Artigos
Artigo - Adaptação à LGPD – Por Maria Elena Castagnoli Costa Neves
O presente artigo tem o objetivo
de ajudar os oficiais de Registro Civil na empreitada da adaptação das
serventias à LGPD, que foi realizada juntamente com a Arpen/SP e o escritório
Sampaio Ferraz Advogados.
Nesse diapasão, temos de lembrar que, apesar da grande quantidade de ações e trabalho necessário, a atuação registral sempre esteve pautada pela proteção dos dados dos cidadãos, sendo esse o objetivo da nem tão nova LGPD.
Os registradores são controladores de terabytes de dados, porém, diferentemente das empresas privadas, sempre houve regulamentação para sua coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, o que, em suma, é considerado tratamento nos termos do art. 5º, inciso X, da Lei 13.709/2018.
Assim, tivemos de passar às considerações necessárias para a adaptação, sabedores que já integramos um cenário estabelecido com regramentos centenários e atualizados, pelo que partimos para um raciocínio focado na inovação, que nos pareceu a melhor oportunidade trazida pela Lei.
Simplificando nosso processo, utilizamos a metodologia 5W2H, que servirá de base para o relato.
Caso o leitor já conheça a metodologia, poderá ir direto aos elementos que a compõem, caso contrário, explica-se brevemente no que consiste.
Metodologia 5W2H
A nomenclatura 5W2H tem origem no inglês, e significa um conjunto de 7 perguntas que se realiza para iniciar um projeto, facilitando a atuação do gestor e da equipe, além de dinamizar o entendimento e criar unidade concisa para a realização das ações.
Recomenda-se o uso de frases simples, idealmente apenas uma por questão, assim como o ordenamento delas, de modo que indiquem a importância de cada tópico de acordo com sua relevância, ou seja, declinando a primeira como a mais importante e a última como a menos.
As perguntas são:
O que? (What?)
O objetivo nesse quesito é responder o que deve ser feito, podendo incluir elementos secundários ao principal.
Onde? (Where?)
O objetivo nesse quesito é responder onde serão realizadas as ações.
Quando? (When?)
O objetivo nesse quesito é responder quando serão realizadas as ações.
Quem? (Who?)
O objetivo nesse quesito é responder quem realizará as ações.
Por que? (Why?)
O objetivo nesse quesito é responder a razão de se realizar as ações.
Como? (How?)
O objetivo nesse quesito é responder como serão realizadas as ações.
Por quanto? (How much?)
O objetivo nesse quesito é responder o custo das ações.
Então, sem alongar o prólogo e partindo ao mais relevante, vamos às respostas e considerações que fizemos durante nosso processo de adaptação.
O que? (What?)
Certamente a resposta fácil é:
realizar a adaptação da Serventia em conformidade com a LGPD e as normas de
serviço.
Daí decorrem tantas outras ações,
tais como realizar o mapeamento de cada serviço ou de cada conjunto de
tratamentos realizados no cartório, validar o mapeamento, criar um cronograma
de atualização constante dos mapeamentos e de inclusão de novos serviços, algo
que por muitos anos inexistiu nos cartórios, mas tem se tornado comum e com a
criação dos Ofícios da Cidadania, é cada vez mais constante.
Realizar reuniões com as
pessoas-chave do projeto para manter a harmonia e integração no andamento do
projeto, bem como realizar correções no rumo de acordo com os feedbacks e
pensamentos.
Elaborar documentos obrigatórios,
ajustar as informações ao público tanto externo quanto interno, colher a
ciência dos prepostos no que for necessário.
Alterar os contratos de trabalho
e de prestação de serviço, talvez criando uma padronização ou um banco de
cláusulas.
Publicar no site, mídias sociais
e outros meios de comunicação que forem julgados adequados os tratamentos
realizados e a política de privacidade, disponibilizando o fluxo de dados a
todos os interessados, com facilitação de acesso.
Nomear o DPO, alterar ou criar
seu contrato de trabalho, considerar remuneração específica pela função,
evitando acúmulo de funções e passivo trabalhista.
Revisar os bancos de dados, usuários,
backups, acessos, restrições de acesso para que se adequem às políticas e
documentos criados.
Revisar os arquivos físicos,
acessos e restrições para que também fiquem adequados.
Novamente se reunir com as
pessoas-chave e até mesmo com alguns prepostos capazes de dar opinião sobre as
consequências práticas das medidas adotadas, revisando o necessário para
minimizar os impactos nas rotinas e no tempo de atendimento.
Criar um plano de treinamento contínuo, com reciclagens anuais e formalizar adequadamente sua realização. Ainda não definimos a questão, mas provavelmente faremos algum mês voltado para a conscientização da proteção de dados, nos moldes de um outubro rosa, por exemplo.
Onde? (Where?)
Apesar da aparente obviedade na
resposta do quesito, pois as ações se darão na Serventia, houve o desafio de se
pensar sobre ser esse o único local em que as ações se dariam, tendo em vista
que a Oficial como controladora é responsável por toda a cadeia de tratamento,
assim passariam a existir locais diversos da Serventia em que o tratamento
ocorreria por consequência de ações da Oficial, revelando a necessidade de
apuração e posterior decisão sobre outras localidades pertinentes.
Exemplificando: os locais onde são armazenados os backups, as empresas de software que eventualmente realizam cópias das bases de dados para realizar consultas ou restaurações a pedido da oficial, e, em razão da pandemia, os prepostos que passaram a realizar teletrabalho e os casos em que a oficial trabalha remotamente ou leva algum serviço para sua residência ou quando são realizados atos em diligência.
Quando? (When?)
Inicialmente a resposta
considerada correta seria até 14 de agosto de 2020, em razão das repercussões
da COVID-19, as sanções foram postergadas até 1º de agosto de 2021.
De uma forma ou de outra já
ultrapassamos os limites legais, portanto qualquer ocorrência no tratamento de
dados tem potencial danoso incrementado pela falta omissiva; não se quer criar
ansiedade neste tópico, porém é necessário que se atente, com o zelo habitual
dos registradores, para o cumprimento da maneira mais rápida possível das
etapas de adequação, minimizando efeitos danosos decorrentes de um tratamento
inadequado de dados.
Em contrapartida, ainda inexistem
situações na Agência Nacional de Proteção de Dados que sejam diretamente
relacionadas às Serventias e o CNJ trabalha na edição de ato normativo
específico para a área; também são poucas as decisões de Corregedorias ou
Tribunais relativas à aplicação da LGPD nos Registros Públicos.
No tópico, também se aproveitou para determinar a periodicidade das revisões necessárias e decidimos pela revisão anual, que será focada nos documentos obrigatórios e nas ações percebidas como relacionadas à LGPD na Serventia. Quanto aos novos atos que sejam autorizados e atualizações normativas, decidimos que devem ser incluídas na documentação pertinente de forma imediata, sempre que for publicado ato do Poder Público.
Quem? (Who?)
A escolha dos membros da equipe
que integrarão a adequação é de fundamental importância. Recomendamos a
participação de todos os substitutos, pois, muitas vezes, exercerão função
semelhante à do Controlador e é imprescindível que estejam alinhados ao que for
definido no projeto e interpretado como correto, evitando desentendimentos e
situações em que os funcionários e os cidadãos tenham informações divergentes
dentro da Serventia.
Além desses, líderes de setor,
formais e informais também devem receber atenção e orientação diferenciada para
que consigam multiplicar o conhecimento e causem maior adesão à mudança de
paradigma que deve ocorrer; afinal, por menor que seja a mudança de caráter
prático, deve haver uma mudança de mentalidade.
Aqui também ocorreu a definição do DPO (encarregado), figura que deve ser escolhida para intermediar as solicitações dos titulares ao Controlador e cuidar da manutenção da adequação à LGPD e novidades dela oriundas, recomendamos alguém do quadro, com alguma experiência na área de tecnologia e com conhecimento dos processos de trabalho, para que sua atuação e opinião sejam pautadas pela técnica específica dos Registros Públicos, evitando paranoias e excessos. A autorização para contratação em grupo de um DPO, ainda não foi aplicada, mas é uma possibilidade que merece estudo.
Por que? (Why?)
Outra questão com resposta óbvia,
o cumprimento de obrigação legal é uma motivação mais que suficiente.
Aproveitamos para incluir o foco
em inovação, afinal uma mudança é sempre uma oportunidade de melhorar e
procuramos as oportunidades e necessidades latentes tangentes ao que seria
avaliado no escopo da LGPD.
Assim, alteramos as regras de acesso físico ao arquivo de livros e fichas, evitando a possibilidade de parada do elevador no andar em que estão tais itens; mudamos informações constantes nas certidões de editais enviados aos demais cartórios, minimizando os dados lá constantes; eliminamos minutas que eram arquivadas após a leitura e nas quais constavam as correções; alteramos a recepção de e-mails para evitar a impossibilidade de identificação do preposto que os responde; reiteramos o cuidado na emissão de certidão de testamentos; buscamos elementos normativos e legislativos para embasar a prática de atos ou a exigência de documentos, restando até o presente momento dúvida sobre a abertura de firma e sua obrigatoriedade.
Como? (How?)
Através de ações realizadas
dentro da Serventia, diretamente realizadas pela Oficial ou pelo Encarregado,
assim como algumas poucas ações pela equipe de multiplicadores (pessoas-chave)
criada dentro da Serventia e por treinamentos desenvolvidos e disponibilizados
por terceiros contratados.
O enfoque escolhido foi o de
inovação, então todo mapeamento, elaboração de documentos, treinamentos e
mudança de cultura foi voltado para o que poderia melhorar no cenário da
obrigação.
Por quanto? (How much?)
Em nosso caso, a parceria com a Arpen/SP trouxe a vantagem da divisão do custo da consultoria do escritório, que totalizou R$ 30.000,00 (trinta mil reais), atribuído pagamento metade a cada parte, cartório e Associação.
Aproveitando que havíamos
planejado nosso orçamento com valor para o pagamento integral da consultoria, e
em alinhamento com o pensamento de aproveitar a necessidade de adequação como
oportunidade de melhoria, contratamos uma segunda consultoria, ao custo de R$
7.000,00 (sete mil reais), que está desenhando os fluxos dos processos, com
enfoque nos treinamentos de novos funcionários e na facilitação de verificação
pelos gestores do cumprimento das etapas. Enfim, a proposta de treinamento
básica do escritório também foi ampliada, de uma aula geral para todos com
certificado de participação, para quatro aulas, setorizadas por Registro Civil,
Firmas e Autenticações, Notas e Administração, com prova e certificado de
conclusão, ao custo de R$ 12.000,00 (doze mil reais), sendo que as aulas
ficarão gravadas e poderão ser continuamente utilizadas, assim como a
certificação por prova que também será mantida.
Portanto, ao todo, os custos externos totalizaram R$ 34.000,00 (trinta e quatro mil reais).
Quantidade
de Horas por Atividade para Adaptação
|
Documentos
Obrigatórios e Importantes
|
DPO (encarregado)
• Quem pode ser?
Qualquer pessoa, inclusive o Oficial, porém não se recomenda o acúmulo das atribuições de Controlador e Encarregado. Idealmente deve ser contratado alguém com a função ou que dentro do quadro de funcionários existente receba a incumbência através de contrato próprio que faça a nomeação.
• O que faz?
O intermédio entre os titulares dos dados e o controlador, além de cuidar das práticas relacionadas à LGPD e constantemente avaliar melhorias e manter atualizados os documentos obrigatórios.
• Ocupação integral ou parcial?
No momento a ocupação parcial é a mais adequada, não havendo demanda suficiente para uma rotina integral somente para as atividades de encarregado, o que aumenta a chance de sucesso de uma contratação coletiva, desde que contratado um profissional ou consultoria com especialização no nicho de cartórios.
• Treinamento e documentação
Não há necessidade de qualquer
treinamento para o desempenho da função, a nomeação a ser realizada também não
criou qualquer outra exigência que não seja um documento formalizador entre o
controlador e o nomeado, mas se considera uma boa praxe que os oficiais
proporcionem algum treinamento, dentre diversas opções disponíveis, desde
cursos sobre a LGPD, até formações específicas para DPO, a mais destacada é a
da EXIN (https://www.exin.com/career-path/exin-certified-data-protection-officer?language_content_entity=en),
a base da certificação é a legislação europeia, porém é sabido que ela foi o
cerne da LGPD; assim, quem estiver certificado por tal entidade deverá ser
prestigiado pelo currículo.
1. Apesar de se referir a um enquadramento inadequado para os registradores, o check-list proposto pela ANPD parece um norte muito bom para que se tenha convicção da correção das ações tomadas, além de possibilitar uma precisão maior quanto às decisões sobre quais ações devem ser tomadas e ainda servir de prova do realizado. A título de racionalização, também se entende que há alta probabilidade de ser adotado documento semelhante caso o TJ, CNJ ou a ANPD decidam por uma publicação nesse sentido voltada para as serventias extrajudiciais.
2. Ao revisar os contratos para aditamento referente à LGPD pode ser proveitoso alterar seu índice de correção para IPCA, pois é o mesmo que corrige a tabela de emolumentos.
Enfim, para
relaxar:
Pode parecer contraditório que se proponha relaxamento em uma situação que trás tanta responsabilidade e trabalho, mas seguem notícias que demonstram o quão impossível é a realização da tarefa de controle de dados com perfeição, independente da quantidade de recursos humanos, tecnológicos e financeiros disponíveis, assim, o melhor é fazer com zelo e qualidade o máximo dentro das condições possíveis e se sentir apto a responder com tranquilidade por fatos supervenientes, caso ocorram.
Ataque ao TSE - eleições 2020
Maior vazamento de dados no Brasil até hoje - sem fonte conhecida dos dados…
Até o Google tem problemas
TJRS atacado através de ransomware
Vazamento de dados do PIX
*Maria Elena Castagnoli Costa Neves é Oficial de Registro Civil das Pessoas Naturais e Anexo de Notas do 22º Subdistrito - Tucuruvi, da comarca da Capital.