A Associação dos Registradores de Pessoas Naturais do Estado de São Paulo (Arpen/SP) conversou com os principais escritórios e consultorias que trabalham com a adequação dos Cartórios de Registro Civil das Pessoas Naturais do estado paulista junto à Lei Geral de Proteção de Dados Pessoais (LGPD). Em entrevistas exclusivas, os sócio-fundadores contam quais são as etapas fundamentais para uma boa adequação, os diferenciais das suas empresas quanto à aplicação da Lei, possíveis riscos dos cartórios, além de dicas para as serventias de pequeno porte.
 
Apesar dos escritórios serem de advocacia, com um corpo de colaboradores praticamente inteiro formado em Direito, acabaram se especializando no tema da Lei Geral de Proteção de Dados, tornando-se especialistas na adequação dos cartórios de RCPN ao Provimento nº 23/2020, da Corregedoria Geral da Justiça do Estado de São Paulo (CGJ-SP), que dispõe sobre o tratamento e proteção de dados pessoais pelos responsáveis pelas delegações dos serviços extrajudiciais de Notas e Registro.
 
De acordo com Lucas Paglia, sócio-fundador do P&B Compliance, a atuação de seu escritório é direcionada, exclusivamente, para a área de consultoria e privacidade. “Apesar da nossa formação ser de advogados, não somos um escritório de advocacia. Aqui não temos ações trabalhistas, nem civis. Nosso corpo de colaboradores tem, todos ele, especialização de LGPD ou compliance. 80% são advogados, mas tenho, também, para encarar as três frentes do que a própria LGPD pede, a parte de Tecnologia e Segurança da Informação”, enfatiza Paglia.
 

 

Lucas Paglia, sócio-fundador da P&B Compliance. | Foto: Arquivo pessoal

Já para Roberta Pêgas, CEO e fundadora da ESG Legacy, que realizou uma parceria institucional com a empresa de consultoria Compliance Total, “por mais que tenha sócios da Compliance Total e da ESG Legacy que são advogados, nós optamos por constituir uma sociedade empresária, não obstante o nosso conhecimento e a nossa bagagem para ter um foco grande na gestão e governança”. Segundo Marcelo Borowski Gomes, sócio e diretor Executivo da Compliance Total, “A Compliance Total possui mais de 13 anos de reconhecida experiência na implementação e gestão de programas de compliance nos mais variados setores”.
 
Quanto aos escritórios Sampaio e Ferraz Advogados e Soares, Picon Advogados, ambos trabalham em diversas áreas do Direito, com uma grande equipe de sócios e colaboradores a fim de abranger os mais variados campos de atuação. “No âmbito de projetos de conformidade à LGPD, o escritório possui clientes de segmentos econômicos variados, médias e grandes empresas, com atuação no Brasil e global”, comenta Juliano Maranhão, sócio-fundador do Sampaio Ferraz Advogados.
 
“Temos uma equipe de LGPD que faz esse atendimento especializado ao cliente, mas também trazemos todo um outro contexto que está atrás das demais áreas do Direito e das áreas de conhecimento”, afirma Tarcísio Rodolfo Soares, sócio e fundador do Soares, Picon Advogados.
 
Adequação
 
Com a imposição do Provimento CGJ-SP nº 23/2020, os Cartórios de Registro Civil do estado de São Paulo devem adequar suas atividades, protocolos e arquivos à LGPD. A Arpen/SP, por meio de lives e palestras, destacou a importância dessa adaptação por parte das serventias, para que, além de estarem em dia com a Lei, também possam organizar de forma mais prática suas operações e materiais.
 
Para uma adequação correta e que evite falhas, Paglia, Maranhão, Soares e Pêgas enumeraram as etapas fundamentais que um cartório deve seguir. Os quatro advogados citaram como preliminar e essencial o conhecimento profundo sobre o cliente, que também será impactado pela adequação. “Para começarmos a trabalhar com a Arpen/SP, tivemos que estudar muito as normas técnicas próprias da Associação e dos cartórios. Fizemos uma imersão muito grande na realidade das serventias. Este foi o ponto zero: entender o que um cartório faz, seja de Notas ou de RCPN”, explica Lucas Paglia.

 
Segundo Erica da Paz Ribeiro, colaboradora do Soares, Picon Advogados e uma das responsáveis pela área de Segurança da Informação do escritório, “a primeira etapa é uma conversa com o cartório para poder entender qual o nível de conhecimento daquele público, e em que página ele está em relação à LGPD”. “Depois, apresentamos as fases do projeto ao titular da serventia, pois ele trabalha junto. Sem isso, o projeto de adequação não acontece”, diz.
 
Para Marcelo, da Compliance Total, pode-se analisar, também, por meio da conversa, as lacunas e falhas na serventia, para assim dar o devido início na implantação. “A primeira coisa que temos que fazer antes de iniciar um processo como esse é saber qual o meu risco, quais as lacunas que eu tenho em relação à lei e ao que eu tenho dentro da minha serventia”, comenta.

Mapeamento de dados
 
O mapeamento dos dados da serventia é a segunda etapa do processo de adequação das unidades à LGPD. Por meio de entrevistas com a maioria dos colaboradores do cartório, questionando procedimentos e atos, os responsáveis pela implantação terão todas as informações necessárias para proceder com o passo seguinte. “As entrevistas são jurídicas e técnicas, por isso temos duas equipes que entram separadas no cartório, que fazem perguntas, como, por exemplo: ‘como fazer um registro de casamento?’, ‘quais documentos são pedidos?’, ‘você segue exatamente o que está na norma técnica?’”, explica Paglia.
 
Para Juliano Maranhão, do Sampaio Ferraz Advogados, “no que diz respeito à etapa de mapeamento e diagnóstico, é fundamental, tanto para o Sampaio Ferraz Advogados como para o registrador, conhecer todas as atividades de tratamento de dados envolvidos, sejam inerentes ou não ao exercício do ofício. Essa etapa é de suma importância para se ter claro todo o fluxo de dados pessoais, em todas as atividades desenvolvidas na serventia”.
 
Plano de ação
 
Com os dados levantados e o registro da situação de processos do cartório, a adequação segue para a terceira fase: O Plano de Ação. Para a criação desta etapa, serão inseridos todos os estágios do projeto a fim de se estabelecer a total adaptação da serventia à LGPD. Com o programa esquematizado, o registrador poderá ter uma visão macro do processo, entendendo todas as necessidades de seu cartório, assim como as particularidades.
 
“Depois de fazer o data mapping e criar a matriz de risco, colocamos para o oficial quais são as vulnerabilidades, os riscos e qual é o plano de ação, o que ele tem que fazer para poder suprir aqueles riscos. Entregamos o plano como se fosse um mapa de calor, apresentando o que é risco muito alto, alto, médio e baixo”, pontua Erica, do Soares, Picon Advogados.
 
Juliano Maranhão, do Sampaio Ferraz Advogados, por sua vez, explica que o plano de ação é estabelecido com vistas a mitigar eventuais vulnerabilidades da serventia em relação ao tratamento de dados pessoais em atividades intrínsecas à atividade registral, assim como nas atividades administrativas e gerenciais.
 

Juliano Maranhão, sócio-fundador do Sampaio Ferraz Advogados. | Foto: Arquivo pessoal

 
Com o projeto em mãos, o registrador e seus colaboradores poderão iniciar a adequação na prática. Apesar de ser um vasto trabalho, que necessita da participação de todos os funcionários, a organização das informações traz benefícios. Para a presidente da Arpen/SP, Daniela Silva Mroz, a adaptação “não é apenas para a imposição da LGPD, mas para todos terem um controle da sua serventia, tendo um ótimo resultado”.
 
Riscos
 
Atuando na adequação dos cartórios há algum tempo, os sócios dos quatro escritórios puderam perceber os riscos mais comuns cometidos pelas serventias ao longo dos atos e processos realizados. “A primeira premissa fundamental é a questão de dar finalidade e transparência para as coletas. Respeitar estes princípios é muito importante. Tomar cuidado com a transparência que você dá numa coleta de dado, por mais que você seja obrigado a coletá-lo”, alega Paglia.
 
Segundo Roberta, do ESG Legacy, uma falha que deve estar no radar dos oficias dos cartórios é em relação à condução da adequação à LGPD, pois as leis podem mudar, e com isso, também mudam os meandros da implantação. “A única maneira de você fazer isso no dia a dia é ter um sistema acontecendo e rodando, e para você ter esse sistema ele precisa ser constantemente atualizado, o sistema de governança tem que refletir a alteração do dia a dia e, uma vez que muda, tem que mudar a política.”
 

Roberta Pêgas, CEO e fundadora da ESG Legacy. | Foto: Arquivo pessoal

 
Já para Erica, a “falta de gestão da Segurança da Informação é o ponto mais crítico”, diz. “Não há senhas pessoais, elas são compartilhadas sem uma divisão de acessos. Todos dentro da serventia fazem tudo, então, acaba-se não tendo restreabilidade. Se tiver um incidente da segurança da informação, não será possível rastreá-lo. A ausência de um programa de gestão de segurança da informação foi apontada como o maior risco”, completa.
 
Yuri Guilherme Guedes de Toledo, sócio do escritório Soares, Picon Advogados, também alerta para cuidados com os contratos empregatícios firmados pelas unidades cartorárias. “Uma outra questão que os cartórios devem se atentar é o contrato dos terceiros, que tem cláusulas de responsabilidades, onde você tem que indicar quem é o controlador, quem é o operador, ter regras bem especificadas. Então, no geral, todo processo é importante. Só conseguimos ter um foco indo em cada cartório e conhecendo eles”.
 
“Alguns pontos merecem ser destacados como principais vulnerabilidades até o momento: (I) possível conflito de interesse no acúmulo de funções; (II) falta de política de segurança da informação estruturada em documentos escritos com planos de contingência; (III) ausência de canal específico de atendimento de solicitações do exercício dos direitos dos titulares de dados; e (IV) compartilhamento de dados pessoais com terceiros, em particular com órgãos públicos”, pontua Juliano.
 
Além das questões obrigatórias da adequação, também existem as utilidades dos ajustes. “O principal motivo é não ser penalizado, então, a partir do momento em que tenho uma obrigação legal e não cumpro, o cartório está sujeito a notificações do Procon, Ministério Público, Senacon, sem contar a ANPD, que é a Autoridade Nacional de Proteção de Dados”, comenta Erica da Paz.
 
Apesar da vigência da LGPD, Tarcísio Soares ressalta que outra questão aparece como mais importante para estimular as mudanças. “É pela função do cartório, pela sua razão de existir e a obrigação de estar adequado e compreender esse momento em razão da proteção de dados, muito embora essa seja a preocupação principal das serventias. E também pela importância na sociedade, que tem a adequação como imprescindível”.
 

Tarcísio Rodolfo Soares, sócio-fundador do Soares, Picon Advogados. | Foto: Arquivo pessoal

 
Também destacando a importância do setor extrajudicial e da cultura de segurança jurídica existente, Juliano Maranhão afirma que “os principais riscos estão relacionados à violação na reputação da serventia, além de algumas sanções como publicização da violação e mesmo advertência, não obstante seja possível a aplicação de infrações disciplinares pelos órgãos competentes por inobservância das prescrições legais ou normativas”.
 
Serventias de pequeno porte
 
Para os Cartórios de RCPN de pequeno porte, considerados aqueles com atividades voltadas a municípios com menos de 50 mil habitantes, os advogados deram conselhos fundamentais para a adequação à LGPD, além de citarem seus principais riscos. Dentre as vantagens, destaca-se que quando um cartório possui sua atuação quase que exclusivamente no balcão, sem um site ou e-mail para troca de informações, a adaptação à nova legislação se torna mais fácil, além de menos danosa.
 
“Ler o Provimento nº 23 é o essencial. Se conseguirem entender e preencher aqueles modelos, essas serventias vão estar numa situação razoável quanto a adaptação à LGPD. E outra dica é com relação ao investimento em TI”, comenta Erica. Para Lucas Paglia, um passo essencial seria “a revisão do que foi feito por uma empresa especializada, mesmo que seja pontual, porque o é fundamental que o diagnóstico seja feito de forma correta, pois é onde se identifica o problema”.
 
De acordo com a CEO do ESG Legacy, a Lei Geral de Proteção de Dados não faz distinção entre empresas de pequeno, médio e grande porte, ou deficitárias, podendo haver multas mesmo para as pequenas serventias. “Da maneira que a LGPD é hoje, não apresenta uma diferença de rigor em função do tamanho das organizações”, destaca Pêgas.
“É essencial o mapeamento de todas as atividades de tratamento de dados pessoais, sejam elas inerentes ou não à atividade registral, a fim de conhecer o fluxo dos dados pessoais em sua serventia”, conclui Juliano.