A lei nº 13.709/2018 (“lei Geral de Proteção de Dados Pessoais” ou “LGPD”), adotou, por um lado, um viés preventivo, com o objetivo de evitar a ocorrência de danos em virtude do tratamento de dados pessoais1 e, por outro, preocupou-se com a capacidade de resposta do agente de tratamento a eventuais incidentes de segurança envolvendo tais ativos informacionais.
De acordo com a ANPD - Autoridade Nacional de Proteção de Dados2, incidente de segurança é qualquer evento adverso confirmado, relacionado à violação das propriedades de confidencialidade, integridade3, disponibilidade4 e autenticidade5 da segurança de dados pessoais (art. 3º, XII, resolução CD/ANPD 15/24).
Erros humanos, não conformidade com as diretrizes internas sobre segurança da informação, controles ineficazes, ausência de atualização e manutenção de softwares e hardwares, violações de acesso, são exemplos de fatores que podem levar à ocorrência de um incidente.
A LGPD preconiza como boa prática a implementação de programa de governança em privacidade que conte com planos de resposta a incidentes envolvendo dados pessoais e remediação (art. 50, § 2º, I, g, LGPD) e determina ao controlador6 o dever de comunicar à ANPD e ao titular7 a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
No âmbito dos serviços notariais e de registro, expressamente mencionados pela lei 13.709/188, os mecanismos de segurança e, especialmente, os de resposta a incidentes, merecem atenção por parte do agente de tratamento, dada a natureza dos dados pessoais sob gestão e responsabilidade dos delegatários e o potencial de dano aos titulares em caso de manejo inadequado ou ilícito dessas informações.
1. Plano de resposta a incidentes
O provimento 149/2023 do CNJ, ao trazer balizas para adequação dos cartórios extrajudiciais à LGPD e em linha com o que reza a própria lei, dispõe sobre a obrigação de implementação de um plano de resposta a incidentes envolvendo dados pessoais9.
O referido documento, enquanto instrumento de governança, deve descrever procedimentos, funções e responsabilidades para o gerenciamento de um incidente de segurança, de forma a oportunizar à serventia a reversão ou a mitigação dos efeitos da ocorrência.
Nesse sentido, necessita nortear o cartório em todas as fases da resposta, compreendendo desde a confirmação de que o incidente efetivamente aconteceu, à apuração de responsabilidades e realização dos registros exigidos pela Autoridade Nacional.
Também precisa prever a comunicação de incidentes que possam acarretar risco ou dano relevante aos titulares ao juiz corregedor permanente e à Corregedoria-Geral da Justiça (CGJ), além de, conforme já prevê a LGPD, à ANPD e aos titulares10. Considerando que nem todo incidente precisa ser comunicado aos atores acima listados, é salutar que o plano disponha sobre o processo de avaliação quanto à efetiva necessidade de sua realização.
2. Comunicação do incidente
2.1 Avaliação quanto à necessidade de comunicação da ocorrência
A ANPD aprovou, por meio da resolução CD/ANPD 15/24, o regulamento de comunicação de incidentes de segurança.
No referido instrumento, a Autoridade Nacional dispõe sobre o incidente de segurança que pode acarretar risco ou dano relevante aos titulares, vejamos:
Art. 5º O incidente de segurança pode acarretar risco ou dano relevante aos titulares quando puder afetar significativamente interesses e direitos fundamentais dos titulares e, cumulativamente, envolver, pelo menos, um dos seguintes critérios:
I - dados pessoais sensíveis;
II - dados de crianças, de adolescentes ou de idosos;
III - dados financeiros;
IV - dados de autenticação em sistemas;
V - dados protegidos por sigilo legal, judicial ou profissional; ou
VI - dados em larga escala.
Os critérios trazidos acima permitem a avaliação quanto à necessidade de comunicação do incidente aos titulares, à ANPD, ao juiz corregedor permanente e à CGJ - Corregedoria-Geral da Justiça, afinal, ela apenas será necessária se a ocorrência puder acarretar risco ou dano relevante aos titulares.
Deve-se considerar na análise mencionada que o incidente de segurança que possa “afetar significativamente interesses e direitos fundamentais dos titulares” será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade (art. 5º, § 1º, Resolução CD/ANPD 15/24).
Também deve-se levar em conta na referida avaliação que tratamento de “dados em larga escala” é aquele que possa abranger número significativo de titulares, considerando, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica de localização dos titulares (art. 5º, § 2º, resolução CD/ANPD 15/24).
Tendo em vista a natureza do acervo das serventias extrajudiciais e a atividade-fim dos serviços prestados, eventual incidente envolvendo dados pessoais contidos em seus arquivos poderá, analisando-se o caso concreto, ser enquadrado no conceito de “dados em larga escala”, para fins de avaliação da necessidade de comunicação.
Pondera-se aqui que realizar a comunicação de um incidente aos titulares e às autoridades não significa juridicamente que o delegatário (controlador) esteja afirmando eventual culpa pela sua ocorrência. Ao revés, a sua realização representa a adoção de prática necessária à gestão do incidente, revelando o nível de maturidade da serventia.
A existência ou não de culpa do responsável pelo cartório ou de algum prestador de serviço quanto ao incidente, portanto, não constitui parâmetro para a análise da necessidade de comunicação da sua ocorrência.
2.2 Processo de comunicação do incidente e prazos para sua realização
De acordo com a ANPD, a comunicação do incidente deve ser realizada pelo controlador11, por meio do encarregado, acompanhada de documento comprobatório de vínculo contratual, empregatício ou funcional, ou por meio de representante constituído, acompanhada de instrumento com poderes de representação junto à ANPD.
No caso dos cartórios extrajudiciais, para comprovação do vínculo do encarregado poderá ser apresentado o contrato escrito utilizado para a sua nomeação, nos termos do art. 88 do Provimento 149/23 do CNJ12.
A Resolução CD/ANPD 15/24 dispõe que comunicação à ANPD deverá ocorrer por meio de formulário eletrônico disponibilizado pela Autoridade, no prazo de três dias úteis, contado do conhecimento pelo controlador de que o incidente afetou dados pessoais13.
A Autoridade Nacional concede, ainda, o prazo de vinte dias úteis para complementação, de maneira fundamentada, das informações requeridas na resolução CD/ANPD 15/2414.
Apesar da recente consolidação do prazo de comunicação do incidente pela Autoridade Nacional, ainda não houve alteração do parâmetro aplicado aos cartórios no Provimento nº 149/2023 do CNJ. Nesse sentido, as serventias possuem até quarenta e oito horas úteis - contadas a partir do conhecimento da ocorrência - para realizar a comunicação ao juiz corregedor permanente, à CGJ - Corregedoria-Geral da Justiça e à própria ANPD.
O Provimento do CNJ não dispõe sobre o prazo para comunicação do incidente, pelo cartório, ao titular. Neste caso, recomenda-se a aplicação do mesmo prazo definido pela Autoridade Nacional, qual seja, três dias úteis15.
2.3 Conteúdo da comunicação do incidente
A comunicação do incidente poderá ser necessária tanto às autoridades fiscalizadoras quanto aos titulares. Com base no regulamento expedido pela ANPD, pode-se classificar o conteúdo da comunicação de acordo com seu alvo, conforme abaixo:
CONTEÚDO DA COMUNICAÇÃO |
|
Para a ANPD, CGJ e juiz corregedor permanente |
Para o titular de dados pessoais |
Descrição da natureza e da categoria de dados pessoais afetados. |
Descrição da natureza e da categoria de dados pessoais afetados. |
Número de titulares afetados, discriminando, quando aplicável, o número de crianças, de adolescentes ou de idosos. |
- |
Medidas técnicas e de segurança utilizadas para a proteção dos dados pessoais, adotadas antes e após o incidente, observados os segredos comercial e industrial. |
Medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial. |
Riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares. |
Riscos relacionados ao incidente com identificação dos possíveis impactos aos titulares. |
Motivos da demora, no caso de a comunicação não ter sido realizada no prazo determinado. |
Motivos da demora, no caso de a comunicação não ter sido feita no prazo determinado. |
Data da ocorrência do incidente, quando possível determiná-la, e a de seu conhecimento pelo controlador. |
- |
Dados do encarregado ou de quem representa o controlador. |
Contato para obtenção de informações e os dados de contato do encarregado. |
Identificação do controlador. |
- |
Identificação do operador, quando aplicável. |
|
Descrição do incidente, incluindo a causa principal, caso seja possível identificá-la. |
Medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do incidente, quando cabíveis. |
Total de titulares cujos dados são tratados nas atividades de tratamento afetadas pelo incidente. |
- |
- |
Data do conhecimento do incidente de segurança. |
É fundamental que a comunicação do incidente aos titulares faça uso de linguagem simples e de fácil entendimento e ocorra de forma direta e individualizada, caso seja possível identificá-los.
A comunicação deve ser dar pelos meios usualmente utilizados pelo cartório para contatar o titular, tais como telefone, e-mail, mensagem eletrônica ou carta.
Constatada a inviabilidade de uma comunicação direta e individualizada ou de identificação, parcial ou integral, dos titulares afetados, deverá o delegatário comunicar a ocorrência do incidente pelos meios de divulgação disponíveis, tais como seu sítio eletrônico, aplicativos, suas mídias sociais e canais de atendimento ao titular (art. 9º, § 3º, Resolução CD/ANPD 15/24).
Tudo isso de forma que a comunicação permita o conhecimento amplo, com direta e fácil visualização, pelo período de, no mínimo, três meses.
3. Registro do incidente de segurança
Todos os incidentes de segurança ocorridos no âmbito dos cartórios precisam ser registrados, ainda que não sejam passíveis de comunicação a autoridades e titulares. Trata-se de medida que permite o rastreamento e a análise de vulnerabilidades da serventia, servindo de base para melhorias nas suas políticas de segurança.
Ademais, viabiliza a documentação dos esforços do cartório no processo de apuração e resposta ao incidente, fornecendo evidências de conformidade e de observância do princípio da responsabilização e prestação de contas (art. 6º, X, LGPD), que exige que o agente de tratamento não só adote medidas para proteger os dados pessoais, como também as comprove de forma transparente.
A Resolução CD/ANPD 15/24 dispõe sobre o rol de informações que deverá compor registro do incidente, vejamos:
Art. 10 (...)
§ 1º O registro do incidente deverá conter, no mínimo:
I - a data de conhecimento do incidente;
II - a descrição geral das circunstâncias em que o incidente ocorreu;
III - a natureza e a categoria de dados afetados;
IV - o número de titulares afetados;
V - a avaliação do risco e os possíveis danos aos titulares;
VI - as medidas de correção e mitigação dos efeitos do incidente, quando aplicável;
VII - a forma e o conteúdo da comunicação, se o incidente tiver sido comunicado à ANPD e aos titulares; e
VIII - os motivos da ausência de comunicação, quando for o caso.
O registro do incidente deve ser mantido pelo prazo mínimo de cinco anos, contado a partir da data do registro, exceto se constatadas obrigações adicionais que demandem maior prazo de manutenção16.
A gestão da segurança da informação é pilar essencial do escopo protetivo trazido pela LGPD. O trabalho preventivo para proteção dos dados pessoais deve envolver medidas capazes de prevenir incidentes envolvendo esses ativos. Em caso de sua ocorrência, saber responder a ela também é tarefa do agente de tratamento.
Nas situações em que o incidente exigir comunicação formal sobre ele - ou seja, naqueles que possam acarretar risco ou dano relevante aos titulares -, há a possibilidade de prejuízos não só às pessoas naturais a quem se referem os dados pessoais envolvidos, mas ao próprio cartório e ao ecossistema extrajudicial, especialmente de caráter reputacional.
Além de figurar na posição de “responsável por incidente” perante autoridades e titulares, o delegatário poderá ser obrigado pela ANPD - após avaliação da Autoridade quanto à sua gravidade -, a providenciar sua ampla divulgação em meios de comunicação.
Os cartórios representam o serviço mais confiável para os brasileiros17. Manter esse grau de credibilidade perante a sociedade perpassa pela adoção de medidas de segurança robustas e de respostas eficientes a ocorrências nocivas (ou potencialmente nocivas) aos dados pessoais sob sua responsabilidade.
_______
1 A LGPD determina, em seu art. 46, que os agentes de tratamento adotem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
2 Art. 5º, XIX, LGPD: “Art. 5º Para os fins desta lei, considera-se: (...) XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta lei em todo o território nacional”.
3 Art. 3º, XIII, Resolução CD/ANPD nº 15/2024: “Art. 3º Para efeitos deste Regulamento, são adotadas as seguintes definições: (...) XIII - integridade: propriedade pela qual se assegura que o dado pessoal não foi modificado ou destruído de maneira não autorizada ou acidental”.
4 Art. 3º, XI, Resolução CD/ANPD nº 15/2024: “Art. 3º Para efeitos deste Regulamento, são adotadas as seguintes definições: (...) XI - disponibilidade: propriedade pela qual se assegura que o dado pessoal esteja acessível e utilizável, sob demanda, por uma pessoa natural ou determinado sistema, órgão ou entidade devidamente autorizados”.
5 Art. 3º, II, Resolução CD/ANPD nº 15/2024: “Art. 3º Para efeitos deste Regulamento, são adotadas as seguintes definições: (...) II - autenticidade: propriedade pela qual se assegura que a informação foi produzida, expedida, modificada ou destruída por uma determinada pessoa física, equipamento, sistema, órgão ou entidade”.
6 De acordo com o art. 5º, VI, LGPD, controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No caso dos serviços de notas e de registro, os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, na qualidade de titulares das serventias, interventores ou interinos, são controladores no exercício da atividade típica registral ou notarial, a quem compete as decisões referentes ao tratamento de dados pessoais, nos termos do art. 82 do Provimento nº 149/2023 do CNJ.
7 Art. 5º, V, LGPD: “Art. 5º Para os fins desta lei, considera-se: (...) V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento”.
8 Art. 23, § 4º, LGPD: “Art. 23. O tratamento de dados pessoais pelas pessoas jurídicas de direito público referidas no parágrafo único do art. 1º da lei nº 12.527, de 18 de novembro de 2011 (lei de Acesso à Informação), deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público, desde que: (...) § 4º Os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas referidas no caput deste artigo, nos termos desta lei”.
9 Art. 90, I, c, Provimento nº 149/2023 do CNJ: “Art. 90 Cabe ao responsável pelas serventias implementar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, nos termos do art. 46 e dos seguintes da LGPD, por meio de: I - elaboração de política de segurança da informação que contenha: (...) c) plano de resposta a incidentes (art. 48 da LGPD)”.
10 Art. 91, Provimento nº 149/2023 do CNJ: “Art. 91. O plano de resposta a incidentes de segurança envolvendo dados pessoais deverá prever a comunicação, pelos responsáveis por serventias extrajudiciais, ao titular, à Autoridade Nacional de Proteção de Dados (ANPD), ao juiz corregedor permanente e à Corregedoria-Geral da Justiça (CGJ), no prazo máximo de 48 horas úteis, contados a partir do seu conhecimento, de incidente que possa acarretar risco ou dano relevante aos titulares, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.”
11 A comunicação deve ser realizada pelo controlador, ou seja, pelo delegatário, por meio do seu encarregado. Caso se trate de incidente ocorrido no âmbito do tratamento realizado por operador da serventia, este deverá direcionar as informações necessárias ao controlador, a fim de que realize a comunicação adequada. De acordo com o art. 5º, VII, LGPD, operador é pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. No caso dos serviços de notas e de registro, operador é a pessoa natural ou jurídica, de direito público ou privado, externa ao quadro funcional da serventia, contratada para serviço que envolva o tratamento de dados pessoais em nome e por ordem do controlador, nos termos do art. 83 do Provimento nº 149/2023 do CNJ.
12 Art. 88, III, Provimento nº 149/2023 do CNJ: “Art. 88. Deverá ser designado o encarregado pelo tratamento de dados pessoais, conforme o disposto no art. 41 da LGPD, consideradas as seguintes particularidades: (...) III - a nomeação do encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador, na qualidade de responsável pela nomeação, e o encarregado”.
13 Art. 6º, caput e § 1º, Resolução CD/ANPD nº 15/2024: “Art. 6º A comunicação de incidente de segurança à ANPD deverá ser realizada pelo controlador no prazo de três dias úteis, ressalvada a existência de prazo para comunicação previsto em legislação específica. § 1º O prazo a que se refere o caput será contado do conhecimento pelo controlador de que o incidente afetou dados pessoais”.
14 Art. 6º, § 3º, Resolução CD/ANPD nº 15/2024: “Art. 6º (...) § 3º As informações poderão ser complementadas, de maneira fundamentada, no prazo de vinte dias úteis, a contar da data da comunicação”.
15 Art. 9º, caput, Resolução CD/ANPD nº 15/2024: “Art. 9º A comunicação de incidente de segurança ao titular deverá ser realizada pelo controlador no prazo de três dias úteis contados do conhecimento pelo controlador de que o incidente afetou dados pessoais, e deverá conter as seguintes informações: (...)”.
16 O art. 10, § 2º, da Resolução CD/ANPD nº 15/2024, dispõe que os prazos de guarda previstos no artigo não se aplicam às entidades previstas no art. 23 da LGPD, desde que sejam observadas as regras aplicáveis aos documentos de guarda permanente previstas na tabela de temporalidade própria ou definidas pelo Conselho Nacional de Arquivos. O § 4º do art. 23 da LGPD versa que os serviços notariais e de registro exercidos em caráter privado, por delegação do Poder Público, terão o mesmo tratamento dispensado às pessoas jurídicas de direito público. Não há, por ora, norma que regule a temporalidade de guarda dos registros de incidentes pelos cartórios. Recomenda-se, por esta razão, a adoção do prazo disposto pela ANPD para gerenciamento da sua guarda.
17 Segundo levantamento do Instituto Datafolha, contratado pela Confederação Nacional dos Notários e Registradores. Disponível em: https://cnr.org.br/site/cartorios-sao-instituicao-mais-confiavel-para-os-brasileiros-revela-pesquisa/. Acesso em 12 de nov. de 2024.