva do controlador. 

Este artigo acrescenta os prepostos da serventia como possíveis operadores realizando o  tratamento de dados pessoais em nome do controlador (Serventia), em consonância com o  Art.5, VII da LGPD.  

“ Art. 5º., VII – operador: pessoa natural ou jurídica, de direito público ou privado, que  realiza o tratamento de dados pessoais em nome do controlador;” 

Lei 13.709/2018 – LGPD 

Parágrafo único. Os responsáveis pelos serviços notariais e de registros atuarão como co controladores, quando, por força de lei, convênio ou contrato, determinarem as finalidades e  os meios de tratamento de dados pessoais em conjunto com outra pessoa natural ou jurídica,  de direito público ou privado.  

O artigo 25 da LGPD estabelece que: “Os dados deverão ser mantidos em formato interoperáveis e estruturado para uso compartilhado, com vistas à execução de políticas públicas, à prestação  de serviços públicos, a descentralização da atividade pública e à disseminação e ao acesso das  informações pelo público em geral.” 

“A interoperabilidade pode ser entendida como uma característica que se refere a  capacidade de diversos sistemas e organizações trabalharem em conjunto (interoperar) de  modo a garantir que pessoas, organizações e sistemas computacionais interajam para trocar  informações de maneira eficaz e eficiente.” 

LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice  Blum, coordenadores – São Paulo: Thomson Reuters Brasil, 2019. 

Não obstante o Art. 7º., estabelece que: “O tratamento de dados pessoais somente poderá ser  realizado nas seguintes hipóteses: …”, “III-Pela administração pública, para o tratamento e uso  compartilhado de dados necessários à execução de políticas públicas previstas em leis e  regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas  as disposições do Capítulo IV desta Lei;” 

Desta forma, a responsabilidade será compartilhada entre as Serventias e demais entidades,  quando da celebração de convênios ou contratos com terceiros, quando do tratamento de  dados compartilhado. 

Art. 6º Os responsáveis pelos serviços notariais e de registros poderão nomear como  encarregado:  

I – Integrante do quadro de prepostos da serventia; ou  

Poderá o controlador nomear dentre seus prepostos àquela cuja capacidade técnica-jurídica  mais se enquadra com a responsabilidade da função. Observará o conflito de interesses, visto  que o encarregado subordinado deverá possuir visão crítica analítica junto ao controlador  (serventia), sempre prezando pela adequação e cumprimentos das normas, lembrando que este 

deverá ter autonomia irrestrita quanto ao tema, uma vez que se co-responsabilizará por  omissões, culpa ou dolo. 

II – Prestador terceirizado de serviços técnicos.  

Poderá o controlador buscar no mercado empresas ou prestadores autônomos para  desempenharem a função de encarregado. Como o tema é recente, assim como as empresas e  prestadores se qualificaram recentemente, deverá o controlador conhecer o profissional  terceirizado ou empresa a ser contratada, investigando sempre sua idoneidade, experiência  técnica comprovada, bem como atuações no mercado seja com a implantação da LGPD ou  outros serviços oferecidos pelos mesmos.  

“… o encarregado tem especial importância para que o ente representado, portanto  deve reunir conhecimento técnico necessário para ser suporte, conselheiro, consultor interno e  realizar a formação continuada dos gestores na cultura da proteção de dados.” 

MINCO, Sandro di. O impacto da Lei Geral de Proteção de Dados (LGPD) nas lides forenses. Palestra proferida  em curso de extensão na Escola Paulista de Magistratura. São Paulo, 26.11.2018 

Cabe especial análise nesta escolha visto o tamanho da importância e responsabilidade que o  encarregado deverá possuir, bem como total e irrestrito acesso a informações de processos  internos e dados da Serventia, o que caberá aos responsáveis pelos serviços notariais e de  registros ponderar com grande cautela na escolha desta função. 

  • 1º O prestador terceirizado de serviços técnicos poderá ser contratado como encarregado  de mais de uma serventia.  

Assim como um determinado escritório de contabilidade, ou uma acessória jurídica que  podem ser contratados por mais de uma serventia, esta portaria autoriza que os prestadores  de serviços nomeados como encarregados também assim o façam. 

  • 2º A contratação do prestador terceirizado de serviços técnicos será realizada por meio de  contrato escrito, a ser arquivado na serventia.  

Por possuir grande responsabilidades e relevância na adequação e continuidade do processo  de compliance da Serventia, é imprescindível que no momento da contratação desta empresa  ou profissional o contrato de prestação de serviços tenha como objeto claro a função a ser  desempenhada e suas respectivas responsabilidades. 

  • 3º A remuneração dos encarregados prestadores de serviços técnicos poderá ser paga, ou  subsidiada, pelas entidades representativas de classe.  

Em cumprimento ao artigo 41 da LGPD as serventias deverão nomear obrigatoriamente um  encarregado para o tratamento dos dados pessoais. Também chamado de DPO – Data  Protection Officer, possui o papel de avaliar, opinar, educar e monitorar o tratamento de dados  pessoais, auxiliando os Controladores (Serventias) no cumprimento das obrigações previstas na  LGPD. Suas funções vêm claramente descritas no § 2º. do artigo 41 da LGPD. 

“é recorrente o uso da expressão techie-lawyer para designar esse novo profissional que  possui a tecnologia como idioma e o direito como linguagem.” 

ROSAS, Eduarda Chacon. Techie Lawyers: eles não são nem TI nem advogados. disponível em:  [www.machinae.com/2018/11/01/techie-lawyers-nem-ti-nem-advogados/]

Esta portaria autoriza a serventia a nomear um de seus prepostos para a obrigação de  encarregado, ou contrate prestador terceirizado.  

Art. 7º O consentimento do titular será exigido, por escrito ou por outro meio capaz de  registrá-lo, na hipótese de tratamento de dados pessoais sensíveis.  

Segundo o artigo 5º., II são considerados dados sensíveis todos os dados pessoais sobre origem  racial ou étnica, convicções religiosas, opinião política, filiação a sindicato ou a organização de  caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético  ou biométrico, quando vinculado a uma pessoa natural. Um exemplo é a solicitação de uma 

certidão para fins de mudança de nome de pessoa em processo de alteração de gênero. 

Art. 8º A anonimização de dados pessoais para a transferência de informações para as centrais  eletrônicas, ou outro destinatário, será efetuada de acordo com os critérios técnicos  estabelecidos no art. 12 da Lei nº 13.709, de 2018.  

Dados pessoais anonimizados são aqueles que, originariamente, era relativo a uma pessoa, mas  que passou por etapas que garantiram a desvinculação dele a essa pessoa. Se um dado for  anonimizado, então a LGPD não se aplicará a ele. Vale frisar que um dado só é considerado  efetivamente anonimizado se não permitir que, via meios técnicos e outros, se reconstrua o  caminho para “descobrir” quem era a pessoa titular do dado -se de alguma forma a identificação  ocorrer, então ele não é, de fato, um dado anonimizado e sim, apenas, um dado pseudonimizado  e estará, então, sujeito à LGPD. 

Fonte: https://www.serpro.gov.br/lgpd/menu/protecao-de-dados/dados-anonimizados-lgpd 

Art. 9º Os responsáveis pelos serviços notariais e de registros orientarão seus operadores e  encarregados sobre as formas de coleta, de tratamento e de compartilhamento de dados  pessoais a que tiverem acesso, bem como sobre as respectivas responsabilidades.  

Segundo os Art. 39 “O operador deverá realizar o tratamento segundo as instruções fornecidas  pelo controlador, que verificará a observância das próprias instruções e das normas sobre a  matéria.” e Art. 41 IV, que versa sobre as obrigações do encarregado, “Executar as demais  atribuições determinadas pelo controlador ou estabelecidas em normas complementares.” 

“É sobre o controlador que é LGPD imponha o seu maior peso jurídico, pois é ele o responsável  pela tomada de decisões sobre o tratamento de dados pessoais. 

… 

O operador, por sua vez, é quem realiza o tratamento de dados pessoais em nome do  controlador. Portanto, este não poderá tratar dados pessoais se não em virtude das  determinações do controlador ou de previsão legal. 

… 

A designação do encarregado pelo tratamento de dados pessoais deve ocorrer baseada nas  qualidades profissionais do indicado, particularmente em seu conhecimento da legislação de  proteção de dados, das práticas de tratamento de dados pessoais, e na sua capacidade em  cumprir os requisitos da lei geral de proteção de dados ponto.”

LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum,  coordenadores – São Paulo: Thomson Reuters Brasil, 2019. 

Art. 10. É de responsabilidade dos delegatários, dos interventores ou dos interinos a  orientação dos prepostos, dos prestadores de serviços terceirizados, dos operadores e dos  encarregados sobre as práticas a serem adotadas em relação à proteção de dados pessoais.  

Como controladores, as serventias podem formular suas próprias regras de boas práticas e de  governança sobre a proteção de dados pessoais, nos termos da definição do artigo 5º., IX da  LGPD. 

“Há claramente um estímulo para que os agentes da iniciativa pública e privada  formulem suas próprias regras e se autorregulem de acordo com as condições e as  peculiaridades da organização e a sua forma de funcionamento. Isso porque, embora a LGPD  seja soberana, a depender do setor econômico as normas de segurança e os padrões técnicos  serão diferentes.” 

LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum,  coordenadores – São Paulo: Thomson Reuters Brasil, 2019. 

Art. 11. A orientação aos operadores ou encarregados e qualquer outra pessoa que intervenha  em uma das fases de coleta, tratamento e compartilhamento abrangerá, ao menos:  

I – As medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de  acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração,  comunicação ou qualquer forma de tratamento inadequado ou ilícito;  

Este inciso coaduna com o inciso V do Art. 26 da LGPD, bem como o cumprimento das tratativas  de boas práticas descritas no Capítulo VII – Da segurança e das boas práticas, mais precisamente  no seu Art. 46.  

Para estar em conformidade com os ditames legais, os agentes de tratamento de dados deverão  implementar soluções de natureza multidisciplinar, deste modo, não bastará apenas a  implementação de recursos tecnológicos ou adoção de documentação interna como atividades  isoladas. Para a garantia da segurança, também precisarão adotar um conjunto de processos  internos, controles tecnológicos, políticas corporativas, regulamentos e contratos, que terão por  missão precípua a proteção dos dados pessoais que estejam sob sua custódia. 

“Pessoas não autorizadas são aquelas alheias ao sistema e que não tem legitimidade  legal, regulamentar ou estatutária para ingressar.” 

BITENCOURT, Roberto Cezar. Tradado de Direito Penal. São Paulo: Saraiva,2012 p.449-450 

Quanto a situações acidentais ou ilícitas de: Destruição – indica a eliminação dos dados pessoais de forma física e/ou lógica (digitalmente); Perda – indica o sumiço ou desaparecimento das  informações de dados pessoais decorrentes, por exemplo, de desastres naturais sem que haja  cópias de backup como forma de segurança; Alteração – indica a modificação do dado pessoal  por pessoas não autorizadas ou modificação indevida realizada por pessoas autorizadas com o  objetivo de cometer fraudes contra o titular dos dados; Comunicar – indica a divulgação ou 

exposição ilícita para expor dados pessoais através de vazamento de informações; Qualquer  forma de tratamento inadequado ou ilícito – o termo inadequado utilizado da margem a uma  interpretação bem abrangente, porém o tratamento ilícito é todo aquele que contrarie as  disposições legais da LGPD. 

O Centro Nacional de Cibersegurança de Portugal reuniu o conjunto das melhores práticas em  um único documento muito bem escrito. Em um quadro nacional de referência para a  cibersegurança, o qual permite às organizações reduzir o risco associado às Cyber ameaças. 

https://www.cncs.gov.pt/docs/cncs-qnrcs-2019.pdf 

II – A informação de que a responsabilidade dos operadores prepostos, ou terceirizados, e de  qualquer outra pessoa que intervenha em uma das fases abrangida pelo fluxo dos dados  pessoais, subsiste mesmo após o término do tratamento;  

Constatada inicialmente imposição aos agentes de tratamentos o dever de adotar medidas de  seguranças e técnicas administrativas aptas a proteger os dados pessoais conforme o disposto  no artigo 46 da LGPD, o legislador encontra um meio de alcançar os mesmos objetivos que  sustentam os pilares da segurança da informação (confidencialidade, disponibilidade e  integridade) incorporando a ideia de que a segurança é uma questão que vai muito além da  tecnologia embora a tecnologia seja parte contribuinte da solução. Assim constatamos que a 

LGPD torna a disciplina, pelo menos no que toca os dados pessoais, uma obrigação legal e não  apenas uma mera opção de controle interno que poderia ou não ser adotada pelas organizações.  O legislador ao citar a intervenção em uma das fases por qualquer pessoa envolvidas no ciclo de  vida dos dados pessoais, quer que essa segurança seja abrangida por todo ciclo de vida deles 

(criação, coleta, manuseio, processamento, armazenamento, transporte, transmissão, exclusão  ou destruição definitiva da informação), mesmo depois de concluído o seu tratamento, os obrigando a tratar em todo o ciclo de vida dos dados e não somente em cada etapa. 

III – A forma de comunicação com aqueles que forneçam os seus dados pessoais e com  terceiros;  

As Serventias deverão criar um canal de atendimento para facilitar o contato entre os titulares  ou quem forneçam os dados pessoais, e os respectivos operadores ou encarregados da proteção  de dados. Àquela serventia que já possuir uma ouvidoria, deverá segregá-la e criar uma  categoria relacionada especificamente para a LGPD. Desta forma quando se tratar de dados  pessoais os questionamentos deverão ser direcionados exclusivamente aos encarregados da  proteção dos dados pessoais. Esta comunicação contempla o princípio da prestação de contas  ou accountability, dentro da governança corporativa aplicada aos cartórios, além dos incisos VII,  VII e do caput, do Art 6º., e inciso I do §4º. do Art. 18 da LGPD que elenca sobre os direitos dos  titulares dos dados pessoais, bem como o inciso II do Art. 2º que dispões sobre a  autodeterminação informativa. Cabe aqui ressaltar que segundo o artigo 30 da LGPD, a agência  nacional de proteção de dados poderá estabelecer normas complementares para as atividades  de comunicação e de uso compartilhado de dados pessoais. 

IV – O atendimento de eventuais solicitações dos direitos do titular de dados contido no art.  18 da Lei nº 13.709, de 2018, em prazo razoável.  

É obrigação dos controladores e operadores atender as solicitações dos próprios titulares dos  dados para cumprimento do artigo 18º. da LGPD, porém, o citado prazo razoável é muito 

subjetivo, devendo sempre os encarregados e operadores a conduzirem de forma célere todas  solicitações referente a tratamento de dados pessoais. 

Art. 12. Os responsáveis pelos serviços notariais e de registros, por meio de canal próprio, do  canal do encarregado, se terceirizado, e/ou em parceria com as respectivas entidades de  classe, deverão manter em suas unidades:  

I – Sistema de controle do fluxo abrangendo a coleta, o tratamento, o armazenamento e o  compartilhamento de dados pessoais, até a restrição de acesso futuro;  

Inserida na seção II – Das boas práticas e da governança – em seu artigo 50, a LGPD estabelece  que os controladores e operadores poderão formular regras de boas práticas de governança que  estabeleçam as condições de organização, o regime de funcionamento, os procedimentos,  incluindo reclama ações e petições de titulares, às normas de segurança, os padrões técnicos,  as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os  mecanismos internos de supervisão e de mitigação de risco e outros aspectos relacionados ao  tratamento de dados pessoais. Neste sentido a Lei prevê que os agentes poderão criar  mecanismos internos para contemplar um ciclo da governança corporativa. As serventias  deverão adotar checklist para confirmar transparência e cumprimento dos direitos dos titulares  sob o viés da LGPD. 

II – Política de privacidade que descreva os direitos dos titulares de dados pessoais, de modo  claro e acessível, os tratamentos realizados e a sua finalidade;  

“A política de privacidade deverá estar razoado ao artigo 1º. da LGPD que esclarece e se aplicam  em suas disposições ao: 

tratamento de dados pessoais, inclusive nos meios digitais, por pessoa  natural ou por pessoas jurídicas de direito público ou privado, com o  

objetivo de proteger os direitos fundamentais de liberdade e de  privacidade e o livre desenvolvimento da personalidade a pessoa  

natural.” 

Segundo os autores Flávia Alcassa e João Rodrigo Stinghen, em “LGPD e Cartórios”, a política de  privacidade é uma concretização do princípio da transparência: “garantia, aos titulares, de  informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os  respectivos agentes de tratamento, observado o segredo comerciais e industriais” (Art. 6º., IV,  da LGPD). Convém destacar que, para os cartórios, as normas das corregedorias são de grande  relevância, devendo a política de privacidade contemplar essas “fontes normativas” da atividade  em seu bojo: legislação federal, legislação estadual, normativas do CNJ, normativas das  corregedorias estaduais. 

III – Canal de atendimento adequado para informações, reclamações e sugestões ligadas ao  tratamento de dados pessoais, com formulários específicos e fluxo de atendimento das  requisições e/ou reclamações apresentadas, desde o seu ingresso até o fornecimento da  resposta.  

As serventias deverão implementar um canal de atendimento para contato direto com  encarregado de dados no cartório, definido pela lei como um “canal de comunicação”. Àquelas 

serventias que já possuírem uma ouvidoria deverão estar atentas para que todos os  questionamentos referentes a LGPD sejam direcionadas única e exclusivamente ao  encarregado/DPO, evitando desta forma que outros colaboradores recebam questionamentos  ou mesmo dados pessoais, que não sejam de suas responsabilidades.  

Parágrafo único. Os formulários e programas de informática para o registro do controle de  fluxo, adaptados para cada especialidade dos serviços de notas e de registros, poderão ser  fornecidos pelas entidades representativas de classe.  

Art. 13. Na implementação dos procedimentos de tratamento de dados, os responsáveis pelos  serviços notariais e de registros deverão:  

I – Mapear as atividades de tratamento de dados pessoais por meio de formulário e/ou  questionário sobre os aspectos gerais da Lei nº 13.709, de 2018, devidamente arquivado na  serventia e disponibilizado em caso de solicitação da Corregedoria-Geral de Justiça, da  Autoridade Nacional de Proteção de Dados Pessoais (ANPDP) ou de outro órgão de controle; 

“Art. 23 – O tratamento de dados pessoais pelas pessoas jurídicas de direito público  referidas no parágrafo único do art. 1º da Lei nº 12.527, de 18 de novembro de 2011 (Lei de  Acesso à Informação) , deverá ser realizado para o atendimento de sua finalidade pública, na  persecução do interesse público, com o objetivo de executar as competências legais ou cumprir  as atribuições legais do serviço público, desde que: 

… 

  • 5º – Os órgãos notariais e de registro devem fornecer acesso aos dados por meio  eletrônico para administração pública, tendo em vista as finalidades de que trata o caput deste  artigo.” 

Lei Geral de Proteção de Dados. 

“O acesso da administração pública aos dados deve estar necessariamente atrelado ao  atendimento da finalidade pública da atividade registral, qual seja a garantia da autenticidade,  segurança e eficácia dos atos jurídicos, bem como do órgão ou ente administrativo que postula  o acesso.” 

LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum,  coordenadores – São Paulo: Thomson Reuters Brasil, 2019. 

II – Conduzir a avaliação das vulnerabilidades e lacunas em relação à proteção de dados  pessoais no que se refere às atividades desenvolvidas na serventia;  

Em uma das etapas de adequação a LGPD existe uma fase chamada de gap analyses, onde  aborda as avaliações de segurança, analisando os riscos organizacionais sob vários aspectos tais  como: infra-estrutura tecnológica, pessoal, processos e auditorias, para obter um retrato claro  do status de adequação e conformidade da atividade de tratamento de dados pessoais, que é  realizado sob responsabilidade do controlador. 

III – revisar e adequar os contratos e convênios, internos e externos, presentes e futuros, que  tratem de compartilhamento de dados pessoais, em conformidade com a lei de regência;  

Conforme descrito no Art. 7º., inciso III, os serviços notariais e de registros deverão observar  disposições do capítulo IV da LGPD que aborda sobre o tratamento de dados pessoais pelo poder  público, ao qual estão obrigados. 

Inclui-se aqui os contratos trabalhistas, bem como contratos para terceirização de serviços,  devendo sempre a serventia solicitar o consentimento expresso, do candidato na fase pré contratual de recrutamento de seleção; do empregado na fase contratual e pós-contratual; e na  etapa ou procedimento de terceirização quando feito em nome de pessoa física. 

Demais contratos e convênios efetuados em nome de pessoa física, a serventia também deverá  colher o expresso consentimento para o tratamento dos dados pessoais. 

IV – Realizar relatórios de impacto à proteção de dados pessoais referentes aos atos em que o  tratamento desses dados gere risco a direitos e liberdades fundamentais;  

“Para o tratamento dos dados pessoais sensíveis, poderá se revelar útil a elaboração de  relatórios de impacto, contendo, ao menos a): e que tenha descrição dos tipos de dados  coletados; b): metodologia utilizada para coleta e para garantia da segurança; c): indicação das  pessoas com acesso aos dados pessoais coletados; d): análise do controlador com relação aos  mecanismos de mitigação dos riscos.” 

Rodrigues, Marcelo Guimarães 

Lei Geral de Proteção de Dados – LGPD e os Serviços Notariais e de Registros/Marcelo Guimarães Rodrigues  – Belo Horizonte : Colégio Notarial do Brasil – MG, 2021. 

Determinação em consonância com inciso XVII do Art. 5º. da LGPD. 

V – Adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados  pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,  alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;  

“Medidas de segurança podem ser considerada como aquelas aptas a proteger os dados  pessoais de acessos não autorizados e de situações ainda sinais ou ilícitas de destruição perda  alteração comunicação ou de fusão.  

Medidas técnicas podem ser representadas pelo uso de tecnologias como ferramentas  de autenticação de acesso aos sistemas mecanismos de segurança em software hardware,  recursos de controle de tráfego de dados em rede, instrumentos detectores de invasão de  sistemas (pen tests), recursos de criptografia, segregação de servidores, ferramentas de  prevenção à perda de dados, testes de vulnerabilidade, cópias de segurança dentre outros. 

Medidas administrativas podem ser representadas com políticas corporativas para  proteção dos dados pessoais, contratos de confidencialidade, políticas de privacidade de sites e  aplicativos, capacitação dos empregados cujas atividades envolvam o tratamento de dados  pessoais, controle de acesso aos arquivos físicos, dentre outros.” 

LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum,  coordenadores – São Paulo: Thomson Reuters Brasil, 2019. 

VI – Implementar sistemas de controle de fluxo, abrangendo coleta, tratamento,  armazenamento e compartilhamento de dados pessoais, que deverão proteger contra acessos  não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação  ou difusão, sendo vedado o compartilhamento dos dados pessoais sem autorização específica,  legal ou normativa e permitir, quando necessário, a elaboração dos relatórios de impacto  previstos nos arts. 32 e 38 da Lei n. 13.709, de 2018. 

Este sistema é chamado de Sistema de Gestão do Programa de Privacidade e Proteção de Dados  (Data Protection Management System – DPMS) que tem como objetivo implementar estratégias, governanças, políticas e procedimentos, ferramentas, e promover uma gestão da mudança – conscientização e treinamento, dentro da Serventia. 

Em seu Art. 32, a LGPD faculta aos agentes do Poder Público a elaboração e publicação do  relatório de impacto à proteção de dados pessoais RIPDP. 

“A inexistência de dispositivo legal expresso determinando ao ente público a  obrigatoriedade na elaboração periódica do relatório de impacto à proteção de dados pessoais  na LGPD poderia levar a inferência da obrigatoriedade em sua elaboração, já que apenas a  publicação é passível de solicitação.” 

LGPD: lei geral de proteção de dados comentada / Viviane Nóbrega Maldonado, Renato Ópice Blum,  coordenadores – São Paulo: Thomson Reuters Brasil, 2019. 

Parágrafo único. Os incidentes de segurança com dados pessoais deverão ser comunicados  imediatamente à Corregedoria Geral de Justiça e ao juiz diretor do foro da comarca, com  esclarecimentos da natureza do incidente e das medidas adotadas, para a apuração das suas  causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.  

Quando houver incidentes com dados pessoais, as serventias deverão elaborar e encaminhar  de imediato a corregedoria geral de justiça e ao juiz diretor do foro da comarca o RIPDP. 

Art. 14. Os responsáveis pelos serviços notariais e de registro deverão exigir de suas  respectivas empresas de automação a adequação às exigências da Lei nº 13.709, de 2018,  quanto aos sistemas e programas de gestão de dados internos utilizados.  

Aquelas serventias que possuem sistemas e programas terceirizados, deverão  obrigatoriamente exigir das empresas contratadas a adequação a LGPD, já as serventias que por  ventura possuírem sistemas e programas proprietários deverão solicitar aos seus funcionários  Analistas/Desenvolvedores adequação a mesma norma. 

Art. 15. Os titulares terão livre acesso sobre o tratamento de seus dados pessoais, por  intermédio de consulta facilitada e gratuita, que poderá abranger a exatidão, a clareza, a  relevância, a atualização, a forma, a duração do tratamento e a integralidade dos dados.  

Parágrafo único. A gratuidade do livre acesso dos titulares de dados será restrita aos dados  pessoais constantes nos sistemas administrativos da serventia, sem alcançar a prática dos atos  inerentes à prestação dos serviços notariais e de registros, e não abrangerá a emissão de  certidões sobre as quais incidam emolumentos ou isenções na forma da lei específica.  

As serventias deverão disponibilizar aos titulares consulta gratuita sobre o tratamento de seus  dados pessoais devendo se restringir apenas aquelas informações que o identifiquem (nome  completo, endereço, cpf, telefones e e-mails), bem como o interesse legítimo e a duração do  tratamento destes dados. 

“Art. 7º § 3º – O tratamento de dados pessoais cujo acesso é público deve considerar a  finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.” 

LGPD

Art. 16. Os responsáveis pelos serviços notariais e de registros poderão exigir o fornecimento,  por escrito, da identificação do solicitante e da finalidade da solicitação para a expedição de  certidão ou informação restrita ao que constar nos indicadores e índices pessoais.  

Esta exigência permitirá identificar quem será o responsável pelas informações prestadas pelas  Serventias após a entrega das certidões ou outros atos que identifiquem os dados pessoais de  um titular de dados, transferindo àqueles as responsabilidades da segurança de tais  informações. 

  • 1º A exigência de que trata o “caput” deste artigo poderá ser feita quando forem solicitadas  certidões ou informações em bloco, ou agrupadas, ou segundo critérios não usuais de  pesquisa, ainda que relativas a registros e atos notariais envolvendo titulares distintos de  dados pessoais.  
  • 2° As solicitações de certidões e informações formuladas em bloco, relativas a registros e  atos notariais do mesmo titular de dados pessoais ou de titulares distintos, poderão ser  negadas, por meio de nota fundamentada, quando as circunstâncias da solicitação indicarem  a finalidade de tratamento de dados pessoais, pelo solicitante ou outrem, de forma contrária  aos objetivos, fundamentos e princípios da Lei nº 13.709, de 2018.  

As serventias poderão negar, por meio de nota fundamentada, caso verifiquem que as  motivações e finalidade para a prática do ato, forem discordantes aos Objetivos de: proteger os  direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade  da pessoa natural; Fundamentos: I – O respeito à privacidade; II – A autodeterminação  informativa; III – a liberdade de expressão informação, de comunicação e de opinião; IV – a  inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e  tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e  VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício  da cidadania pelas pessoas naturais.; Princípios: finalidade de adequação, necessidades, livre  acesso, qualidade dos dados, transparência, segurança prevenção, não discriminação, e  responsabilização e prestação de contas. Vide comentários do Art. 1º. Parágrafo Único deste  documento. 

  • 3º A identificação do solicitante será exigida para as informações que abranjam dados  pessoais, quando se tratar de requerimento eletrônico, salvo se a solicitação for realizada por  responsável ou preposto da serventia extrajudicial, na prestação do serviço público delegado.  

Fica facultado a identificação do solicitante, quando do requerimento eletrônico para a prática  de atos, desde que realizada por responsável ou prepostos da serventia, e exigida para qualquer  outro requerimento efetuado pelo público em geral. 

Art. 17. Os responsáveis pelos serviços notariais e de registro deverão armazenar os  documentos físicos que contenham dados pessoais e dados pessoais sensíveis em salas ou  compartimentos com controle de acesso.  

A LGPD exige que as organizações adotem medidas técnicas e organizacionais  apropriadas para proteger os dados pessoais que processam e armazenam. A ISO/IEC 27001, é o padrão internacional para um SGSI – Sistema de Gerenciamento de  Segurança da Informação. Ela possui várias extensões que tratam das Técnicas de  Segurança, Sistemas de Gestão de Segurança da Informação e demais requisitos para a 

proteção dos dados pessoais. Em uma de suas extensões a ISO 27701, mais  especificamente no seu item 9.1, é abordado sobre a segurança física do ambiente – áreas seguras, onde trata como objetivo a prevenção do acesso físico não autorizado,  danos e interferências com as instalações e informações da organização. Também  aborda no item 9.2 sobre a segurança em escritórios, salas e instalações. 

Art. 18. A digitalização dos documentos físicos ainda utilizados poderá ser realizada pelos  responsáveis pelos serviços notariais e de registro.  

“Ao transpor arquivos físicos ao formato digital, o armazenamento poderá ainda  passar por mudanças que virgula sob uma nova perspectiva, faz surgir outro viés  da conservação: o zelo em precaver indevido por terceiros aos dados do ato  notarial ou do registro, em ambiente digital.” 

Rodrigues, Marcelo Guimarães 

Lei Geral de Proteção de Dados – LGPD e os Serviços Notariais e de Registros/Marcelo Guimarães Rodrigues  – Belo Horizonte : Colégio Notarial do Brasil – MG, 2021. 

  • 1º O documento físico poderá ser eliminado após a digitalização, respeitados as disposições  e os prazos definidos no Provimento da Corregedoria Nacional de Justiça nº 50, de 28 de  setembro de 2015, que “dispõe sobre a conservação de documentos nos cartórios  extrajudiciais”. 

O referido provimento dispõe sobre a conservação de documentos nos cartórios  extrajudiciais, observadas as bases legais e prazo de guardas definidas no mesmo. 

  • 2º A inutilização e eliminação de documentos não afasta os deveres previstos na Lei nº  13.709, de 2018, em relação aos dados pessoais que remanescerem em índices,  classificadores, indicadores, banco de dados, arquivos de segurança ou qualquer outro modo  de conservação adotado na serventia extrajudicial.  

Segundo o autor Marcelo Guimarães, em sua obra, LGPD e os Serviços Notariais e de Registros,  observa que os Tabeliães e Oficiais Registradores são agentes de tratamentos de dados  especialmente qualificados na gestão de informações pessoais com a segurança jurídica e  respeito aos direitos de seus titulares. Como profissionais do direito especialmente no âmbito  do sistema do notariado Latino, guardam Independência jurídica e, em igual medida,  equidistância em relação às partes e seus variados e possíveis interesses. Atendendo ao  princípio da conservação ao qual os cartórios do extrajudicial desempenham ainda uma  importante missão supralegal como conservadores da memória de um povo e de sua nação, na  qual o interesse público igualmente é preponderante, e a preservação deste rico e insubstituível  acervo histórico deve ser ditada pelo interesse legítimo, específico e rigorosamente compatível  na estrutura da LGPD. Tudo de modo a manter, permanentemente, a conservação dos registros,  globalmente considerados, fora da esfera de controle de particulares que não tenham interesse  legítimo no seu conteúdo, de forma a proteger os dados pessoais constantes do registo. 

Art. 19. Os responsáveis pelos serviços notariais e de registro deverão interpretar a Lei nº  13.709, de 2018, em consonância com as normas atinentes aos serviços notariais e de  registros, podendo formular consulta ao juiz diretor do foro.

Apesar de gozarem de Independência jurídica provida pelo artigo 28 da Lei dos Cartórios, ainda  que relativa, os responsáveis pelos serviços notariais e de registros deverão observar as  restrições impostas pela LGPD, bem como as normativas instituídas pelos órgãos competentes  do poder judicial. 

Art. 20. Os responsáveis pelos serviços notariais e de registro deverão, no prazo de 180 (cento  e oitenta) dias a contar da publicação deste Provimento, elaborar relatório final sobre as ações  adotadas para adaptação ao regime da Lei nº 13.709, de 2018, que ficará arquivado para fins  de fiscalização pelo juiz diretor do foro ou pela Corregedoria-Geral de Justiça.  

Art. 21. Esta Portaria entra em vigor na data de sua publicação.  

Belo Horizonte, 31 de agosto de 2021.  

(a) Desembargador AGOSTINHO GOMES DE AZEVEDO  

Corregedor-Geral de Justiça 

Abaixo as regulamentações exigidas para o segmento: 

Lei No. 9.698 e 12.683/2012 – Dispõem sobre o crime de lavagem ou ocultação de bens direitos  e valores; 

Provimento 88 – Dispõem sobre a política, os procedimentos e os controles a serem adotados  pelos Notários e Registradores que tratam sobre tecnologias e serviços para a prevenção a  lavagem de dinheiro e ao financiamento ao terrorismo; 

Lei número 12846/2013 (Lei Anticorrupção) – Dispõem sobre a responsabilização administrativa, civil e penal de pessoas jurídicas e pessoas físicas pela prática de atos corruptivos no âmbito das  empresas, interna e externamente. disponha ainda sobre as melhores práticas no segmento de  cartórios e Notários que trata de processos de due diligence em colaboradores e terceiros; 

Lei 8.935/94 (Lei dos Cartórios) – Dispõe sobre os serviços notariais e de registro, tendo como  base a organização técnica e administrativa, destinados a garantia, a publicidade, autenticidade, segurança e eficácia dos atos jurídicos; 

Lei 13.709/2018 (Lei geral de proteção de dados) que regulamenta as atividades de tratamento  de dados pessoais, com objetivos específicos de proteção, privacidade e transferência transparência de dados de pessoas físicas. 

Provimento no. 74/2018 – Dispõe sobre os padrões mínimos de tecnologia da informação para  a segurança, integridade e disponibilidade de dados para continuidade da atividade, com  compromisso de protegê-los e tratá-los, mitigando os riscos por meio de modernas técnicas de  infraestrutura de TI.  

ABNT NBR 15.906: 2010 – estabelece os requisitos de sistema de gestão empresarial para  demonstrar a capacidade dos serviços notariais e de registros de gerir seus processos com  qualidade, de forma a satisfazer as partes interessadas, atender aos requisitos legais, elementos  de gestão socioambiental, saúde e segurança ocupacional.

ISO 9001: 2015 (gestam de qualidade) – tem o objetivo de verificar todos os processos das  serventias e como eles podem melhorar a qualidade dos serviços oferecido aos clientes, sendo  fundamentais para a melhoria da imagem institucional. 

ISO 31.000 – Aborda sobre a gestão de riscos ; 

ISO 37.001:2017 (Lei Anti Suborno) – fornece os requisitos de orientações para estabelecer,  implementar, manter e aperfeiçoar um sistema de gestam antes suborno; 

ISO 22.301/2012 – Aborda os requisitos para planejar estabelecer implementar operar  monitorar analisar criticamente, manter e melhorar continuamente um sistema de gestão  documentado para se proteger reduzir a impossibilidade de ocorrência prepara-se, responder e  a e recupera-se de incidentes de interrupção quando isso ocorrem. 

ISO 27.001/2013 (segurança da informação) – especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da  informação dentro do contexto da organização. 

ISO 27.701/2019 (sistema de gestão de privacidade da informação) – especifica os requisitos e  fornece as diretrizes para o estabelecimento, implementação, manutenção e melhoria contínua de um sistema de gestão de privacidade da informação. 

Alan Souza Lemos

Alan Souza Lemos

Oficial Substituto do Ofício do Registro de Distribuição de Protesto de Belo Horizonte Graduado em Tecnologia e Processamento de Dados pela UNA/BH Graduando em Direito pela UNA/BH Pós-graduado em CBA – Gestão de Negócios pela IBMEC/BH Ex-CIO da Vita Prestadora de Serviços – 1ª Central de Remessa de Arquivos de MG – CRA/MG Membro participante da elaboração do anteprojeto do Código de Normas do Extrajudicial - (Prov.260/13) Data Protection Officer –Exin Internacional Data Protection Officer –AdaptNow Br Membro da IAPP- International Association of Privacy Professionals