Aplicação da LGPD aos serviços notariais e de registro
No Brasil, os serviços notariais e de registro são exercidos em caráter privado, por delegação do poder público o que torna peculiar a implementação do Programa de Governança de Dados nos Cartórios.
terça-feira, 13 de julho de 2021
Atualizado às 09:49
A Lei Geral de Proteção de Dados Pessoais - LGPD (lei 13.709/18) finalmente entrou em vigor em 18 de setembro de 2020, inserindo o Brasil no caminho para a consolidação e difusão da cultura de proteção de dados pessoais e da privacidade.
Além de haver um estreitamento nas relações comerciais com fornecedores e parceiros estrangeiros, vemos uma aceleração na onda de projetos de adequação, o que, inevitavelmente, faz surgir inúmeras dúvidas de ordem prática quanto à aplicação dos conceitos e regras da lei.
Nesse contexto, uma questão ainda pouco abordada de forma geral é a aplicabilidade da LGPD aos serviços notariais e de registro. E, mais precisamente, como isso pode influenciar na escolha de um cartório ou tabelionato por empresas que precisam desses serviços de forma recorrente.
Como ponto de partida, a primeira parte da análise deve ser sobre as particularidades envolvendo a atuação dos cartórios e tabelionatos para, então, adentrar na necessidade ou não de sua adequação à LGPD.
No Brasil, os serviços notariais e de registro são exercidos em caráter privado, por delegação do poder público conforme previsão do artigo 236 da Constituição Federal, sendo regulamentados pela lei 8.935/94 (Lei dos cartórios).
Observa-se que os cartórios possuem uma natureza jurídica híbrida, vez que são exercidos em caráter privado por delegação do poder público, com ingresso após aprovação em concurso público de provas e títulos, estando sujeito à fiscalização de seus atos pelo Poder Judiciário do respectivo Estado.
Além do mais, a quem é delegado o exercício da atividade notarial e de registro, como os notários, tabeliães e oficiais de registro, são profissionais do direito, dotados de fé pública e, consequentemente, seus atos traduzem a autenticidade de fatos e documentos. Sendo assim, o tratamento de dados pessoais destinado à prática dos atos inerentes ao exercício dos respectivos ofícios é promovido para atender à finalidade da prestação do serviço, na persecução do interesse público, com os objetivos de executar as competências legais e desempenhar atribuições legais e normativas dos serviços públicos delegados
Por tratamento de dados pessoais, a LGPD dispõe que é assim considerada toda operação realizada com dados pessoais durante o seu ciclo de vida (coleta, uso, armazenamento, compartilhamento e descarte), como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (artigo 5º, X).
Desse modo, o tratamento de dados pessoais realizado pelos cartórios por meio de notários, tabeliães de notas e de protesto de títulos, como com a realização de atas notariais, autenticação de cópias, reconhecimento de firmas, autenticação de fatos ou a lavratura de protesto de títulos são serviços que assumem especial importância no cotidiano das pessoas e das empresas.
Nos encontramos, portanto, diversas vezes diante de situações em que nos são exigidas a autenticação de firmas, documentos e fatos por agente público dotado de fé-pública, tornando a necessidade de utilização desses serviços uma obrigação legal, sendo o tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício dos ofícios notariais e registrais, no cumprimento de obrigação legal ou normativa, independe da obtenção do consentimento específica da pessoa natural que deles for titular.
Diante desse cenário tão particular, observa-se que a própria LGPD fez questão de estabelecer que os serviços notariais e de registro devem ter o mesmo tratamento dispensado às pessoas jurídicas de direito público, nos termos do artigo 23.
Ou seja, considerando o exercício privado dos serviços notariais e de registro, por delegação do Poder Público, bem como disposição expressa da lei, torna-se evidente a aplicação da LGPD a tais serviços, ou seja, aos cartórios e tabelionatos, em tratamento semelhante ao dispensado às pessoas jurídicas de direito público.
Tal entendimento vem em complemento à iniciativa anterior, refletida no provimento 74/2018 do CNJ, de endereçar preocupações de tecnologia e segurança da informação por meio de padrões mínimos a serem seguidos por esses entes. E, também, à criação de grupo de trabalho destinado à elaboração de estudos e de propostas voltadas à adequação dos tribunais à LGPD (portaria 212/2020 do CNJ1).
Não obstante, por se tratar a LGPD de norma geral voltada à proteção de dados pessoais, particularidades relativas à atuação dos cartórios, por vezes, acabam não sendo endereçadas diretamente pela lei, gerando dúvidas e a necessidade de regulamentação específica, conforme já apontado pelo próprio Conselho Nacional de Justiça - CNJ2.
Nesse sentido, tendo em vista que os serviços notariais e registrais são organizados sob o guarda-chuva das justiças estaduais, cabe a cada Estado traçar regras de implementação da proteção de dados nas atividades de sua jurisdição.
É o que já aconteceu no Estado de São Paulo, por exemplo, cuja Corregedoria Geral da Justiça emitiu o provimento CGJ 23/20203, incluindo seção sobre o tratamento e proteção de dados pessoais nas suas Normas de Serviço.
Além de qualificar os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, no desempenho de suas atividades, como controladores de dados pessoais, o Provimento estabelece uma série de regras aos cartórios, como sobre manutenção da unidade, controle de acesso, controle de fluxo exclusivo, elaboração de Relatório de Impacto à Proteção de Dados (RIPD), anonimização, direitos do titular, dentre outros.
Em resumo, enquanto controladores de dados pessoais, a eles competem as decisões referentes ao tratamento de dados pessoais e, devem implementar programa de governança em privacidade que, no mínimo (artigo 50, §2º, I da LGPD):
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
Importante que as unidades de serviços extrajudiciais de notas e de registro façam a nomeação de um encarregado de proteção de dados, que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Outros aspectos importantes a serem observados pelos responsáveis pelas delegações dos serviços extrajudiciais é a conscientização de seu pessoal, para que estejam aptos a direcionar a demandas e cientes do que é permitido ou não fazer com os dados pessoais em posse do cartório, a fim de respeitar os princípios da proteção de dados (artigo 6º da LGPD).
Além do mais, deve-se manter o controle do fluxo de dados pessoais, abrangendo a coleta, uso, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro, que deverá conter a identificação das formas de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento nas hipóteses em que houver determinação legal ou normativa, bem como manter o registro das atividades de tratamento de dados pessoais que contenham a finalidade do tratamento; a base legal; a categoria dos dados; prazo de retenção; medidas de segurança adotadas; dentre outras.
Medidas físicas, técnicas e organizativas de segurança da informação para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, com base em normas técnicas como as da família ISO/IEC 27000, também se fazem importantes em razão da LGPD se tratar de legislação principiológica, que dispõe apenas "o que fazer" e não "como fazer".
Por fim, outro aspecto basilar do compliance com a legislação de proteção de dados a ser observado é o relacionamento e contratação de fornecedores, terceiros e a relação com controladores conjuntos de dados pessoais, sendo de rigor a regulação da contratação por meio de cláusulas contratuais específicas para proteção de dados.
Portanto, o que se percebe é que os serviços notariais e de registro estão sujeitos à legislação de proteção de dados vigente no país, demandando tanto um esforço para sua adequação, quanto atenção pelos usuários e organizações que se utilizam de seus serviços na escolha do ente que melhor atende aos requisitos da LGPD, garantindo segurança, transparência e proteção aos dados pessoais.
----------
1 CONSELHO NACIONAL DE JUSTIÇA - CNJ. Portaria 212, de 15 de outubro de 2020. Acesso em: 6.5.2021.
2 CONSELHO NACIONAL DE JUSTIÇA - CNJ. Atividades notariais devem se adequar à LGPD. Out/2020. Acesso em: 6.5.2021.
3 TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO - TJ/SP. Provimento CGJ 23/2020. Acesso em: 6.5.2021.
Letícia Cristina Centurion Crivelin
Advogada no escritório Pires e Gonçalves Advogados. Mestre em Direito pela Faculdade de Direito de Ribeirão Preto - Universidade de São Paulo (FDRP/USP). Especialista em Direito Continental (Civil Law) pela Universidade de Paris II - Panthéon-Assas (Sorbonne)/Civil Law Initiative. Especialista em privacidade e proteção de dados pessoais por diversas instituições no Brasil (ITS, Data Privacy Brasil, 3L).
Lucas Grandini Arthuso
Privacidade e Proteção de Dados | ABNT Lead Implementer ISO 27701 | EXIN Accredited Trainer | EXIN certified DPO and Blockchain Foundation | CEO na Square Compliance | Sócio no PG Advogados