O presente artigo tem o objetivo de ajudar os oficiais de Registro Civil na empreitada da adaptação das serventias à LGPD, que foi realizada juntamente com a Arpen/SP e o escritório Sampaio Ferraz Advogados.

Nesse diapasão, temos de lembrar que, apesar da grande quantidade de ações e trabalho necessário, a atuação registral sempre esteve pautada pela proteção dos dados dos cidadãos, sendo esse o objetivo da nem tão nova LGPD.

Os registradores são controladores de terabytes de dados, porém, diferentemente das empresas privadas, sempre houve regulamentação para sua coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, o que, em suma, é considerado tratamento nos termos do art. 5º, inciso X, da Lei 13.709/2018.

Assim, tivemos de passar às considerações necessárias para a adaptação, sabedores que já integramos um cenário estabelecido com regramentos centenários e atualizados, pelo que partimos para um raciocínio focado na inovação, que nos pareceu a melhor oportunidade trazida pela Lei.

Simplificando nosso processo, utilizamos a metodologia 5W2H, que servirá de base para o relato.

Caso o leitor já conheça a metodologia, poderá ir direto aos elementos que a compõem, caso contrário, explica-se brevemente no que consiste.

Metodologia 5W2H

A nomenclatura 5W2H tem origem no inglês, e significa um conjunto de 7 perguntas que se realiza para iniciar um projeto, facilitando a atuação do gestor e da equipe, além de dinamizar o entendimento e criar unidade concisa para a realização das ações.

Recomenda-se o uso de frases simples, idealmente apenas uma por questão, assim como o ordenamento delas, de modo que indiquem a importância de cada tópico de acordo com sua relevância, ou seja, declinando a primeira como a mais importante e a última como a menos.

As perguntas são:

O que? (What?)

O objetivo nesse quesito é responder o que deve ser feito, podendo incluir elementos secundários ao principal.

Onde? (Where?)

O objetivo nesse quesito é responder onde serão realizadas as ações.

Quando? (When?)

O objetivo nesse quesito é responder quando serão realizadas as ações.

Quem? (Who?)

O objetivo nesse quesito é responder quem realizará as ações.

Por que? (Why?)

O objetivo nesse quesito é responder a razão de se realizar as ações.

Como? (How?)

O objetivo nesse quesito é responder como serão realizadas as ações.

Por quanto? (How much?)

O objetivo nesse quesito é responder o custo das ações.

Então, sem alongar o prólogo e partindo ao mais relevante, vamos às respostas e considerações que fizemos durante nosso processo de adaptação.

O que? (What?)

Certamente a resposta fácil é: realizar a adaptação da Serventia em conformidade com a LGPD e as normas de serviço.

Daí decorrem tantas outras ações, tais como realizar o mapeamento de cada serviço ou de cada conjunto de tratamentos realizados no cartório, validar o mapeamento, criar um cronograma de atualização constante dos mapeamentos e de inclusão de novos serviços, algo que por muitos anos inexistiu nos cartórios, mas tem se tornado comum e com a criação dos Ofícios da Cidadania, é cada vez mais constante.

Realizar reuniões com as pessoas-chave do projeto para manter a harmonia e integração no andamento do projeto, bem como realizar correções no rumo de acordo com os feedbacks e pensamentos.

Elaborar documentos obrigatórios, ajustar as informações ao público tanto externo quanto interno, colher a ciência dos prepostos no que for necessário.

Alterar os contratos de trabalho e de prestação de serviço, talvez criando uma padronização ou um banco de cláusulas.

Publicar no site, mídias sociais e outros meios de comunicação que forem julgados adequados os tratamentos realizados e a política de privacidade, disponibilizando o fluxo de dados a todos os interessados, com facilitação de acesso.

Nomear o DPO, alterar ou criar seu contrato de trabalho, considerar remuneração específica pela função, evitando acúmulo de funções e passivo trabalhista.

Revisar os bancos de dados, usuários, backups, acessos, restrições de acesso para que se adequem às políticas e documentos criados.

Revisar os arquivos físicos, acessos e restrições para que também fiquem adequados.

Novamente se reunir com as pessoas-chave e até mesmo com alguns prepostos capazes de dar opinião sobre as consequências práticas das medidas adotadas, revisando o necessário para minimizar os impactos nas rotinas e no tempo de atendimento.

Criar um plano de treinamento contínuo, com reciclagens anuais e formalizar adequadamente sua realização. Ainda não definimos a questão, mas provavelmente faremos algum mês voltado para a conscientização da proteção de dados, nos moldes de um outubro rosa, por exemplo.

Onde? (Where?)

Apesar da aparente obviedade na resposta do quesito, pois as ações se darão na Serventia, houve o desafio de se pensar sobre ser esse o único local em que as ações se dariam, tendo em vista que a Oficial como controladora é responsável por toda a cadeia de tratamento, assim passariam a existir locais diversos da Serventia em que o tratamento ocorreria por consequência de ações da Oficial, revelando a necessidade de apuração e posterior decisão sobre outras localidades pertinentes.

Exemplificando: os locais onde são armazenados os backups, as empresas de software que eventualmente realizam cópias das bases de dados para realizar consultas ou restaurações a pedido da oficial, e, em razão da pandemia, os prepostos que passaram a realizar teletrabalho e os casos em que a oficial trabalha remotamente ou leva algum serviço para sua residência ou quando são realizados atos em diligência.

Quando? (When?)

Inicialmente a resposta considerada correta seria até 14 de agosto de 2020, em razão das repercussões da COVID-19, as sanções foram postergadas até 1º de agosto de 2021.

De uma forma ou de outra já ultrapassamos os limites legais, portanto qualquer ocorrência no tratamento de dados tem potencial danoso incrementado pela falta omissiva; não se quer criar ansiedade neste tópico, porém é necessário que se atente, com o zelo habitual dos registradores, para o cumprimento da maneira mais rápida possível das etapas de adequação, minimizando efeitos danosos decorrentes de um tratamento inadequado de dados.

Em contrapartida, ainda inexistem situações na Agência Nacional de Proteção de Dados que sejam diretamente relacionadas às Serventias e o CNJ trabalha na edição de ato normativo específico para a área; também são poucas as decisões de Corregedorias ou Tribunais relativas à aplicação da LGPD nos Registros Públicos.

No tópico, também se aproveitou para determinar a periodicidade das revisões necessárias e decidimos pela revisão anual, que será focada nos documentos obrigatórios e nas ações percebidas como relacionadas à LGPD na Serventia. Quanto aos novos atos que sejam autorizados e atualizações normativas, decidimos que devem ser incluídas na documentação pertinente de forma imediata, sempre que for publicado ato do Poder Público.

Quem? (Who?)

A escolha dos membros da equipe que integrarão a adequação é de fundamental importância. Recomendamos a participação de todos os substitutos, pois, muitas vezes, exercerão função semelhante à do Controlador e é imprescindível que estejam alinhados ao que for definido no projeto e interpretado como correto, evitando desentendimentos e situações em que os funcionários e os cidadãos tenham informações divergentes dentro da Serventia.

Além desses, líderes de setor, formais e informais também devem receber atenção e orientação diferenciada para que consigam multiplicar o conhecimento e causem maior adesão à mudança de paradigma que deve ocorrer; afinal, por menor que seja a mudança de caráter prático, deve haver uma mudança de mentalidade.

Aqui também ocorreu a definição do DPO (encarregado), figura que deve ser escolhida para intermediar as solicitações dos titulares ao Controlador e cuidar da manutenção da adequação à LGPD e novidades dela oriundas, recomendamos alguém do quadro, com alguma experiência na área de tecnologia e com conhecimento dos processos de trabalho, para que sua atuação e opinião sejam pautadas pela técnica específica dos Registros Públicos, evitando paranoias e excessos. A autorização para contratação em grupo de um DPO, ainda não foi aplicada, mas é uma possibilidade que merece estudo.

Por que? (Why?)

Outra questão com resposta óbvia, o cumprimento de obrigação legal é uma motivação mais que suficiente.

Aproveitamos para incluir o foco em inovação, afinal uma mudança é sempre uma oportunidade de melhorar e procuramos as oportunidades e necessidades latentes tangentes ao que seria avaliado no escopo da LGPD.

Assim, alteramos as regras de acesso físico ao arquivo de livros e fichas, evitando a possibilidade de parada do elevador no andar em que estão tais itens; mudamos informações constantes nas certidões de editais enviados aos demais cartórios, minimizando os dados lá constantes; eliminamos minutas que eram arquivadas após a leitura e nas quais constavam as correções; alteramos a recepção de e-mails para evitar a impossibilidade de identificação do preposto que os responde; reiteramos o cuidado na emissão de certidão de testamentos; buscamos elementos normativos e legislativos para embasar a prática de atos ou a exigência de documentos, restando até o presente momento dúvida sobre a abertura de firma e sua obrigatoriedade.

Como? (How?)

Através de ações realizadas dentro da Serventia, diretamente realizadas pela Oficial ou pelo Encarregado, assim como algumas poucas ações pela equipe de multiplicadores (pessoas-chave) criada dentro da Serventia e por treinamentos desenvolvidos e disponibilizados por terceiros contratados.

O enfoque escolhido foi o de inovação, então todo mapeamento, elaboração de documentos, treinamentos e mudança de cultura foi voltado para o que poderia melhorar no cenário da obrigação.

Por quanto? (How much?)

Em nosso caso, a parceria com a Arpen/SP trouxe a vantagem da divisão do custo da consultoria do escritório, que totalizou R$ 30.000,00 (trinta mil reais), atribuído pagamento metade a cada parte, cartório e Associação.

Aproveitando que havíamos planejado nosso orçamento com valor para o pagamento integral da consultoria, e em alinhamento com o pensamento de aproveitar a necessidade de adequação como oportunidade de melhoria, contratamos uma segunda consultoria, ao custo de R$ 7.000,00 (sete mil reais), que está desenhando os fluxos dos processos, com enfoque nos treinamentos de novos funcionários e na facilitação de verificação pelos gestores do cumprimento das etapas. Enfim, a proposta de treinamento básica do escritório também foi ampliada, de uma aula geral para todos com certificado de participação, para quatro aulas, setorizadas por Registro Civil, Firmas e Autenticações, Notas e Administração, com prova e certificado de conclusão, ao custo de R$ 12.000,00 (doze mil reais), sendo que as aulas ficarão gravadas e poderão ser continuamente utilizadas, assim como a certificação por prova que também será mantida.

Portanto, ao todo, os custos externos totalizaram R$ 34.000,00 (trinta e quatro mil reais).

Quantidade de Horas por Atividade para Adaptação Atividade Horas Pessoas Envolvidas Observação Mapeamento 60 5 Maior volume de tempo entre as atividades e a base para tudo. Conferência e Validação dos Documentos 20 1   Elaboração de Documentos 40 Escritório Estimado, pois foi realizado por terceiro contratado Reuniões com a Equipe 8 2 a 5   Reuniões com Terceiros 12 1   Treinamentos 6 Escritório As aulas tem duração aproximada de 90 minutos, a elaboração deve ter demorado o tempo estimado (6 horas) Elaboração de Relatórios 16 1

Documentos Obrigatórios e Importantes Nome Nível Política de Segurança da Informação Obrigatório Contrato Nomeação - Encarregado (DPO) Obrigatório Política de Incidentes Obrigatório Termo de Orientações Externo (Cartaz Público) Obrigatório Termo de Orientações Interno (Cartaz Funcionários) Importante Guia de Direito dos Titulares Importante Política de Manuseio Importante

DPO (encarregado) 

• Quem pode ser?

Qualquer pessoa, inclusive o Oficial, porém não se recomenda o acúmulo das atribuições de Controlador e Encarregado. Idealmente deve ser contratado alguém com a função ou que dentro do quadro de funcionários existente receba a incumbência através de contrato próprio que faça a nomeação. 

• O que faz?

O intermédio entre os titulares dos dados e o controlador, além de cuidar das práticas relacionadas à LGPD e constantemente avaliar melhorias e manter atualizados os documentos obrigatórios. 

• Ocupação integral ou parcial?

No momento a ocupação parcial é a mais adequada, não havendo demanda suficiente para uma rotina integral somente para as atividades de encarregado, o que aumenta a chance de sucesso de uma contratação coletiva, desde que contratado um profissional ou consultoria com especialização no nicho de cartórios. 

• Treinamento e documentação

Não há necessidade de qualquer treinamento para o desempenho da função, a nomeação a ser realizada também não criou qualquer outra exigência que não seja um documento formalizador entre o controlador e o nomeado, mas se considera uma boa praxe que os oficiais proporcionem algum treinamento, dentre diversas opções disponíveis, desde cursos sobre a LGPD, até formações específicas para DPO, a mais destacada é a da EXIN (https://www.exin.com/career-path/exin-certified-data-protection-officer?language_content_entity=en), a base da certificação é a legislação europeia, porém é sabido que ela foi o cerne da LGPD; assim, quem estiver certificado por tal entidade deverá ser prestigiado pelo currículo.

 Dicas

1. Apesar de se referir a um enquadramento inadequado para os registradores, o check-list proposto pela ANPD parece um norte muito bom para que se tenha convicção da correção das ações tomadas, além de possibilitar uma precisão maior quanto às decisões sobre quais ações devem ser tomadas e ainda servir de prova do realizado. A título de racionalização, também se entende que há alta probabilidade de ser adotado documento semelhante caso o TJ, CNJ ou a ANPD decidam por uma publicação nesse sentido voltada para as serventias extrajudiciais.

https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-guia-de-seguranca-para-agentes-de-tratamento-de-pequeno-porte

2. Ao revisar os contratos para aditamento referente à LGPD pode ser proveitoso alterar seu índice de correção para IPCA, pois é o mesmo que corrige a tabela de emolumentos.

Enfim, para relaxar:

Pode parecer contraditório que se proponha relaxamento em uma situação que trás tanta responsabilidade e trabalho, mas seguem notícias que demonstram o quão impossível é a realização da tarefa de controle de dados com perfeição, independente da quantidade de recursos humanos, tecnológicos e financeiros disponíveis, assim, o melhor é fazer com zelo e qualidade o máximo dentro das condições possíveis e se sentir apto a responder com tranquilidade por fatos supervenientes, caso ocorram.

Ataque ao TSE - eleições 2020

https://noticias.uol.com.br/eleicoes/2020/11/19/ataque-hacker-ao-tse-tambem-acessou-dados-de-2020-do-tribunal.htm

https://g1.globo.com/politica/eleicoes/2020/noticia/2020/11/28/policia-federal-e-policia-portuguesa-prendem-hacker-suspeito-de-invadir-sistemas-do-tse.ghtml

https://www.tse.jus.br/imprensa/noticias-tse/2020/Novembro/tentativas-de-ataques-de-hackers-ao-sistema-do-tse-nao-afetaram-resultados-das-eleicoes-afirma-barroso

Maior vazamento de dados no Brasil até hoje - sem fonte conhecida dos dados…

https://tecnoblog.net/404838/exclusivo-vazamento-que-expos-220-milhoes-de-brasileiros-e-pior-do-que-se-pensava/

https://www.serasa.com.br/premium/darkweb/?gclid=Cj0KCQiAvbiBBhD-ARIsAGM48bz8kqg1LBiPTei5NckIrDY-x6JQLp1JL-IbBhf_RvnJi0FTWFY2c40aAsCeEALw_wcB

https://www.uol.com.br/tilt/noticias/redacao/2021/01/28/vazamento-expoe-dados-de-220-mi-de-brasileiros-origem-pode-ser-cruzada.htm

https://g1.globo.com/economia/tecnologia/noticia/2021/01/28/procon-sp-notifica-serasa-pedindo-explicacoes-sobre-vazamento-de-dados.ghtml

Até o Google tem problemas

https://brasil.elpais.com/tecnologia/2020-12-14/google-fica-temporariamente-fora-do-ar-no-mundo-todo.html

https://tecnoblog.net/meiobit/173744/google-offline-por-5-minutos-e-afetando-40-por-cento-do-trafego-web/

https://valorinveste.globo.com/mercados/brasil-e-politica/noticia/2020/12/14/servicos-do-google-como-gmail-e-youtube-ficam-fora-do-ar-nesta-segunda.ghtml

TJRS atacado através de ransomware

https://g1.globo.com/rs/rio-grande-do-sul/noticia/2021/04/29/tj-rs-diz-que-sistema-de-informatica-do-tribunal-foi-alvo-de-ataque-hacker-e-muito-grave.ghtml

Vazamento de dados do PIX

https://www.tecmundo.com.br/seguranca/226082-395-mil-chaves-pix-vazadas-confirma-banco-central.htm#:~:text=O%20Banco%20Central%20confirmou%20nessa,(Banese)%2C%20foram%20vazadas.&text=Ao%20que%20tudo%20indica%2C%20os,de%20Contas%20Transacionais%20(Dict).

*Maria Elena Castagnoli Costa Neves é Oficial de Registro Civil das Pessoas Naturais e Anexo de Notas do 22º Subdistrito - Tucuruvi, da comarca da Capital.