Notícias
14 de Setembro de 2020
CGJ/SP publica provimento sobre tratamento e proteção de dados pessoais pelos responsáveis dos cartórios
PROVIMENTO CGJ Nº 23/2020
Dispõe sobre o tratamento e proteção de dados pessoais pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro de que trata o art. 236 da Constituição da República e acrescenta os itens 127 a 152.1 do Capítulo XIII do Tomo II das Normas de Serviço da Corregedoria Geral da Justiça.
(OSD 16)
O DESEMBARGADOR RICARDO MAIR ANAFE, CORREGEDOR GERAL DA JUSTIÇA DO ESTADO DE SÃO PAULO, NO USO DE SUAS ATRIBUIÇÕES LEGAIS,
CONSIDERANDO a proteção dos dados pessoais promovida pela Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD);
CONSIDERANDO que o novo regime de tratamento de dados pessoais se aplica aos serviços públicos extrajudiciais de notas e de registros prestados na forma do art. 236 de Constituição da República;
CONSIDERANDO que os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, no desempenho de suas atividades, são controladores de dados pessoais;
CONSIDERANDO o compartilhamento de dados pessoais com as Centrais de Serviços Eletrônicos Compartilhados, pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, decorrente de previsões legais e normativas;
CONSIDERANDO o decidido no Processo CG nº 2019/00109323;
RESOLVE:
Art. 1º. Acrescentar os itens 127 a 152.1 do Capítulo XIII do Tomo II das Normas de Serviço da Corregedoria Geral da Justiça, com a seguinte redação:
“SEÇÃO VIII
DO TRATAMENTO E PROTEÇÃO DOS DADOS PESSOAIS
127. O regime estabelecido pela Lei n. 13.709, de 14 de agosto de 2018, será observado em todas as operações de tratamento realizadas pelas delegações dos serviços extrajudiciais de notas e de registro a que se refere o art. 236 da Constituição Federal, independentemente do meio ou do país onde os dados sejam armazenados e tratados, ressalvado o disposto no art. 4º daquele estatuto.
128. No tratamento dos dados pessoais, os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro deverão observar os objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei n. 13.709, de 14 de agosto de 2018.
129. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, na qualidade de titulares, interventores ou interinos, são controladores e responsáveis pelas decisões referentes ao tratamento dos dados pessoais.
130. O tratamento de dados pessoais destinado à prática dos atos inerentes ao exercício dos respectivos ofícios será promovido de forma a atender à finalidade da prestação do serviço, na persecução do interesse público, e com os objetivos de executar as competências legais e desempenhar atribuições legais e normativas dos serviços público delegados.
130.1 Consideram-se inerentes ao exercício dos ofícios os atos praticados nos livros mantidos por força de previsão nas legislações específicas, incluídos os atos de inscrição, transcrição, registro, averbação, anotação, escrituração de livros de notas, reconhecimento de firmas, autenticação de documentos; as comunicações para unidades distintas, visando as anotações nos livros e atos nelas mantidos; os atos praticados para a escrituração de livros previstos em normas administrativas; as informações e certidões; os atos de comunicação e informação para órgãos públicos e para centrais de serviços eletrônicos compartilhados que decorrerem de previsão legal ou normativa.
131. O tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício dos ofícios notariais e registrais, no cumprimento de obrigação legal ou normativa, independe de autorização específica da pessoa natural que deles for titular.
131.1 O tratamento de dados pessoais decorrente do exercício do gerenciamento administrativo e financeiro promovido pelos responsáveis pelas delegações será realizado em conformidade com os objetivos, fundamentos e princípios decorrentes do exercício da delegação mediante outorga a particulares.
132. Para o tratamento dos dados pessoais os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, sob sua exclusiva responsabilidade, poderão nomear operadores integrantes e operadores não integrantes do seu quadro de prepostos, desde que na qualidade de prestadores terceirizados de serviços técnicos.
132.1 Os prepostos e os prestadores terceirizados de serviços técnicos deverão ser orientados sobre os deveres, requisitos e responsabilidades decorrentes da Lei n. 13.709, de 14 de agosto de 2018, e manifestar a sua ciência, por escrito, mediante cláusula contratual ou termo autônomo a ser arquivado em classificador próprio.
132.2 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro orientarão todos os seus operadores sobre as formas de coleta, tratamento e compartilhamento de dados pessoais a que tiverem acesso, bem como sobre as respectivas responsabilidades, e arquivarão, em classificador próprio, as orientações transmitidas por escrito e a comprovação da ciência pelos destinatários.
132.3 Compete aos responsáveis pelas delegações dos serviços extrajudiciais de nota e de registro verificar o cumprimento, pelos operadores prepostos ou terceirizados, do tratamento de dados pessoais conforme as instruções que fornecer e as demais normas sobre a matéria.
132.4 A orientação aos operadores, e qualquer outra pessoa que intervenha em uma das fases de coleta, tratamento e compartilhamento abrangerá, ao menos:
I – as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
II – a informação de que a responsabilidade dos operadores prepostos, ou terceirizados, e de qualquer outra pessoa que intervenha em uma das fases abrangida pelo fluxo dos dados pessoais, subsiste mesmo após o término do tratamento.
132.5 Também serão arquivados, para efeito de formulação de relatórios de impacto, os comprovantes da participação em cursos, conferências, seminários ou qualquer modo de treinamento proporcionado pelo controlador aos operadores e encarregado, com indicação do conteúdo das orientações transmitidas por esse modo.
133. Cada unidade dos serviços extrajudiciais de notas e de registro deverá manter um encarregado que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
133.1 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro poderão nomear encarregado integrante do seu quadro de prepostos, ou prestador terceirizado de serviços técnicos.
133.2 Poderão ser nomeados como encarregados prestadores de serviços técnicos com remuneração integralmente paga, ou subsidiada, pelas entidades representativas de classe.
133.3 A nomeação do encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador na qualidade de responsável pela nomeação e o encarregado.
133.4 A nomeação de encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais.
133.5 A atividade de orientação dos prepostos e prestadores de serviços terceirizados sobre as práticas a serem adotadas em relação à proteção de dados pessoais, desempenhada pelo encarregado, não afasta igual dever atribuído aos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro.
133.6 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro manterão em suas unidades:
I – sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro;
II – política de privacidade que descreva os direitos dos titulares de dados pessoais, de modo claro e acessível, os tratamentos realizados e a sua finalidade;
III – canal de atendimento adequado para informações, reclamações e sugestões ligadas ao tratamento de dados pessoais, com fornecimento de formulários para essa finalidade.
134. A política de privacidade e o canal de atendimento aos usuários dos serviços extrajudiciais deverão ser divulgados por meio de cartazes afixados nas unidades e avisos nos sítios eletrônicos mantidos pelas delegações de notas e de registro, de forma clara e que permita a fácil visualização e o acesso intuitivo.
134.1 A critério dos responsáveis pelas delegações, a política de privacidade e a identificação do canal de atendimento também poderão ser divulgados nos recibos entregues para as partes solicitantes dos atos notariais e de registro.
135. O controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, conterá:
I – a identificação das formas de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento nas hipóteses em que houver determinação legal ou normativa;
II – os registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:
1 – finalidade do tratamento;
2 – base legal ou normativa;
3 – descrição dos titulares;
4 – categoria dos dados que poderão ser pessoais, pessoais sensíveis ou anonimizados, com alerta específica para os dados sensíveis;
5 – categorias dos destinatários;
6 – prazo de conservação;
7- identificação dos sistemas de manutenção de bancos de dados e do seu conteúdo;
8 – medidas de segurança adotadas;
9 – obtenção e arquivamento das autorizações emitidas pelos titulares para o tratamento dos dados pessoais, nas hipóteses em que forem exigíveis;
10 – política de segurança da informação;
11 – planos de respostas a incidentes de segurança com dados pessoais.
136. Os registros serão elaborados de forma individualizada para cada ato inerente ao exercício do ofício, ou para cada ato, ou contrato, decorrente do exercício do gerenciamento administrativo e financeiro da unidade que envolva a coleta, tratamento, armazenamento e compartilhamento de dados pessoais.
137. Os sistemas de controle de fluxo abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais deverão proteger contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e permitir, quando necessário, a elaboração dos relatórios de impacto previstos no inciso XVII do art. 5º e nos arts. 32 e 38 da Lei n. 13.709, de 14 de agosto de 2018.
138. As entidades representativas de classe poderão fornecer formulários e programas de informática para o registro do controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, adaptados para cada especialidade dos serviços extrajudiciais de notas e de registro.
138.1 Os sistemas de controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, serão mantidos de forma exclusiva em cada uma das unidades dos serviços extrajudiciais de notas e de registro, sendo vedado o compartilhamento dos dados pessoais sem autorização específica, legal ou normativa.
138.2 Os sistemas utilizados para o tratamento e armazenamento de dados pessoais deverão atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei n. 13.709, de 14 de agosto de 2018, e demais normas regulamentares.
139. O plano de resposta a incidentes de segurança com dados pessoais deverá prever a comunicação ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça, no prazo máximo de 24 horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.
139.1 Os incidentes de segurança com dados pessoais serão imediatamente comunicados pelos operadores ao controlador.
140. A anonimização de dados pessoais para a transferência de informações para as Centrais Eletrônicas de Serviços Compartilhados, ou outro destinatário, será efetuada em conformidade com os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei n. 13.709, de 14 de agosto de 2018.
141. Os titulares terão livre acesso aos dados pessoais, mediante consulta facilitada e gratuita que poderá abranger a exatidão, clareza, relevância, atualização, a forma e duração do tratamento e a integralidade dos dados pessoais.
142. O livre acesso é restrito ao titular dos dados pessoais e poderá ser promovido mediante informação verbal ou escrita, conforme for solicitado.
142.1 Na informação, que poderá ser prestada por meio eletrônico, seguro e idôneo para esse fim, ou por documento impresso, deverá constar a advertência de que foi entregue ao titular dos dados pessoais, na forma da Lei n. 13.709, de 14 de agosto de 2018, e que não produz os efeitos de certidão e, portanto, não é dotada de fé pública para prevalência de direito perante terceiros.
143. As certidões e informações sobre o conteúdo dos atos notariais e de registro, para efeito de publicidade e de vigência, serão fornecidas mediante remuneração por emolumentos, ressalvadas as hipóteses de gratuidade previstas em lei específica.
144. Para a expedição de certidão ou informação restrita ao que constar nos indicadores e índices pessoais poderá ser exigido o fornecimento, por escrito, da identificação do solicitante e da finalidade da solicitação.
144.1 Igual cautela poderá ser tomada quando forem solicitadas certidões ou informações em bloco, ou agrupadas, ou segundo critérios não usuais de pesquisa, ainda que relativas a registros e atos notariais envolvendo titulares distintos de dados pessoais.
144.2 Serão negadas, por meio de nota fundamentada, as solicitações de certidões e informações formuladas em bloco, relativas a registros e atos notariais relativos ao mesmo titular de dados pessoais ou a titulares distintos, quando as circunstâncias da solicitação indicarem a finalidade de tratamento de dados pessoais, pelo solicitante ou outrem, de forma contrária aos objetivos, fundamentos e princípios da Lei n. 13.709, de 14 de agosto de 2018.
144.3 Os itens 144 a 144.2 deste Provimento incidem na expedição de certidões e no fornecimento de informações em que a anonimização dos dados pessoais for reversível, observados os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei n. 13.709, de 14 de agosto de 2018.
144.4 As certidões, informações e interoperabilidade de dados pessoais com o Poder Público, nas hipóteses previstas na Lei n. 13.709, de 14 de agosto de 2018, e na legislação e normas específicas, não se sujeitam ao disposto nos itens 144 a 144.3 deste Provimento.
145. Será exigida a identificação do solicitante para as informações, por via eletrônica, que abranjam dados pessoais, salvo se a solicitação for realizada por responsável pela unidade, ou seu preposto, na prestação do serviço público delegado.
146. A retificação de dado pessoal constante em registro e em ato notarial deverá observar o procedimento, extrajudicial ou judicial, previsto na legislação ou em norma específica.
147. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro não se equiparam a fornecedores de serviços ou produtos para efeito de portabilidade de dados pessoais, mediante solicitação por seus titulares, prevista no inciso V do art. 18 da Lei n. 13.709, de 14 de agosto de 2018.
148. A inutilização e eliminação de documentos em conformidade com a Tabela de Temporalidade de Documentos prevista no Provimento nº 50/2015, da Corregedoria Geral da Justiça, será promovida de forma a impedir a identificação dos dados pessoais neles contidos.
148.1 A inutilização e eliminação de documentos não afasta os deveres previstos na Lei n. 13.709, de 14 de agosto de 2018, em relação aos dados pessoais que remanescerem em índices, classificadores, indicadores, banco de dados, arquivos de segurança ou qualquer outro modo de conservação adotado na unidade dos serviços extrajudiciais de notas e de registro.
149. É vedado aos responsáveis pelas delegações de notas e de registro, aos seus prepostos e prestadores de serviço terceirizados, ou qualquer outra pessoa que deles tenha conhecimento em razão do serviço, transferir ou compartilhar com entidades privadas dados a que tenham acesso, salvo mediante autorização legal ou normativa.
149.1 As transferências, ou compartilhamentos, de dados pessoais para as Centrais de Serviços Eletrônicos Compartilhados, incluídos os relativos aos sistemas de registro eletrônico sob a sua responsabilidade, serão promovidas conforme os limites fixados na legislação e normas específicas.
150. Para o recebimento de informações que contenham dados pessoais, previstas nas Normas de Serviço da Corregedoria Geral da Justiça, as Centrais de Serviços Eletrônicos Compartilhados deverão declarar que cumprem, de forma integral, os requisitos, objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei n. 13.709, de 14 de agosto de 2018.
150.1 A declaração poderá ser encaminhada aos responsáveis pelas delegações de notas e de registro por meio escrito, eletrônico, ou outro que permita a confirmação do envio.
150.2 Iguais declarações deverão ser encaminhadas pelas Centrais de Serviços Eletrônicos Compartilhados para a Corregedoria Geral da Justiça.
151. As Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança com dados pessoais, em 24 horas contados do seu conhecimento, aos responsáveis pelas delegações de notas e de registro de que os receberam e à Corregedoria Geral da Justiça, com esclarecimento sobre os planos de resposta.
151.1 O plano de resposta conterá, no mínimo, a indicação da natureza do incidente, das suas causas, das providências adotadas para a mitigação de novos riscos, dos impactos causados e das medidas adotadas para a redução de possíveis danos aos titulares dos dados pessoais”.
Art. 2º – Este Provimento entrará em vigor em conjunto com a Lei n. 13.709, de 14 de agosto de 2018, ficando revogadas as disposições em contrário.
São Paulo, 3 de setembro de 2020.
RICARDO MAIR ANAFE
Corregedor Geral da Justiça
PARECER
PODER JUDICIÁRIO TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO
CORREGEDORIA GERAL DA JUSTIÇA
Processo n.º 2019/109323 – Dicoge 5.1
(Parecer n.º 377/2020-E)
SERVIÇOS EXTRAJUDICAIS DE NOTAS E DE REGISTRO – LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 (LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LGPD) – Edição de Provimento regulamentando a atuação dos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado de São Paulo.
Excelentíssimo Senhor Corregedor Geral da Justiça:
1. Trata-se de procedimento instaurado para o acompanhamento das medidas promovidas pelo Grupo de Estudos constituído pela Corregedoria Geral da Justiça e pela Escola Paulista da Magistratura em razão da edição da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
Foram solicitadas as manifestações do Instituto de Estudos de Protesto de Títulos do Brasil – Seção São Paulo, da Associação dos Registradores Imobiliários de São Paulo – ARISP, do Instituto de Registro de Imóveis do Brasil – IRIB, da Associação dos Notários e Registradores do Estado de São Paulo – ANOREG/SP, da Associação dos Registradores de Pessoas Naturais do Estado de São Paulo – ARPEN/SP, e do Colégio Notarial do Brasil – Seção São Paulo.
Opino.
2. Com a edição da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), foi constituído pelos Excelentíssimos Desembargadores Corregedor Geral da Justiça e Diretor da Escola Paulista da Magistratura grupo conjunto de estudos, integrado por magistrados e servidores, visando a oportuna apresentação de sugestões para a regulamentação da matéria em seus diversos campos de aplicação.
Os trabalhos desenvolvidos pelo grupo conjunto de estudos abrangeram a realização de reuniões em que foram analisados aspectos teóricos da Lei Geral de Proteção de Dados Pessoais – LGPD e da sua aplicação nas atividades da Corregedoria Geral da Justiça e do Tribunal de Justiça.
Posteriormente, pela Portaria nº 9.885/2020, a Egrégia Presidência constituiu Comitê Gestor de Proteção de Dados – CGPD, também integrado por magistrados e servidores, dedicado à elaboração e proposição de medidas para que as atividades do Tribunal de Justiça do Estado de São Paulo sejam desenvolvidas em consonância com a Lei Geral de Proteção de Dados Pessoais – LGPD.
A par dessas atividades, os magistrados e servidores que representam a Corregedoria Geral da Justiça no Comitê Gestor de Proteção de Dados – CGPD, nomeados por indicação de Vossa Excelência, promoveram estudos e atividades específicas para a apresentação de propostas visando a aplicação da Lei Geral de Proteção de Dados Pessoais – LGPD nas atividades da Corregedoria Geral da Justiça.
O referido Comitê é integrado, por indicação do Corregedor Geral da Justiça, pelo Excelentíssimo Desembargador Rubens Rihl Pires Correa que atuou de forma a organizar e orientar as atividades desenvolvidas pelos Senhores Servidores e pelos Juízes Assessores da Corregedoria, transmitindo valorosos ensinamentos teóricos decorrentes de seus estudos sobre a Lei Geral de Proteção de Dados Pessoais – LGPD e à adoção de medidas concretas para a aplicação da Lei que terá vigência próxima.
Por sua vez, a Associação dos Registradores Imobiliários de São Paulo – ARISP (fl. 166/169), o Instituto de Registro de Imóveis do Brasil – IRIB (fl. 203/280), a Associação dos Registradores de Pessoas Naturais do Estado de São Paulo – ARPEN/SP (fl. 195/197) e o Colégio Notarial do Brasil – Seção São Paulo (fls. 175/189), que são entidades representativas dos senhores notários e registradores do Estado de São Paulo, apresentaram manifestações que foram instruídas com aprofundados estudos teóricos e propostas de normatização.
Essas atividades e manifestações subsidiaram a elaboração de Provimento, ora submetido à elevada análise de Vossa Excelência, para regulamentar as atividades dos responsáveis pelas unidades de notas e de registro do Estado de São Paulo na prestação do serviço público delegado.
3. A minuta de provimento que acompanha este parecer contém normas gerais que se destinam a orientar a atuação dos responsáveis pelas delegações de notas e de registro na aplicação da Lei Geral de Proteção de Dados Pessoais.
Para essa finalidade, foi adotada, sempre que possível, a estrutura da Lei Geral de Proteção de Dados Pessoais – LGPD.
Além disso, optou-se por reproduzir parte dos dispositivos da Lei Geral de Proteção de Dados Pessoais – LGPD, com acréscimos de normas sobre a as medidas concretas que deverão ser adotadas pelos senhores responsáveis pela prestação dos serviços extrajudiciais de notas e de registro.
Desse modo, o provimento inicia dispondo que os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro deverão observar, no tratamento dos dados pessoais, os objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei nº 13.709/2018, em todas as operações de tratamento que realizarem (itens 127 e 128).
A seguir, o provimento esclarece que os responsáveis pelas delegações dos serviços extrajudiciais, na qualidade de titulares, interventores ou interinos, são considerados controladores e, portanto, responsáveis pelas decisões referentes ao tratamento dos dados pessoais.
Além disso, o provimento define as diferentes formas de tratamento que serão dadas aos atos inerentes ao exercício dos ofícios extrajudiciais de notas e de registro e aos atos decorrentes do gerenciamento administrativo e financeiro das delegações exercidas por particulares mediante outorga pelo Poder Público.
Essa distinção foi adotada porque os serviços extrajudiciais de notas e de registro, embora exercidos em caráter privado, recebem o tratamento dispensado às pessoas jurídicas de direito público pela Lei Geral de Proteção de Dados Pessoais – LGPD, mas o gerenciamento administrativo e financeiro é responsabilidade, inclusive quanto ao custeio, dos titulares das delegações.
E a equiparação às pessoas jurídicas de direito público, quanto aos atos inerentes ao exercício dos ofícios extrajudiciais de notas e de registro, produz efeitos específicos, como a dispensa do consentimento do titular dos dados pessoais para as práticas dos atos típicos de notas e de registro.
Além disso, foi considerado que para a prestação do serviço público delegado os notários e registradores contam com prepostos, membros dos seus quadros de funcionários, e com prestadores de serviços terceirizados que podem atuar em funções de tratamento de dados, em especial no que se refere aos prestadores dos serviços de informática.
Foram previstos, ainda, requisitos mínimos a serem observados no controle do fluxo de dados pessoais, desde a sua coleta até o eventual compartilhamento, com previsão para que sejam adotadas medidas de segurança, técnicas e administrativas, que permitam a proteção dos dados contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A observação desses requisitos de controle, ademais, contribuirá para a elaboração de relatórios de impacto e para a minoração de eventuais danos decorrentes de acessos ou comunicações não autorizadas.
Por seu turno, em razão dos diferentes rendimentos e estruturas das unidades dos serviços extrajudiciais, foi prevista a possibilidade de nomeação de encarregado não integrante do quadro de prepostos da serventia, com remuneração promovida, ou subsidiada, pelas entidades representativas de classe, podendo o encarregado atuar em mais de uma delegação.
O fornecimento de informações e a expedição de certidões foram tratados em conformidade com o fundamento legal utilizado pelo autor da solicitação, com esclarecimento sobre os efeitos das informações prestadas aos titulares dos dados com fundamento na Lei Geral de Proteção de Dados Pessoais – LGPD.
Também foram diferenciados os procedimentos de correção dos dados pessoais solicitados por força da Lei Geral de Proteção de Dados Pessoais – LGDP dos procedimentos de retificação de registros e atos notariais regulamentados em legislação específica.
Foi prevista, em complementação, a obrigação dos responsáveis pelas delegações dos serviços extrajudiciais e de registro comunicarem ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça os incidentes envolvendo dados pessoais e as medidas adotadas para a apuração das suas causas, a minoração dos seus efeitos e o controle de novos acessos.
Cuidou-se, mais, de autorizar o atendimento de requisitos destinados a conferir maior segurança para as informações e certidões solicitadas por meio eletrônico, das restritas aos conteúdos de índices e indicadores formados com dados pessoais, e das solicitadas em bloco, para reduzir o risco de uso contrário aos objetivos e princípios da Lei Geral de Proteção de Dados Pessoais – LGPD.
Foram regulamentados aspectos do compartilhamento de dados com as Centrais de Serviços Eletrônicos Compartilhados que, apesar de previsões legais e normativas que possibilitam, em hipóteses específicas, o acesso a dados pessoais mediante compartilhamento, não são equiparadas a pessoas jurídicas de direito público para efeito de sujeição à Lei Geral de Dados Pessoais – LGPD.
Contudo, diante dos compartilhamentos previstos em normas específicas, como a legislação sobre o SREI e a ONR, os decretos regulamentadores do SIRC e do SINTER, e as normas da Corregedoria Nacional de Justiça e da Corregedoria Geral da Justiça, foi previsto que as Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança com dados pessoais, em 24 horas contados do seu conhecimento, aos responsáveis pelas delegações de notas e de registro de que os receberam e à Corregedoria Geral da Justiça, com esclarecimento quanto aos planos de resposta.
4. Por fim, esclarecemos que as normas relativas à Lei Geral de Proteção de Dados Pessoais – LGPD serão objeto de constante atualização e aperfeiçoamento, para adequação às novas diretrizes definidas pela Autoridade Nacional de Proteção de Dados – ANPD e às demais interpretações que prevalecerem para a sua aplicação. Desse modo, e por não ser possível estabelecer de forma taxativa as hipóteses em que a Lei Geral de Proteção de Dados Pessoais – LGPD repercutirá na atuação dos senhores notários e registradores, a edição de eventuais normas direcionadas às diferentes especialidades dos serviços extrajudiciais será objeto de estudos a serem oportunamente realizados.
5. Com essas considerações, apresentamos à elevada consideração de Vossa Excelência a anexa minuta de Provimento.
Sub censura.
São Paulo, 2 de setembro de 2020.
José Marcelo Tossi Silva
Juiz Assessor da Corregedoria
Assinado Digitalmente
Josué Modesto Passos
Juízes Assessores da Corregedoria
Assinado Digitalmente
CONCLUSÃO
Em 3 de setembro de 2020, conclusos ao Excelentíssimo Senhor Desembargador RICARDO ANAFE, DD. Corregedor Geral da Justiça do Estado de São Paulo.
Vistos.
Aprovo o parecer dos MM. Juízes Assessores da Corregedoria, por seus fundamentos que adoto, e edito o anexo Provimento que deverá ser publicado no DJe em três dias alternados, junto com o parecer e esta decisão.
Expeça-se comunicado no Portal do Extrajudicial.
Oficie-se às entidades representativas de classe dos senhores notários e registradores, com cópia do provimento e com agradecimento pelas manifestações apresentadas durante os estudos para a elaboração da norma.
Por fim, oficie-se ao Excelentíssimo Desembargador Rubens Rihl Pires Correa, que integra o Comitê Gestor de Proteção de Dados – CGPD, com agradecimento pela importante contribuição nos estudos voltados à adoção de medidas, pela Corregedoria Geral da Justiça, para a atuação em conformidade com a Lei Geral de Proteção de Dados Pessoais – LGPD.
São Paulo, 3 de setembro de 2020.
RICARDO ANAFE
Corregedor Geral da Justiça
Assinado Digitalmente
Processo n.º 2019/109323 – Dicoge 5.1 – Ðνάφη
Dispõe sobre o tratamento e proteção de dados pessoais pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro de que trata o art. 236 da Constituição da República e acrescenta os itens 127 a 152.1 do Capítulo XIII do Tomo II das Normas de Serviço da Corregedoria Geral da Justiça.
(OSD 16)
O DESEMBARGADOR RICARDO MAIR ANAFE, CORREGEDOR GERAL DA JUSTIÇA DO ESTADO DE SÃO PAULO, NO USO DE SUAS ATRIBUIÇÕES LEGAIS,
CONSIDERANDO a proteção dos dados pessoais promovida pela Lei n. 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD);
CONSIDERANDO que o novo regime de tratamento de dados pessoais se aplica aos serviços públicos extrajudiciais de notas e de registros prestados na forma do art. 236 de Constituição da República;
CONSIDERANDO que os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, no desempenho de suas atividades, são controladores de dados pessoais;
CONSIDERANDO o compartilhamento de dados pessoais com as Centrais de Serviços Eletrônicos Compartilhados, pelos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, decorrente de previsões legais e normativas;
CONSIDERANDO o decidido no Processo CG nº 2019/00109323;
RESOLVE:
Art. 1º. Acrescentar os itens 127 a 152.1 do Capítulo XIII do Tomo II das Normas de Serviço da Corregedoria Geral da Justiça, com a seguinte redação:
“SEÇÃO VIII
DO TRATAMENTO E PROTEÇÃO DOS DADOS PESSOAIS
127. O regime estabelecido pela Lei n. 13.709, de 14 de agosto de 2018, será observado em todas as operações de tratamento realizadas pelas delegações dos serviços extrajudiciais de notas e de registro a que se refere o art. 236 da Constituição Federal, independentemente do meio ou do país onde os dados sejam armazenados e tratados, ressalvado o disposto no art. 4º daquele estatuto.
128. No tratamento dos dados pessoais, os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro deverão observar os objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei n. 13.709, de 14 de agosto de 2018.
129. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, na qualidade de titulares, interventores ou interinos, são controladores e responsáveis pelas decisões referentes ao tratamento dos dados pessoais.
130. O tratamento de dados pessoais destinado à prática dos atos inerentes ao exercício dos respectivos ofícios será promovido de forma a atender à finalidade da prestação do serviço, na persecução do interesse público, e com os objetivos de executar as competências legais e desempenhar atribuições legais e normativas dos serviços público delegados.
130.1 Consideram-se inerentes ao exercício dos ofícios os atos praticados nos livros mantidos por força de previsão nas legislações específicas, incluídos os atos de inscrição, transcrição, registro, averbação, anotação, escrituração de livros de notas, reconhecimento de firmas, autenticação de documentos; as comunicações para unidades distintas, visando as anotações nos livros e atos nelas mantidos; os atos praticados para a escrituração de livros previstos em normas administrativas; as informações e certidões; os atos de comunicação e informação para órgãos públicos e para centrais de serviços eletrônicos compartilhados que decorrerem de previsão legal ou normativa.
131. O tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício dos ofícios notariais e registrais, no cumprimento de obrigação legal ou normativa, independe de autorização específica da pessoa natural que deles for titular.
131.1 O tratamento de dados pessoais decorrente do exercício do gerenciamento administrativo e financeiro promovido pelos responsáveis pelas delegações será realizado em conformidade com os objetivos, fundamentos e princípios decorrentes do exercício da delegação mediante outorga a particulares.
132. Para o tratamento dos dados pessoais os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, sob sua exclusiva responsabilidade, poderão nomear operadores integrantes e operadores não integrantes do seu quadro de prepostos, desde que na qualidade de prestadores terceirizados de serviços técnicos.
132.1 Os prepostos e os prestadores terceirizados de serviços técnicos deverão ser orientados sobre os deveres, requisitos e responsabilidades decorrentes da Lei n. 13.709, de 14 de agosto de 2018, e manifestar a sua ciência, por escrito, mediante cláusula contratual ou termo autônomo a ser arquivado em classificador próprio.
132.2 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro orientarão todos os seus operadores sobre as formas de coleta, tratamento e compartilhamento de dados pessoais a que tiverem acesso, bem como sobre as respectivas responsabilidades, e arquivarão, em classificador próprio, as orientações transmitidas por escrito e a comprovação da ciência pelos destinatários.
132.3 Compete aos responsáveis pelas delegações dos serviços extrajudiciais de nota e de registro verificar o cumprimento, pelos operadores prepostos ou terceirizados, do tratamento de dados pessoais conforme as instruções que fornecer e as demais normas sobre a matéria.
132.4 A orientação aos operadores, e qualquer outra pessoa que intervenha em uma das fases de coleta, tratamento e compartilhamento abrangerá, ao menos:
I – as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
II – a informação de que a responsabilidade dos operadores prepostos, ou terceirizados, e de qualquer outra pessoa que intervenha em uma das fases abrangida pelo fluxo dos dados pessoais, subsiste mesmo após o término do tratamento.
132.5 Também serão arquivados, para efeito de formulação de relatórios de impacto, os comprovantes da participação em cursos, conferências, seminários ou qualquer modo de treinamento proporcionado pelo controlador aos operadores e encarregado, com indicação do conteúdo das orientações transmitidas por esse modo.
133. Cada unidade dos serviços extrajudiciais de notas e de registro deverá manter um encarregado que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
133.1 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro poderão nomear encarregado integrante do seu quadro de prepostos, ou prestador terceirizado de serviços técnicos.
133.2 Poderão ser nomeados como encarregados prestadores de serviços técnicos com remuneração integralmente paga, ou subsidiada, pelas entidades representativas de classe.
133.3 A nomeação do encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador na qualidade de responsável pela nomeação e o encarregado.
133.4 A nomeação de encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais.
133.5 A atividade de orientação dos prepostos e prestadores de serviços terceirizados sobre as práticas a serem adotadas em relação à proteção de dados pessoais, desempenhada pelo encarregado, não afasta igual dever atribuído aos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro.
133.6 Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro manterão em suas unidades:
I – sistema de controle do fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro;
II – política de privacidade que descreva os direitos dos titulares de dados pessoais, de modo claro e acessível, os tratamentos realizados e a sua finalidade;
III – canal de atendimento adequado para informações, reclamações e sugestões ligadas ao tratamento de dados pessoais, com fornecimento de formulários para essa finalidade.
134. A política de privacidade e o canal de atendimento aos usuários dos serviços extrajudiciais deverão ser divulgados por meio de cartazes afixados nas unidades e avisos nos sítios eletrônicos mantidos pelas delegações de notas e de registro, de forma clara e que permita a fácil visualização e o acesso intuitivo.
134.1 A critério dos responsáveis pelas delegações, a política de privacidade e a identificação do canal de atendimento também poderão ser divulgados nos recibos entregues para as partes solicitantes dos atos notariais e de registro.
135. O controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, conterá:
I – a identificação das formas de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento nas hipóteses em que houver determinação legal ou normativa;
II – os registros de tratamentos de dados pessoais contendo, entre outras, informações sobre:
1 – finalidade do tratamento;
2 – base legal ou normativa;
3 – descrição dos titulares;
4 – categoria dos dados que poderão ser pessoais, pessoais sensíveis ou anonimizados, com alerta específica para os dados sensíveis;
5 – categorias dos destinatários;
6 – prazo de conservação;
7- identificação dos sistemas de manutenção de bancos de dados e do seu conteúdo;
8 – medidas de segurança adotadas;
9 – obtenção e arquivamento das autorizações emitidas pelos titulares para o tratamento dos dados pessoais, nas hipóteses em que forem exigíveis;
10 – política de segurança da informação;
11 – planos de respostas a incidentes de segurança com dados pessoais.
136. Os registros serão elaborados de forma individualizada para cada ato inerente ao exercício do ofício, ou para cada ato, ou contrato, decorrente do exercício do gerenciamento administrativo e financeiro da unidade que envolva a coleta, tratamento, armazenamento e compartilhamento de dados pessoais.
137. Os sistemas de controle de fluxo abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais deverão proteger contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e permitir, quando necessário, a elaboração dos relatórios de impacto previstos no inciso XVII do art. 5º e nos arts. 32 e 38 da Lei n. 13.709, de 14 de agosto de 2018.
138. As entidades representativas de classe poderão fornecer formulários e programas de informática para o registro do controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, adaptados para cada especialidade dos serviços extrajudiciais de notas e de registro.
138.1 Os sistemas de controle de fluxo, abrangendo coleta, tratamento, armazenamento e compartilhamento de dados pessoais, serão mantidos de forma exclusiva em cada uma das unidades dos serviços extrajudiciais de notas e de registro, sendo vedado o compartilhamento dos dados pessoais sem autorização específica, legal ou normativa.
138.2 Os sistemas utilizados para o tratamento e armazenamento de dados pessoais deverão atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei n. 13.709, de 14 de agosto de 2018, e demais normas regulamentares.
139. O plano de resposta a incidentes de segurança com dados pessoais deverá prever a comunicação ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça, no prazo máximo de 24 horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados.
139.1 Os incidentes de segurança com dados pessoais serão imediatamente comunicados pelos operadores ao controlador.
140. A anonimização de dados pessoais para a transferência de informações para as Centrais Eletrônicas de Serviços Compartilhados, ou outro destinatário, será efetuada em conformidade com os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei n. 13.709, de 14 de agosto de 2018.
141. Os titulares terão livre acesso aos dados pessoais, mediante consulta facilitada e gratuita que poderá abranger a exatidão, clareza, relevância, atualização, a forma e duração do tratamento e a integralidade dos dados pessoais.
142. O livre acesso é restrito ao titular dos dados pessoais e poderá ser promovido mediante informação verbal ou escrita, conforme for solicitado.
142.1 Na informação, que poderá ser prestada por meio eletrônico, seguro e idôneo para esse fim, ou por documento impresso, deverá constar a advertência de que foi entregue ao titular dos dados pessoais, na forma da Lei n. 13.709, de 14 de agosto de 2018, e que não produz os efeitos de certidão e, portanto, não é dotada de fé pública para prevalência de direito perante terceiros.
143. As certidões e informações sobre o conteúdo dos atos notariais e de registro, para efeito de publicidade e de vigência, serão fornecidas mediante remuneração por emolumentos, ressalvadas as hipóteses de gratuidade previstas em lei específica.
144. Para a expedição de certidão ou informação restrita ao que constar nos indicadores e índices pessoais poderá ser exigido o fornecimento, por escrito, da identificação do solicitante e da finalidade da solicitação.
144.1 Igual cautela poderá ser tomada quando forem solicitadas certidões ou informações em bloco, ou agrupadas, ou segundo critérios não usuais de pesquisa, ainda que relativas a registros e atos notariais envolvendo titulares distintos de dados pessoais.
144.2 Serão negadas, por meio de nota fundamentada, as solicitações de certidões e informações formuladas em bloco, relativas a registros e atos notariais relativos ao mesmo titular de dados pessoais ou a titulares distintos, quando as circunstâncias da solicitação indicarem a finalidade de tratamento de dados pessoais, pelo solicitante ou outrem, de forma contrária aos objetivos, fundamentos e princípios da Lei n. 13.709, de 14 de agosto de 2018.
144.3 Os itens 144 a 144.2 deste Provimento incidem na expedição de certidões e no fornecimento de informações em que a anonimização dos dados pessoais for reversível, observados os critérios técnicos previstos no art. 12, e seus parágrafos, da Lei n. 13.709, de 14 de agosto de 2018.
144.4 As certidões, informações e interoperabilidade de dados pessoais com o Poder Público, nas hipóteses previstas na Lei n. 13.709, de 14 de agosto de 2018, e na legislação e normas específicas, não se sujeitam ao disposto nos itens 144 a 144.3 deste Provimento.
145. Será exigida a identificação do solicitante para as informações, por via eletrônica, que abranjam dados pessoais, salvo se a solicitação for realizada por responsável pela unidade, ou seu preposto, na prestação do serviço público delegado.
146. A retificação de dado pessoal constante em registro e em ato notarial deverá observar o procedimento, extrajudicial ou judicial, previsto na legislação ou em norma específica.
147. Os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro não se equiparam a fornecedores de serviços ou produtos para efeito de portabilidade de dados pessoais, mediante solicitação por seus titulares, prevista no inciso V do art. 18 da Lei n. 13.709, de 14 de agosto de 2018.
148. A inutilização e eliminação de documentos em conformidade com a Tabela de Temporalidade de Documentos prevista no Provimento nº 50/2015, da Corregedoria Geral da Justiça, será promovida de forma a impedir a identificação dos dados pessoais neles contidos.
148.1 A inutilização e eliminação de documentos não afasta os deveres previstos na Lei n. 13.709, de 14 de agosto de 2018, em relação aos dados pessoais que remanescerem em índices, classificadores, indicadores, banco de dados, arquivos de segurança ou qualquer outro modo de conservação adotado na unidade dos serviços extrajudiciais de notas e de registro.
149. É vedado aos responsáveis pelas delegações de notas e de registro, aos seus prepostos e prestadores de serviço terceirizados, ou qualquer outra pessoa que deles tenha conhecimento em razão do serviço, transferir ou compartilhar com entidades privadas dados a que tenham acesso, salvo mediante autorização legal ou normativa.
149.1 As transferências, ou compartilhamentos, de dados pessoais para as Centrais de Serviços Eletrônicos Compartilhados, incluídos os relativos aos sistemas de registro eletrônico sob a sua responsabilidade, serão promovidas conforme os limites fixados na legislação e normas específicas.
150. Para o recebimento de informações que contenham dados pessoais, previstas nas Normas de Serviço da Corregedoria Geral da Justiça, as Centrais de Serviços Eletrônicos Compartilhados deverão declarar que cumprem, de forma integral, os requisitos, objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei n. 13.709, de 14 de agosto de 2018.
150.1 A declaração poderá ser encaminhada aos responsáveis pelas delegações de notas e de registro por meio escrito, eletrônico, ou outro que permita a confirmação do envio.
150.2 Iguais declarações deverão ser encaminhadas pelas Centrais de Serviços Eletrônicos Compartilhados para a Corregedoria Geral da Justiça.
151. As Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança com dados pessoais, em 24 horas contados do seu conhecimento, aos responsáveis pelas delegações de notas e de registro de que os receberam e à Corregedoria Geral da Justiça, com esclarecimento sobre os planos de resposta.
151.1 O plano de resposta conterá, no mínimo, a indicação da natureza do incidente, das suas causas, das providências adotadas para a mitigação de novos riscos, dos impactos causados e das medidas adotadas para a redução de possíveis danos aos titulares dos dados pessoais”.
Art. 2º – Este Provimento entrará em vigor em conjunto com a Lei n. 13.709, de 14 de agosto de 2018, ficando revogadas as disposições em contrário.
São Paulo, 3 de setembro de 2020.
RICARDO MAIR ANAFE
Corregedor Geral da Justiça
PARECER
PODER JUDICIÁRIO TRIBUNAL DE JUSTIÇA DO ESTADO DE SÃO PAULO
CORREGEDORIA GERAL DA JUSTIÇA
Processo n.º 2019/109323 – Dicoge 5.1
(Parecer n.º 377/2020-E)
SERVIÇOS EXTRAJUDICAIS DE NOTAS E DE REGISTRO – LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 (LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS – LGPD) – Edição de Provimento regulamentando a atuação dos responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro do Estado de São Paulo.
Excelentíssimo Senhor Corregedor Geral da Justiça:
1. Trata-se de procedimento instaurado para o acompanhamento das medidas promovidas pelo Grupo de Estudos constituído pela Corregedoria Geral da Justiça e pela Escola Paulista da Magistratura em razão da edição da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
Foram solicitadas as manifestações do Instituto de Estudos de Protesto de Títulos do Brasil – Seção São Paulo, da Associação dos Registradores Imobiliários de São Paulo – ARISP, do Instituto de Registro de Imóveis do Brasil – IRIB, da Associação dos Notários e Registradores do Estado de São Paulo – ANOREG/SP, da Associação dos Registradores de Pessoas Naturais do Estado de São Paulo – ARPEN/SP, e do Colégio Notarial do Brasil – Seção São Paulo.
Opino.
2. Com a edição da Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), foi constituído pelos Excelentíssimos Desembargadores Corregedor Geral da Justiça e Diretor da Escola Paulista da Magistratura grupo conjunto de estudos, integrado por magistrados e servidores, visando a oportuna apresentação de sugestões para a regulamentação da matéria em seus diversos campos de aplicação.
Os trabalhos desenvolvidos pelo grupo conjunto de estudos abrangeram a realização de reuniões em que foram analisados aspectos teóricos da Lei Geral de Proteção de Dados Pessoais – LGPD e da sua aplicação nas atividades da Corregedoria Geral da Justiça e do Tribunal de Justiça.
Posteriormente, pela Portaria nº 9.885/2020, a Egrégia Presidência constituiu Comitê Gestor de Proteção de Dados – CGPD, também integrado por magistrados e servidores, dedicado à elaboração e proposição de medidas para que as atividades do Tribunal de Justiça do Estado de São Paulo sejam desenvolvidas em consonância com a Lei Geral de Proteção de Dados Pessoais – LGPD.
A par dessas atividades, os magistrados e servidores que representam a Corregedoria Geral da Justiça no Comitê Gestor de Proteção de Dados – CGPD, nomeados por indicação de Vossa Excelência, promoveram estudos e atividades específicas para a apresentação de propostas visando a aplicação da Lei Geral de Proteção de Dados Pessoais – LGPD nas atividades da Corregedoria Geral da Justiça.
O referido Comitê é integrado, por indicação do Corregedor Geral da Justiça, pelo Excelentíssimo Desembargador Rubens Rihl Pires Correa que atuou de forma a organizar e orientar as atividades desenvolvidas pelos Senhores Servidores e pelos Juízes Assessores da Corregedoria, transmitindo valorosos ensinamentos teóricos decorrentes de seus estudos sobre a Lei Geral de Proteção de Dados Pessoais – LGPD e à adoção de medidas concretas para a aplicação da Lei que terá vigência próxima.
Por sua vez, a Associação dos Registradores Imobiliários de São Paulo – ARISP (fl. 166/169), o Instituto de Registro de Imóveis do Brasil – IRIB (fl. 203/280), a Associação dos Registradores de Pessoas Naturais do Estado de São Paulo – ARPEN/SP (fl. 195/197) e o Colégio Notarial do Brasil – Seção São Paulo (fls. 175/189), que são entidades representativas dos senhores notários e registradores do Estado de São Paulo, apresentaram manifestações que foram instruídas com aprofundados estudos teóricos e propostas de normatização.
Essas atividades e manifestações subsidiaram a elaboração de Provimento, ora submetido à elevada análise de Vossa Excelência, para regulamentar as atividades dos responsáveis pelas unidades de notas e de registro do Estado de São Paulo na prestação do serviço público delegado.
3. A minuta de provimento que acompanha este parecer contém normas gerais que se destinam a orientar a atuação dos responsáveis pelas delegações de notas e de registro na aplicação da Lei Geral de Proteção de Dados Pessoais.
Para essa finalidade, foi adotada, sempre que possível, a estrutura da Lei Geral de Proteção de Dados Pessoais – LGPD.
Além disso, optou-se por reproduzir parte dos dispositivos da Lei Geral de Proteção de Dados Pessoais – LGPD, com acréscimos de normas sobre a as medidas concretas que deverão ser adotadas pelos senhores responsáveis pela prestação dos serviços extrajudiciais de notas e de registro.
Desse modo, o provimento inicia dispondo que os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro deverão observar, no tratamento dos dados pessoais, os objetivos, fundamentos e princípios previstos nos arts. 1º, 2º e 6º da Lei nº 13.709/2018, em todas as operações de tratamento que realizarem (itens 127 e 128).
A seguir, o provimento esclarece que os responsáveis pelas delegações dos serviços extrajudiciais, na qualidade de titulares, interventores ou interinos, são considerados controladores e, portanto, responsáveis pelas decisões referentes ao tratamento dos dados pessoais.
Além disso, o provimento define as diferentes formas de tratamento que serão dadas aos atos inerentes ao exercício dos ofícios extrajudiciais de notas e de registro e aos atos decorrentes do gerenciamento administrativo e financeiro das delegações exercidas por particulares mediante outorga pelo Poder Público.
Essa distinção foi adotada porque os serviços extrajudiciais de notas e de registro, embora exercidos em caráter privado, recebem o tratamento dispensado às pessoas jurídicas de direito público pela Lei Geral de Proteção de Dados Pessoais – LGPD, mas o gerenciamento administrativo e financeiro é responsabilidade, inclusive quanto ao custeio, dos titulares das delegações.
E a equiparação às pessoas jurídicas de direito público, quanto aos atos inerentes ao exercício dos ofícios extrajudiciais de notas e de registro, produz efeitos específicos, como a dispensa do consentimento do titular dos dados pessoais para as práticas dos atos típicos de notas e de registro.
Além disso, foi considerado que para a prestação do serviço público delegado os notários e registradores contam com prepostos, membros dos seus quadros de funcionários, e com prestadores de serviços terceirizados que podem atuar em funções de tratamento de dados, em especial no que se refere aos prestadores dos serviços de informática.
Foram previstos, ainda, requisitos mínimos a serem observados no controle do fluxo de dados pessoais, desde a sua coleta até o eventual compartilhamento, com previsão para que sejam adotadas medidas de segurança, técnicas e administrativas, que permitam a proteção dos dados contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
A observação desses requisitos de controle, ademais, contribuirá para a elaboração de relatórios de impacto e para a minoração de eventuais danos decorrentes de acessos ou comunicações não autorizadas.
Por seu turno, em razão dos diferentes rendimentos e estruturas das unidades dos serviços extrajudiciais, foi prevista a possibilidade de nomeação de encarregado não integrante do quadro de prepostos da serventia, com remuneração promovida, ou subsidiada, pelas entidades representativas de classe, podendo o encarregado atuar em mais de uma delegação.
O fornecimento de informações e a expedição de certidões foram tratados em conformidade com o fundamento legal utilizado pelo autor da solicitação, com esclarecimento sobre os efeitos das informações prestadas aos titulares dos dados com fundamento na Lei Geral de Proteção de Dados Pessoais – LGPD.
Também foram diferenciados os procedimentos de correção dos dados pessoais solicitados por força da Lei Geral de Proteção de Dados Pessoais – LGDP dos procedimentos de retificação de registros e atos notariais regulamentados em legislação específica.
Foi prevista, em complementação, a obrigação dos responsáveis pelas delegações dos serviços extrajudiciais e de registro comunicarem ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça os incidentes envolvendo dados pessoais e as medidas adotadas para a apuração das suas causas, a minoração dos seus efeitos e o controle de novos acessos.
Cuidou-se, mais, de autorizar o atendimento de requisitos destinados a conferir maior segurança para as informações e certidões solicitadas por meio eletrônico, das restritas aos conteúdos de índices e indicadores formados com dados pessoais, e das solicitadas em bloco, para reduzir o risco de uso contrário aos objetivos e princípios da Lei Geral de Proteção de Dados Pessoais – LGPD.
Foram regulamentados aspectos do compartilhamento de dados com as Centrais de Serviços Eletrônicos Compartilhados que, apesar de previsões legais e normativas que possibilitam, em hipóteses específicas, o acesso a dados pessoais mediante compartilhamento, não são equiparadas a pessoas jurídicas de direito público para efeito de sujeição à Lei Geral de Dados Pessoais – LGPD.
Contudo, diante dos compartilhamentos previstos em normas específicas, como a legislação sobre o SREI e a ONR, os decretos regulamentadores do SIRC e do SINTER, e as normas da Corregedoria Nacional de Justiça e da Corregedoria Geral da Justiça, foi previsto que as Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança com dados pessoais, em 24 horas contados do seu conhecimento, aos responsáveis pelas delegações de notas e de registro de que os receberam e à Corregedoria Geral da Justiça, com esclarecimento quanto aos planos de resposta.
4. Por fim, esclarecemos que as normas relativas à Lei Geral de Proteção de Dados Pessoais – LGPD serão objeto de constante atualização e aperfeiçoamento, para adequação às novas diretrizes definidas pela Autoridade Nacional de Proteção de Dados – ANPD e às demais interpretações que prevalecerem para a sua aplicação. Desse modo, e por não ser possível estabelecer de forma taxativa as hipóteses em que a Lei Geral de Proteção de Dados Pessoais – LGPD repercutirá na atuação dos senhores notários e registradores, a edição de eventuais normas direcionadas às diferentes especialidades dos serviços extrajudiciais será objeto de estudos a serem oportunamente realizados.
5. Com essas considerações, apresentamos à elevada consideração de Vossa Excelência a anexa minuta de Provimento.
Sub censura.
São Paulo, 2 de setembro de 2020.
José Marcelo Tossi Silva
Juiz Assessor da Corregedoria
Assinado Digitalmente
Josué Modesto Passos
Juízes Assessores da Corregedoria
Assinado Digitalmente
CONCLUSÃO
Em 3 de setembro de 2020, conclusos ao Excelentíssimo Senhor Desembargador RICARDO ANAFE, DD. Corregedor Geral da Justiça do Estado de São Paulo.
Vistos.
Aprovo o parecer dos MM. Juízes Assessores da Corregedoria, por seus fundamentos que adoto, e edito o anexo Provimento que deverá ser publicado no DJe em três dias alternados, junto com o parecer e esta decisão.
Expeça-se comunicado no Portal do Extrajudicial.
Oficie-se às entidades representativas de classe dos senhores notários e registradores, com cópia do provimento e com agradecimento pelas manifestações apresentadas durante os estudos para a elaboração da norma.
Por fim, oficie-se ao Excelentíssimo Desembargador Rubens Rihl Pires Correa, que integra o Comitê Gestor de Proteção de Dados – CGPD, com agradecimento pela importante contribuição nos estudos voltados à adoção de medidas, pela Corregedoria Geral da Justiça, para a atuação em conformidade com a Lei Geral de Proteção de Dados Pessoais – LGPD.
São Paulo, 3 de setembro de 2020.
RICARDO ANAFE
Corregedor Geral da Justiça
Assinado Digitalmente
Processo n.º 2019/109323 – Dicoge 5.1 – Ðνάφη