A lei 13.709/18 – conhecida como Lei Geral de Proteção de Dados Pessoais ou LGPD – adotou um espírito protetivo em relação às informações das pessoas naturais e exigiu ao agente de tratamento um esforço para prevenção de danos1. Com isso, estabeleceu-se um claro regime de responsabilização, no qual o agente que causar dano patrimonial, moral, individual ou coletivo a outrem, em violação à legislação sobre o tema, é obrigado a repará-lo2.
Esse regime, contudo, impôs ao controlador3 o protagonismo na reparação dos danos causados, afinal, as decisões referentes à utilização de informações pessoais competem a ele, incluindo a expedição de instruções aos operadores4 que as tratam em seu nome. Conforme esclareceu a Autoridade Nacional de Proteção de Dados (ANPD), as responsabilidades e obrigações do controlador e do operador são distintas, pois são determinadas conforme o papel exercido por cada um no âmbito do tratamento de dados5.
O art. 42, § 1º, inciso I, da lei 13.709/18, indica que o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador. Ou seja, a responsabilidade solidária do operador é uma excepcionalidade. Em regra, quem deve reparar os danos causados pelo tratamento de dados é o controlador.
1. A relação entre o delegatário e seus operadores
Os serviços notariais e de registro são exercidos, respectivamente, por notários (tabeliães) e por oficiais de registro (registradores), a partir de uma delegação estatal6. Eles se enquadram, no contexto da LGPD, na posição de controlador, conforme já pacificado pela Corregedoria Nacional do Conselho Nacional de Justiça (CNJ) no Provimento 134/227, em alinhamento com o entendimento manifestado pela ANPD8.
Para viabilizar suas funções, esses profissionais gerenciam administrativa e financeiramente suas respectivas serventias, uma atividade de sua responsabilidade exclusiva9. Esse gerenciamento abarca, além da admissão de colaboradores para atuarem como prepostos do delegatário, a contratação de pessoas naturais ou jurídicas externas ao quadro funcional da serventia, como fornecedores e prestadores de serviço, para que viabilizem o suporte às suas atividades finalísticas. Isso engloba profissionais de TI, escritórios de contabilidade, sistemas, assessoria jurídica e plataformas de arquivamento em nuvem, por exemplo.
Caso algum fornecedor ou prestador realize o tratamento de informações pessoais em nome e por ordem do delegatário, será enquadrado na condição de operador10. Essa questão independe da fase do ciclo de vida dos dados na qual ele tenha participação, não importando se for na coleta, na retenção, no processamento, no compartilhamento ou na eliminação.
Como consequência, o responsável pela serventia deverá se assegurar de que os terceiros contratados estejam em conformidade com a LGPD e sigam as suas instruções lícitas11, consignando responsabilidades a partir da inclusão de cláusulas de proteção de dados nos instrumentos contratuais que regulam a relação entre as partes12.
Considerando que o operador responderá por danos apenas em situações excepcionais e de forma solidária ao controlador, é natural que o delegatário tenha que aferir a confiabilidade dos seus fornecedores e prestadores de serviço.
Por isso, o Provimento 134/22 estabelece ao responsável pelo cartório a adoção, entre outras medidas, de procedimentos de auditoria regulares para realizar a gestão de terceiros com quem houver o compartilhamento de dados13. Tais procedimentos buscam garantir que o tratamento executado pelo operador ocorra de forma segura e adequada, atestando se este possui capacidade técnica e organizacional para propiciar a proteção de informações pessoais contra usos inadequados ou ilícitos.
É altamente recomendável que a realização de auditorias seja estendida a todos os fornecedores e prestadores de serviço que tratem dados em nome do delegatário, independente da fase do ciclo de vida em que atuem, ou seja, ainda que determinado operador não tenha recebido informações compartilhadas pelo delegatário, mas as tenha coletado, processado, reproduzido ou mesmo eliminado em seu nome.
Cumpre pontuar que a análise sistêmica da LGPD e do Provimento 134/22 do CNJ permite compreender a prerrogativa do controlador de auditar seus operadores. Todavia, é imprescindível que a previsão de realização das auditorias e da sua periodicidade seja consignada em contrato, de modo a assegurar o entendimento em torno do tema e a cooperação entre as partes envolvidas.
2. Incorporação da cultura de auditoria na governança de dados
Para implementar e gerir bem as auditorias, o primeiro passo é garantir que a serventia possua uma governança de dados instaurada e adequada às normas protetivas. Assim, será possível adotar os níveis de conformidade existentes no cartório como parâmetros mínimos a serem exigidos aos operadores.
Também é fundamental a existência de um encarregado de dados devidamente nomeado e conhecedor das obrigações inerentes a cada tipo de agente de tratamento. Caberá à pessoa indicada o papel de articular e conduzir o processo de auditagem junto ao representante do operador.
Além disso, o estabelecimento da auditoria deverá ser precedido da criação de procedimentos claros, devidamente sistematizados e manualizados, com a definição de papéis, periodicidade, prazos e, sobretudo, dos elementos e documentos que serão verificados. Esses itens devem ser informados ao operador e detalhados quando da convocação para a auditoria, seja por meio de reunião específica com tal finalidade e/ou de documento descritivo.
São consideradas como boas práticas a realização de capacitações para os operadores sobre proteção de dados e sobre a gestão que o cartório faz do tema, bem como o encaminhamento de materiais informativos, facilitando a compreensão dos fornecedores e prestadores sobre o sentido e a importância das auditorias.
3. O que deve ser apurado na auditoria?
Uma auditoria sólida perpassa pela formulação de questionamentos e pela solicitação de acesso aos instrumentos que comprovem a regularidade da governança de dados praticada pelo operador. É essencial que o contratado seja questionado sobre a existência de um encarregado, solicitando a indicação do nome e do contato para comunicação – salvo se o operador se enquadrar nas situações em que a Resolução CD/ANPD 2/22 dispensa sua nomeação14.
Também deverá ser averiguada a implementação de instrumentos como políticas de privacidade e de segurança da informação, canais de transparência e atendimento a titulares e autoridades e plano de resposta a incidentes, bem como o mapeamento e o registro das operações de tratamento efetuadas, sobretudo, daquelas realizadas para atendimento ao contrato firmado com o delegatário.
A auditoria investigará, ainda, a existência de treinamentos periódicos aos colaboradores, para todos os níveis da organização e comprováveis mediante certificados nominais, fotos, vídeos e listas de presença.
Durante o processo, é fundamental que sejam solicitadas informações sobre os ativos envolvidos no tratamento de dados e as medidas técnicas e administrativas adotadas pelo operador para proteger as informações pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão15.
Considerando que o controlador é responsável por toda a cadeia do tratamento realizado em seu nome, recomenda-se que seja verificada a existência de suboperadores16 e de cláusulas nos contratos firmados entre o operador e seus fornecedores e prestadores de serviço que disciplinem o tratamento de dados e a alocação de responsabilidades. Essa verificação poderá se estender à investigação de eventuais desconformidades praticadas por esses integrantes da cadeia.
É importante que o operador seja avisado de que o encarregado da serventia poderá requisitar, a qualquer tempo da auditoria, a comprovação de todas as informações prestadas. Essa é uma forma de concretizar o princípio da accountability, que exige que o agente de tratamento seja capaz de demonstrar a adoção de medidas e boas práticas protetivas de dados pessoais17.
Após a recepção das informações e da documentação pertinentes, o encarregado do cartório poderá conduzir uma entrevista com o representante do operador para conferir os insumos fornecidos e coletar subsídios adicionais. Na persistência de dúvidas ou se houver a necessidade de uma vistoria presencial, recomenda-se que esta seja articulada pelo encarregado junto ao representante do contratado.
4. Resultado e repercussão das verificações
A auditoria proporcionará um diagnóstico da governança de dados efetuada pelo fornecedor ou prestador de serviço e, assim, permitirá que o cartório direcione instruções ao contratado, de forma que este promova as medidas pertinentes à sua adequação aos mesmos níveis de proteção exigidos das serventias.
As informações obtidas poderão ser consolidadas pelo encarregado em um relatório, contendo as inadequações encontradas e a indicação de medidas corretivas. Após a aprovação do delegatário, o documento poderá ser encaminhado ao operador, com a estipulação de um prazo para que sejam promovidos os ajustes sugeridos.
Caso, eventualmente, seja alegada pelo contratado a existência de segredos comerciais e industriais para restringir o acesso da serventia a informações, caberá ao encarregado analisar, em conjunto com o delegatário, o impacto da ausência dos insumos na confiabilidade do operador. A mesma análise deve ser feita caso as medidas sugeridas no relatório da serventia não sejam adotadas pelo contratado.
O processo de auditoria propicia um reforço à posição do controlador frente ao operador, sobretudo da prerrogativa do primeiro exigir do segundo a concretização dos compromissos assumidos contratualmente para o uso seguro dos dados pessoais. Caso haja abalo na confiança em relação à capacidade do contratado assegurar a efetivação dos compromissos, a continuidade da relação contratual entre as partes pode ser revisada - considerando a responsabilidade que recai sobre o controlador.
Nesse sentido, os fornecedores e prestadores de serviços precisam compreender e acompanhar os novos paradigmas normativos aos quais as serventias estão sujeitas. A manutenção de uma boa interação comercial requer atualização de condutas e de procedimentos, novas parametrizações e a garantia de um patamar ainda maior de segurança de informações pessoais.
*
A realização de auditorias nos operadores é um passo relevante rumo à maturidade da governança de dados nas serventias extrajudiciais, pois permite uma gestão adequada de toda a cadeia de tratamento e aumenta a capacidade de promoção ágil e concreta de medidas de conformidade. Incorporar esse procedimento ao programa de privacidade do cartório, além de viabilizar o seu alinhamento aos preceitos da LGPD e do Provimento 134/22 do CNJ, propiciará um salto qualitativo na prestação dos serviços notariais e de registro.
----------
1 LGPD: “Art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: (...) VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais”.
2 LGPD: “Art. 42. Em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
3 LGPD: “Art. 5º. Para os fins desta Lei, considera-se: (...) VI – controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”.
4 LGPD: “Art. 5º. Para os fins desta Lei, considera-se: (...) VII – operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”.
5 Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, p. 18. Disponível em:
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf. Acesso em: 11 de mar. de 2023.
6 Constituição Federal: “Art. 236. Os serviços notariais e de registro são exercidos em caráter privado, por delegação do Poder Público”. Lei nº 8.935/1994: “art. 3º. Notário, ou tabelião, e oficial de registro, ou registrador, são profissionais do direito, dotados de fé pública, a quem é delegado o exercício da atividade notarial e de registro”.
7 Provimento nº 134/2022, CNJ: “Art. 4º. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, na qualidade de titulares das serventias, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, a quem compete as decisões referentes ao tratamento de dados pessoais”.
8 Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado, p. 11. Disponível em:
https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf. Acesso em: 11 de mar. de 2023.
9 Art. 21, Lei nº 8.935/1994: “O gerenciamento administrativo e financeiro dos serviços notariais e de registro é da responsabilidade exclusiva do respectivo titular, inclusive no que diz respeito às despesas de custeio, investimento e pessoal, cabendo-lhe estabelecer normas, condições e obrigações relativas à atribuição de funções e de remuneração de seus prepostos de modo a obter a melhor qualidade na prestação dos serviços”.
10 Provimento nº 134/2022 do CNJ: “Art. 5º. O operador, a que se refere o art. 5º da LGPD, é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da serventia, contratada para serviço que envolva o tratamento de dados pessoais em nome e por ordem do controlador”.
11 Art. 39, LGPD: “O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria”.
12 Provimento nº 134/2022 do CNJ: “Art. 6º. Na implementação dos procedimentos de tratamento de dados, o responsável pela serventia extrajudicial deverá verificar o porte da sua serventia e classificá-la, de acordo com o Provimento n. 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça (Classe I, II ou III), e observadas as regulamentações da Autoridade Nacional de Proteção de Dados ("ANPD"), fazer a adequação à legislação de proteção de dados conforme o volume e a natureza dos dados tratados, e de forma proporcional à sua capacidade econômica e financeira para aporte e custeio de medidas técnicas e organizacionais, adotar ao menos as seguintes providências: (...) VIII – zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluam previsões sobre proteção de dados pessoais”.
13 Provimento nº 134/2022 do CNJ: “Art. 8º. A serventia deverá revisar e adequar todos os contratos que envolvam as atividades de tratamento de dados pessoais às normas de privacidade e proteção de dados pessoais, considerando a responsabilização dos agentes de tratamento prevista na lei, observando os seguintes procedimentos: (...) VI – criar procedimentos de auditoria regulares para realizar a gestão de terceiros com quem houver o compartilhamento de dados pessoais”.
14 A ANPD tem regulamentado situações específicas para dispensa de indicação de encarregado. A Resolução CD/ANPD 2, de 27 de janeiro de 2022, por exemplo, estabeleceu em seu art. 11 a não obrigatoriedade de nomeação de um encarregado por agentes de tratamento de pequeno porte.
15 Ainda que o agente de tratamento esteja na posição de operador, o art. 46, caput, da LGPD, a este atribui o dever de adotar medidas de segurança técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
16 De acordo com a ANPD, no Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado (pp. 19 e 20), o suboperador é aquele contratado pelo operador para auxiliá-lo a realizar o tratamento de dados pessoais em nome do controlador. A relação direta do suboperador é com o operador e não com o controlador. Porém, conforme preconiza a Autoridade Nacional, independentemente dos arranjos institucionais entre operador e suboperador, para efeitos da LGPD, ambos podem desempenhar, a depender do caso concreto, a função de operador.
17 LGPD: “Art. 6º. As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: (...) X - responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.