MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. LGPD nos cartórios do Ceará: interpretações estabelecidas no provimento 12/2022/CGJ-CE

LGPD nos cartórios do Ceará: interpretações estabelecidas no provimento 12/2022/CGJ-CE

Este artigo busca elucidar os principais pontos de atenção do novo marco normativo para os cartórios do Ceará, bem como trazer reflexões acerca da sua compatibilidade com o cenário de proteção de dados do país.

segunda-feira, 22 de agosto de 2022

Atualizado às 08:45

Em 29 de julho, a Corregedoria-Geral da Justiça do Ceará publicou o Provimento 12/22/CGJ-CE, que estabelece parâmetros para o tratamento de dados pessoais nos serviços extrajudiciais de notas e de registro do estado. Este é mais um caso de corregedoria local que disciplina as diretrizes sobre o assunto, enquanto aguarda a Corregedoria Nacional de Justiça publicar a versão definitiva da minuta de provimento submetida à consulta pública entre 8 e 28 de fevereiro1. 

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18 ou LGPD) entrou em vigor em agosto de 2020 e criou uma série de obrigações para organizações públicas e privadas que, em suas atividades, realizam tratamento de dados pessoais. Por se tratar de uma norma geral, mas com repercussão setorial, é preciso que ela seja objeto de implementações específicas para garantir seu cumprimento nas diversas esferas econômicas e governamentais, considerando a legislação e as peculiaridades de cada área. 

Essa foi a intenção da CGJ-CE ao estabelecer medidas práticas para implementação da lei 13.709/18 no âmbito notarial e registral cearense. Por outro lado, o Provimento deixa algumas dúvidas sobre os procedimentos, bem como se vale de entendimentos conceituais não alinhados aos da Autoridade Nacional de Proteção de Dados (ANPD). 

Este artigo busca elucidar os principais pontos de atenção do novo marco normativo para os cartórios do Ceará, bem como trazer reflexões acerca da sua compatibilidade com o cenário de proteção de dados do país. 

1. A acertada determinação para indicação de encarregado 

O Provimento preconiza a nomeação de um encarregado pelo tratamento de dados pessoais (art. 7º, caput), figura instituída pela LGPD2, cuja indicação pelo controlador, em regra, é obrigatória3. Assim, as serventias devem nomear um encarregado integrante do seu quadro de prepostos ("encarregado interno") e/ou um prestador terceirizado de serviços técnicos ("encarregado externo" ou "DPO as a service") - figura que, de acordo com a ANPD4, pode ser pessoa física ou jurídica (art. 7º, §1º). Além disso, o Provimento 12/22/CGJCE também permite que prestadores de serviços técnicos com remuneração integralmente paga, ou subsidiada, pelas entidades representativas de classe sejam nomeados (art. 7º, §2º).

A Autoridade Nacional de Proteção de Dados (ANPD) recomenda que o encarregado tenha liberdade na realização de suas atribuições5. No tocante às suas qualificações profissionais, estas devem ser definidas considerando conhecimentos de proteção de dados e segurança da informação que atendam às necessidades das operações de tratamento de dados pessoais.

Uma questão, porém, ainda precisa ser definida pela ANPD. Embora existam serventias extrajudiciais dos mais variados portes, responsáveis pelo tratamento de diferentes volumes de dados pessoais, ainda não há um regramento de dispensa de indicação de encarregado. Ou seja, por enquanto, todos os delegatários devem indicar um profissional para o cargo6. 

2.  Respeito ao princípio da transparência defendido pela LGPD

 A norma cearense dedica o artigo 8º a dar dimensão prática ao princípio da transparência insculpido na lei 13.709/187. De acordo com o documento, é preciso divulgar a política de privacidade e o canal de atendimento aos usuários por meio de cartazes afixados nas unidades e de avisos contidos em suas páginas na internet. Como medida adicional, eles também podem ser divulgados nos recibos entregues para as partes solicitantes dos atos. 

Essas providências indicadas pela CGJ-CE permitirão aos titulares dos dados entenderem o contexto do seu uso, bem como o exercício de direitos contidos no art. 18 e seguintes da LGPD. 

3. A necessária atenção ao conceito de "operador"

O art. 5º, caput, do Provimento 12/22/CGJ-CE dispõe que os delegatários poderão nomear operadores integrantes e operadores não integrantes do seu quadro de prepostos para o tratamento dos dados pessoais, desde que na qualidade de prestadores terceirizados de serviços técnicos.

Todavia, deve-se ter cautela na interpretação deste dispositivo. Os prepostos do agente delegado (controlador) não são operadores - eles apenas atuam sob seu poder diretivo.

Conforme já pacificado pela ANPD no "Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado"8, o operador será sempre uma pessoa distinta do controlador, isto é, que não atua como profissional subordinado a este. Por esta razão, deve-se evitar a confusão dessas figuras - preposto do controlador e operador. Os modelos de contratação são diferentes, assim como o regime de responsabilização previsto na LGPD. 

O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador se equipara ao controlador9. Já os prepostos do controlador, uma vez que não são tecnicamente agentes de tratamento, não respondem diretamente pelo dano. O controlador é quem será obrigado a repará-lo10. 

4. O que é o "sistema de controle de fluxo"?

Um dos procedimentos técnicos previstos no Provimento é a necessidade de se manter um "sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro" (art. 7º, §6º, I).

Antes de adentrar no objeto do trecho mencionado, insta pontuar que a inserção do termo "tratamento" em sua redação não foi adequada, pois não se trata de um "tipo de utilização" de dados. Tratamento é toda operação realizada com dados pessoais, abarcando o ciclo de vida das informações, passando por etapas como coleta, armazenamento, compartilhamento e eliminação11. É, na verdade, um gênero com muitas espécies.

Como o Provimento não esclarece o que é o sistema de controle de fluxo - que não é citado na LGPD ou nos documentos da ANPD - depreende-se, a partir das informações contidas no art. 9º, II, que se trata da materialização do mapeamento das atividades de tratamento de dados. Esse procedimento, considerado uma boa prática em governança de dados, busca identificar e registrar as atividades que envolvem informações pessoais, conforme preconiza a LGPD no art. 3712. Seu produto jogará luz sobre os dados tratados e sobre as operações a que estão sujeitos, tais como coleta, armazenamento, compartilhamento e eliminação.

O registro das atividades de tratamento deve ser realizado a partir dos processos internos do cartório, abarcando os atos inerentes ao exercício dos respectivos ofícios (atividade-fim) e o gerenciamento administrativo e financeiro da unidade (art. 10). Nele é preciso constar a finalidade do tratamento e a base legal ou normativa que o autoriza, bem como a descrição dos titulares envolvidos e da categoria dos dados processados.

É importante salientar, porém, que a norma cearense também determina o registro das situações de uso de dados anonimizados13 -, os quais, para fins da lei 13.709/18, não são pessoais, pois, tecnicamente, não possuem capacidade de identificar uma pessoa natural. 

Uma vez que o Art. 9º, II, do Provimento fixa que o controle de fluxo envolve o registro de tratamento de dados pessoais, a determinação de inclusão de atividades com dados anonimizados pode proporcionar uma confusão conceitual aos aplicadores da norma. Mais adequado teria sido estipular o registro das operações envolvendo dados pseudonimizados14, considerando a possibilidade de reversão do processo de anonimização, permitindo a associação, direta ou indireta, das informações a um indivíduo.

As serventias poderão fazer uso de formulários e programas de informática fornecidos pelas entidades representativas de classe, devidamente adaptados para cada especialidade dos serviços extrajudiciais de notas e de registro, a fim de concretizarem o registro e o controle das informações pessoais tratadas nas respectivas unidades (art. 12, caput).

5. Segurança da informação e pontos controversos

Aparentemente deslocadas na redação do art. 9º, II, as alíneas "j" e "l" preconizam que os registros das atividades de tratamento de dados pessoais contenham informações sobre a política de segurança da informação e os planos de respostas a incidentes de segurança com dados pessoais. Tais documentos, entretanto, não compõem os registros das operações de tratamento. Integram, em verdade, o rol de medidas organizacionais de segurança, estruturadas e institucionalizadas em forma de documentos.

A política de segurança da informação deverá elencar as condutas e as ações a serem adotadas para proteger os dados de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito15.

O plano de resposta a incidentes, por sua vez, elencará os procedimentos a serem aplicados em caso de incidente de segurança envolvendo dados pessoais, a fim de contê-lo e erradicá-lo, bem como apurar as causas e comunicar a ocorrência aos titulares e às autoridades nos casos pertinentes16.               

Além disso, o Provimento determina que esse plano preveja a comunicação do incidente ao juiz corregedor permanente e à Corregedoria-Geral da Justiça, no prazo máximo de 24 horas. É necessário explicar a natureza da ocorrência, as medidas adotadas para apurar as causas, como será a mitigação de novos riscos e quais os impactos causados aos titulares dos dados (art. 13, caput).

A norma cearense, porém, não prevê a comunicação do incidente à ANPD, indo de encontro ao que preza o art. 48 da LGPD. Tampouco leva em consideração que o mesmo artigo da lei 13.709/18 determina apenas a comunicação de eventos que possam acarretar risco ou dano relevante aos titulares. Ou seja, é preciso fazer uma análise desse potencial, para evitar que o dever de comunicação represente um esforço desproporcional às serventias extrajudiciais.

Cumpre ressaltar, ainda, que a Autoridade Nacional recomenda, enquanto pendente a regulamentação do tema, que a comunicação seja feita no prazo de dois dias úteis, contados da data do conhecimento do incidente17. Nesse sentido, o tempo indicado no Provimento não se encontra alinhado à orientação da ANPD e, na prática, pode ser de difícil cumprimento. 

Embora o prazo exíguo evidencie a preocupação da CGJ-CE com uma pronta resposta em caso de incidentes, é preciso considerar a necessidade de apuração prévia para atestar sua efetiva ocorrência, sendo esta investigação preliminar o procedimento que consolida, de fato, o conhecimento sobre o evento. Ademais, é esse exame que permite a reunião das informações que devem ser comunicadas ao Poder Judiciário. 

6. Novos caminhos de abordagem pela CGJ-CE

A LGPD permite explorar outros pontos não mencionados pelo Provimento 12/22/CGJ-CE, os quais, inclusive, são objeto de muitas dúvidas de serventias extrajudiciais. Um deles é a realização de análise de vulnerabilidades do cartório (gap assessment).

A partir do mapeamento das atividades de tratamento, é possível evidenciar problemas nos controles de acesso às informações, medidas de segurança inadequadas, dados tratados em excesso18 ou, até mesmo, o uso de informações pessoais de forma ilegal19. Nesse sentido, os insumos coletados poderão ser utilizados na análise de lacunas relacionadas à proteção de dados pessoais. E cabe às serventias avaliar as vulnerabilidades encontradas, a fim de tratar os riscos existentes, seja para conviver com eles, mitigá-los ou eliminá-los.

Embora seja uma boa prática - e, não obstante, o CNJ tenha demonstrado, na minuta de provimento submetida à consulta pública em fevereiro, o interesse em cobrar dos cartórios a realização do gap assessment -, a Corregedoria do Ceará optou por não discutir essa medida.

Outro ponto não explorado pelo Provimento foi a elaboração de Relatório de Impacto à Proteção de Dados Pessoais (RIPD)20 em operações de tratamento que possam gerar risco a direitos e liberdades fundamentais do titular. Nele deve conter a descrição dos processos de tratamento, além das medidas, salvaguardas e mecanismos de mitigação dos riscos. Assim, sua formulação depende da boa condução do mapeamento, do gap assessment e da adoção das medidas de conformidade.

O RIPD ainda é fruto de muitos questionamentos de agentes delegados e seus encarregados, seja no tocante à composição do documento, seja quanto às situações concretas que ensejam a sua elaboração. Tais tópicos não foram detalhados pelo Provimento e o Relatório de Impacto mereceu apenas uma breve passagem na norma cearense.

Por isso, a CGJ-CE pode aproveitar a atenção direcionada à proteção de dados para também uniformizar orientações sobre os instrumentos mencionados, enquanto diretrizes no âmbito nacional ainda são formuladas.

*

É elogiável o passo dado pelo Poder Judiciário cearense ao editar o dispositivo analisado neste artigo, uma vez que demonstra responsabilidade e preocupação com o assunto. Apesar de possuir atecnias pontuais - que certamente serão ajustadas em futuros aperfeiçoamentos, bem como quando da publicação do provimento do CNJ sobre o assunto -, a norma do estado já traz medidas práticas e alinhadas ao espírito preventivo e protetivo da legislação em vigor.

Assim como qualquer processo de adequação, a mudança de cultura será contínua e as compreensões da CGJ-CE sobre proteção de dados pessoais serão objeto de amadurecimento e aprimoramento. Entendidos os pontos de atenção, a norma divulgada merece a observância dos cartórios e representa um primeiro parâmetro para uniformização de condutas no sistema extrajudicial no estado.

*****

_____________

1 CONSELHO NACIONAL DE JUSTIÇA. Edital de Abertura de Consulta Pública - Minuta de Provimento sobre LGPD. Disponível em: https://www.cnj.jus.br/wp-content/uploads/2022/02/edital-de-consulta-publica-provimento-lgpd-1.pdf. Acesso em: 08 de ago. de 2022.

2 Art. 5º, VII, LGPD: encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

3 Art. 41, caput, LGPD: o controlador deverá indicar encarregado pelo tratamento de dados pessoais.

4 Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf>. Acesso em: 06 de ago. de 2022

5 Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf. Acesso em: 06 de ago. de 2022

6 A ANPD tem caminhado para regulamentar situações específicas de dispensa de indicação de encarregado. A Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, estabeleceu em seu art. 11 a não obrigatoriedade da nomeação por agentes de tratamento de pequeno porte, cuja definição no art. 2º, I, não engloba os serviços notariais e de registro. As serventias extrajudiciais recebem, conforme art. 23, § 4º, da LGPD, o mesmo tratamento dispensado à administração pública - ou seja, ainda são obrigadas a indicar um encarregado, na forma do art. 23, III, da mesma Lei.

7 Art. 5º, VI, LGPD: transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial.

8 Autoridade Nacional de Proteção de Dados (ANPD). Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/Segunda_Versao_do_Guia_de_Agentes_de_Tratamento_retificada.pdf. Acesso em: 06 de ago. de 2022.

9 Art. 42, I, LGPD: o operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador, salvo nos casos de exclusão previstos no art. 43 desta Lei;

10 Art. 42, caput, LGPD: O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

11 Art. 5º, X, LGPD: tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

12 Art. 37, caput, LGPD: o controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse.

13 Art. 5º, III, LGPD: dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

 

14 Art. 13, § 4º, LGPD: Para os efeitos deste artigo, a pseudonimização é o tratamento por meio do qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

15 Art. 46, caput, LGPD: Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

16 Art. 48, caput, LGPD: O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

17 Autoridade Nacional de Proteção de Dados (ANPD). Incidente de Segurança. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em: 07 de ago. de 2022.

18 O tratamento de dados pessoais, conforme preza o art. 6º, III, da LGPD, deve ser limitado ao mínimo necessário para as finalidades estabelecidas, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados.

19 A Lei nº 13.709/2018 elenca em seu art. 7º as hipóteses autorizadoras de tratamento de dados pessoais. Dessa forma, as operações identificadas no mapeamento deverão passar por controle de legalidade à luz das bases contidas na lei.

20 Art. 5º, XVII, LGPD: relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Daniel Ribeiro dos Santos

Daniel Ribeiro dos Santos

Advogado, sócio e coordenador do núcleo de Proteção de Dados e Compliance do Chezzi Advogados, professor, especialista em Direito Digital e Compliance pelo Ibmec - São Paulo.

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca