Artigos
Artigo - O processo de adaptação à LGPD pelo Cartório de Pindorama – Por João Paulo Martins Vitral
Com a entrada em vigor da Lei Federal nº 13.709/2018 – a Lei Geral de Proteção de Dados Pessoais (LGPD)¹ e a sua expressa aplicabilidade às Delegações dos Serviços Extrajudiciais de Notas e de Registro², decidi concorrer ao processo de adaptação dos serviços realizados pelo cartório à LGPD em co-participação e contribuição conjuntiva com a ARPEN-SP.
Feita a inscrição, fui sorteado para participar na categoria de Serventias com menos de 15 funcionários sob a orientação do Escritório Soares Picon Sociedade de Advogados, capitaneado pelo Dr. Tarcisio Soares e com participação dos Drs. Érica Ribeiro – líder; Alexandre R. Coelho, Yuri G. G. Toledo, Alana de Paula, Evelyn A. Bucovic e Milena Ginjo.
O projeto teve início com a apresentação das fases do processo de adequação da serventia à LGPD com reuniões virtuais entre a equipe de advogados, Oficial e prepostos. Nesses encontros foram aplicados questionários, realizadas entrevistas, começo dos mapeamentos dos serviços notariais e de registro, revisão dos contratos e a inclusão de aditivos, sugestões do modelo de governança e políticas de segurança a serem implementadas, e ainda a orientação dos planos de mitigação segundo a classificação dos riscos.
Desde logo foi dada muita ênfase na conscientização sobre a privacidade e proteção dos dados pessoais de seus titulares no tratamento realizado pelo Oficial e prepostos, bem como dos principais aspectos da LGPD: conceitos, princípios, os direitos do titular, os agentes de tratamento, as penalidades, a Autoridade Nacional de Proteção de Dados – ANPD, dentre outros conhecimentos necessários a fim de se evitar o tratamento indevido dos dados pessoais.
O passo seguinte para o processo de adequação foi a demonstração do funcionamento da serventia, a complexidade dos serviços notarias e de registro, a finalidade de cada ato que praticamos e sua previsão legal ou normativa, e assim, surgiram as vulnerabilidades frente a proteção buscada pela LGPD.
A implementação da adequação à LGPD necessita a identificação e registro individual de cada ato praticado pela Serventia, seja de competência registral e notarial bem como as atribuições de natureza administrativa³, a saber:
A) ATOS NOTARIAIS: abertura de firma (cartão de assinatura); reconhecimento de firma: a) por semelhança, b) por autenticidade, c) sinal público; autenticação de cópias, materialização/desmaterialização; ata notarial e ata notarial de usucapião extrajudicial; escrituras públicas negociais, inventário e partilha, declaratórias, pacto antenupcial, divórcios; emancipação; procuração, substabelecimento, revogação, renúncia e anotações recíprocas; testamento e revogação; certidão de ato notarial; carta de sentença; apostilamento; arquivamento; buscas de atos notariais; controle de selos, cartões, folhas livro e traslado/certidões; digitalizações.
B) ATOS REGISTRAIS: anotações; averbações; buscas de assentos; certidão de registro Civil (inteiro teor/breve relato/quesitos/materialização): a) física, b) CRC; registro de nascimento; habilitação de casamento: civil, religioso e conversão de união estável; registro de casamento civil, religioso e conversão de união estável; registro de óbito/natimorto; e-protocolo; procedimentos administrativos: de alteração de nome; transgênero; reconhecimento de filiação: a) biológico, b) socioafetivo e de retificação administrativa (art. 110 LRP); procedimento de registro tardio; serviços do ofício da cidadania; fechamento do fundo de custeio dos atos gratuitos (SINOREG); apostilamento; arquivamento; buscas de atos registrais; controle de papeis de segurança; digitalizações.
C) ATIVIDADES ADMINISTRATIVAS: Ou seja, as atividades de gerenciamento administrativo e financeiro, tais como: compras; contratações (desde o recebimento de currículos e armazenamento destes até o efetivo registro); demissões; confecção livro caixa; pagamentos de contas e pagamentos de despesas trabalhistas, dentre outros que envolvam o tratamento de dados pessoais.
O registro das atividades de tratamentos de dados ou o mapeamento do fluxo de tratamentos dos dados pessoais pelas Serventias é vital para demonstrar as vulnerabilidades e a elaboração da matriz de riscos, pois ele tem início com a recepção dos dados pessoais até o arquivamento ou exclusão.
Além dos registro das atividades de tratamentos de dados, devemos fazer a política de privacidade e a política de segurança da informação, a indicação de encarregado e a elaboração de cláusulas específicas para contratação de serviços terceirizados⁴.
Para a adequação do Serviço Notarial e de Registro de Pindorama/SP à LGPD, os advogados do Escritório Soares, Picon Sociedade de Advogados apresentaram os seguintes documentos:
a) Inventário de dados (ROPA);
b) Política de privacidade;
c) Modelo de cartaz para divulgação da política de privacidade;
d) Política de segurança da informação;
e) Termo de nomeação de encarregado;
f) Plano de resposta a incidentes de segurança;
g) Modelo de resposta às requisições simples – prazo imediato;
h) Modelo de resposta às requisições complexas – declaração no prazo de 15 dias;
i) Modelo de contrato de trato a título de experiência adequação à LGPD;
j) Manual de governança;
k) Registro de incidentes de segurança e da informação;
l) Termo aditivo LGPD aos contratos de trabalho vigentes;
m) Termo aditivo LGPD aos contratos de prestação de serviços terceirizados (programas informatizados, serviços de contabilidade e de arquivo em nuvem);
n) Apresentação com a matriz de risco.
O inventário de dados ou ROPA (Record Of Processing Activities) significa os registros das operações de tratamento dos dados pessoais na prática dos atos inerentes ao exercício de ofício e de gerenciamento administrativo e financeiro como vimos acima.
A política de privacidade “é o documento que informa como o cartório realiza o tratamento de dados pessoais no exercício de suas atribuições legais para cumprir a finalidade pública”⁵. Esse documento identifica o Oficial, o titular de dados, quais são os dados pessoais e pessoais sensíveis; o tratamento e a base legal; quem é controlador; quais são os princípios da LGPD e a finalidade; compartilhamento; armazenamento; eliminação; a forma de exercer os direitos garantidos pela LGPD e meio de contato.
Já a política de segurança da informação visa assegurar “níveis adequados de proteção dos dados pessoais e privacidade de seus titulares”⁶. Para isso, estabelece “competências, responsabilidades e limites da atuação dos prepostos e prestadores de serviços terceirizados em relação a segurança da informação e privacidade dos dados pessoais”⁷.
Outro item importante para a adequação das Serventias à LGPD é o plano de resposta a incidente de segurança com dados pessoais e deve ser direcionado ao encarregado nomeado pelo Oficial de Registro ou Tabelião. Ele traz o “procedimento padronizado para o tratamento de incidentes de segurança” que deve prever a comunicação ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça no prazo máximo de 24 horas⁸.
Uma vez feito o registro das atividades de tratamentos de dados ou o mapeamento do fluxo de tratamentos dos dados pessoais pela Serventia, é possível identificar os tipos de riscos e vulnerabilidades de acordo com os setores de trabalho internos da Serventia:
1º Atos de competência legal ou normativa das Serventias Notarias e de Registros: registro de nascimento, reconhecimento de firma...;
2º Atos administrativos das Serventias Notarias e de Registros: contratação dos prepostos, folha de pagamento;
3º Serviços terceirizados dos serviços informatizados e de backup em nuvem: sistemas de informática para a prática dos atos de registro e notas e de backup em nuvem.
Em seguida, foram apontados como principais riscos e vulnerabilidades no tratamento dos dados pessoais:
a) possibilidade de vazamento de dados pessoais;
b) tratamento indevido dos dados pessoais;
c) uso ilícito ou exclusão dos dados pessoais;
d) acessos não autorizados;
e) contaminação com malwares e ataques de hackers;
f) impossibilidade de verificar a ocorrência de incidentes de segurança;
g) dificuldade de rastrear o executor do tratamento indevido dos dados pessoais, etc.
Diante dessas vulnerabilidades apresentadas pela serventia, e classificados em: muito alto (que exigem atuação prioritária); alto, médio e baixo, por sua vez, foram sugeridas ações a serem implementadas:
1) Gerenciamento e controle de acesso aos dados pessoais físicos e virtuais;
2) Rastreabilidade das atividades por meio de senhas pessoais e intransferíveis;
3) Implementar gestão de segurança da informação;
4) Conscientização e treinamento dos prepostos das exigências legais e normativas;
5) Eliminar dados pessoais com tratamento indevido (necessidade e adequação);
6) Divulgação da política de privacidade e do canal de contato com o encarregado.
Por fim, essa é minha singela participação nesse projeto de início da adequação da LGPD aos cartórios, e gostaria de agradecer toda a atenção do Escritório Soares Picon Sociedade de Advogados, aos amigos registradores com quem aprendi muito e em especial à vice presidente da ARPEN-SP Daniela Silva Mroz, que conduziu com muito afinco e dedicação todo esse projeto. Muito obrigado.
Notas:
¹ Art. 55, LGPD.
² Art. 23, §4º, LGPD.
³ Item 130.1 e 131.1, Cap. XIII, NSCGJ.
⁴ Item 133, Cap. XIII, NSCGJ.
⁵ Política de Privacidade do Cartório de Pindorama elaborado pelo Escritório Soares, Picon.
⁶ Política de Segurança da Informação do Cartório de Pindorama elaborado pelo Escritório Soares, Picon.
⁷ Política de Segurança da Informação do Cartório de Pindorama elaborado pelo Escritório Soares, Picon.
⁸ Plano de Resposta a Incidentes de Segurança do Cartório de Pindorama elaborado pelo Escritório Soares, Picon.
*João Paulo Martins Vitral é oficial de Registro Civil e Tabelião de Notas de Pindorama, da Comarca de Catanduva (SP).