Cartórios já estão obrigados a cumprir novas regras de proteção de dados

As serventias extrajudiciais de todo o País estão obrigadas, desde 20 de fevereiro, a estarem adequadas à Lei 13.709/18, a Lei Geral de Proteção de Dados Pessoais (LGPD). O Provimento nº 134/2022 da Corregedoria Nacional de Justiça (CNJ) definiu procedimentos técnicos e estabeleceu quais medidas devem ser adotadas pelos cartórios.

Foram concedidos 180 dias para a adequação, prazo expirado no mês passado. Os que ainda não cumpriram as regras estabelecidas, estão sujeitos a diversos tipos de sanções, e podem ser graves, como prevê o artigo 52 da LGPD: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento no último exercício até R$ 50 milhões por infração; multa diária, publicização da infração após devidamente apurada e confirmada a sua ocorrência até a possibilidade de suspensão do exercício da atividade, proibição parcial ou total das atividades relacionadas a tratamento de dados.

Lidar com dados é a essência da atividade notarial, que vai desde o nascimento, casamento, divórcio à morte das pessoas (Cartórios de Registro Civil); de patrimônio ou questões de Estado (Cartório de Registro de Imóveis, Cartório de Registro de Títulos e Documentos ou Cartório de Notas). Também chamado de Tabelionato de Notas, o Cartório de Notas é um dos mais conhecidos e procurados para autenticação de documentos, o reconhecimento de firmas, preparação de procurações públicas, lavratura de escrituras, testamentos, inventários e outros documentos. Ou seja, em algum momento da vida, todas as pessoas passarão por algum cartório, o que já indica a quantidade de dados sensíveis que as serventias possuem.

Estar adequado à LGPD não impede eventual violação de dados, mas fará toda a diferença quando verificado que tudo o que estava ao alcance para salvaguardá-los. Tanto que o parágrafo 1º do artigo 52 da LGPD diz que as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados parâmetros e critérios, como a boa-fé do infrator.

Implementar a LGPD não é apenas proteger documentos e possuir algumas medidas técnicas de segurança, explica Nilton Souza, CBO da BluePex® Cybersecurity e especialista no tema. Estes são passos importantes, mas a adequação vai muito além e exige uma série de outras medidas envolvendo processos/procedimentos do setor jurídico, além de tecnologia. As exigências também estão detalhadas no provimento do CNJ.

“Algo importante a enfatizar é que a busca pela adequação à LGPD acarretará em inúmeros benefícios decorrentes da mitigação de riscos graves envolvendo segurança da informação. Estes sérios eventos são algo que, hoje, o Fórum Econômico Mundial classifica como Cyberpandemia e que, segundo o vice-presidente do Fórum, Nicholas Davis, se espalhará mais rápido e mais longe que um vírus biológico”, destaca Nilton.

Todos estes alertas globais reforçam a necessidade do cumprimento de normas. No caso dos cartórios, tanto a LGPD (artigos 46 a 51), como o Provimento (artigo 6), estabelecem que o responsável pela serventia extrajudicial deverá:

Art. 6º Na implementação dos procedimentos de tratamento de dados, o responsável pela serventia extrajudicial deverá verificar o porte da sua serventia e classificá-la, de acordo com o Provimento nº 74, de 31 de julho de 2018, da Corregedoria Nacional de Justiça (Classe I, II ou III), e observadas as regulamentações da Autoridade Nacional de Proteção de Dados (ANPD), fazer a adequação à legislação de proteção de dados conforme o volume e a natureza dos dados tratados, e de forma proporcional à sua capacidade econômica e financeira para aporte e custeio de medidas técnicas e organizacionais, adotar ao menos as seguintes providências:

I – nomear encarregado pela proteção de dados;

II – mapear as atividades de tratamento e realizar seu registro;

III – elaborar relatório de impacto sobre suas atividades, na medida em que o risco das atividades o faça necessário;

IV – adotar medidas de transparência aos usuários sobre o tratamento de dados pessoais;

V – definir e implementar Política de Segurança da Informação;

VI – definir e implementar Política Interna de Privacidade e Proteção de Dados;

VII – criar procedimentos internos eficazes, gratuitos, e de fácil acesso para atendimento aos direitos dos titulares;

VIII – zelar para que terceiros contratados estejam em conformidade com a LGPD, questionando-os sobre sua adequação e revisando cláusulas de contratação para que incluam previsões sobre proteção de dados pessoais; e

IX – treinar e capacitar os prepostos.

O texto incluiu ainda o chamado “gap assessment” – avaliação das vulnerabilidades surgidos a partir do mapeamento. A análise de lacunas que está diretamente relacionada à proteção de dados. A comunicação dos incidentes de segurança é outro ponto importante previsto no Provimento 134/2022. O plano de resposta a incidentes de segurança envolvendo dados pessoais deverá ocorrer, por partes dos responsáveis pelas serventias extrajudiciais, à ANPD, ao juiz corregedor permanente e à Corregedoria Geral da Justiça, no prazo máximo de 48 horas úteis, contados a partir do seu conhecimento.