1. Introdução

Esta serventia - Registro Civil e Tabelião de Notas da Comarca e Município de Cajamar -  inscreveu-se para participar do edital publicado pela Associação de Registradores de Pessoas Naturais do Estado de São Paulo - ARPENSP (“Edital LGPD”), com o objetivo de tomar as providências necessárias para implementar as obrigações trazidas pela Lei Geral de Proteção de Dados (“LGPD”) às suas atividades e, com isso, propiciar a que outras serventias pudessem se valer dessa experiência e encontrar subsídios para igualmente se adequaram à LGPD.

Tendo sido contemplados no edital, tivemos acesso à assessoria especializada na implementação da LGPD fornecida pelo escritório Sampaio Ferraz Advogados, que realizou as etapas de mapeamento, diagnóstico e orientação na implementação do programa de governança, que está em fase de finalização.

Com o objetivo de transmitir a experiência, assim como auxiliar os demais cartórios a se adequarem à LGPD, buscaremos demonstrar como vem ocorrendo o nosso processo de adequação e implementação dos preceitos da lei, apresentando as etapas percorridas, os documentos elaborados e as percepções do Cartório.

Os serviços foram planejados, de maneira sintética, para serem executados observando as seguintes fases:

a) Diagnóstico e planejamento;

• mapeamento e registro das operações de tratamento de dados

• atribuição das bases legais

• avaliação da maturidade de governança em privacidade e proteção de dados

• elaboração de relatório visando a identificação das desconformidades e plano de ação para correções

b) Desenvolvimento do Programa de Governança em Proteção de Dados; 

c) Relatório Final e Treinamento (em andamento).

2.  Etapas de Execução da Adequação à LGPD

2.1  Fase 1 – Diagnóstico e planejamento

2.1.1  Mapeamento e registro das atividades de tratamento de dados com atribuição das bases legais

Inicialmente, o escritório trouxe os conceitos fundamentais sobre dados, proteção de dados e sobre a Lei Geral de Proteção de Dados que deveriam ser conhecidos pelo Cartório, explanou sobre o Provimento CGJ/SP nº 23/2020 e, assim, nos apresentou o que a Corregedoria Geral de Justiça do Estado de São Paulo espera quanto à adequação dos Cartórios. Nesta oportunidade, foi esclarecido que poderia haver ajustes no Provimento em razão de ainda não ter sido concluída a regulamentação da LGPD em nível nacional pelo Conselho Nacional de Justiça. 

Neste primeiro contato, também foi explicado como seriam as três fases do plano de trabalho, tendo sido informado que o mapeamento das atividades - primeira fase do projeto - , seria realizada por meio de preenchimento de formulário pela equipe do Cartório, o qual deveria seguir um manual de instrução e orientação elaborado pelos advogados, que posteriormente indicariam as observações quanto à necessidade de adequações do tratamento de dados e a respectiva base legal.

Houve grande envolvimento da equipe do Cartório na realização dessa etapa, pois foi necessário o mapeamento do máximo de atividades executadas a fim de tornar possível conhecer de forma bastante detalhada como era realizado o tratamento dos dados. Foram respondidos mais de 40 (quarenta) itens, com o objetivo de descrever a atividade, quais dados são coletados, em que local se encontram, como são coletados, como são tratados, se são compartilhados e com quem, a indicação da base legal correspondente a cada atividade e demais elementos, conforme previsto no item 135 do Provimento CGJ/SP nº 23 para, com isso, definir o grau de risco na coleta, guarda e utilização de dados pessoais. 

O escritório destacou a exigência prevista no item 136 do Provimento CGJ/SP nº 23/20 de que o  mapeamento seja feito de forma individualizada por atividade, atribuindo-se a respectiva base legal para a coleta e tratamento dos respectivos dados. Isso porque só com o mapeamento individualizado seria possível controlar se o tratamento de dados respeita os princípios da finalidade, adequação e necessidade[1], possibilitando a eventual revisão da coleta excessiva de dados ou do armazenamento em duplicidade. 

Fomos orientados, também, sobre a necessidade de o mapeamento das atividades ser feito não só em relação às atividades inerentes à delegação, mas também em relação às não inerentes, sendo necessário distinguir, para o adequado tratamento dos dados pessoais, as atividades gerenciais das operacionais do cartório. Assim, devem fazer parte do mapeamento, desde atividades como contratação de serviços de tecnologia da informação, contabilidade, digitalização de livros, funções de recursos humanos (contratação e desligamento de funcionários, fornecimento de vale-alimentação), até serviços de portadores de entregas e documentos, pois em todos eles há o trânsito de dados pessoais, sejam de usuários, sejam de funcionários ou terceiros.

Destacamos, também, em relação às atividades inerentes, a orientação recebida de que todas as atividades devem ser mapeadas, mesmo que ainda não praticadas na Serventia. A título de exemplo algumas atividades inerentes ao Livro E, que nunca tinham sido feitas pelo Cartório, mas tiveram que ser mapeadas, demandaram  maior tempo de preenchimento, pois não existia um prévio roteiro do tratamento desses dados.

O escritório tinha expectativa de que esta fase fosse concluída em um curto prazo, mas foi necessária a prorrogação deste prazo, pois foi extremamente penoso conciliar o preenchimento do extenso formulário com a execução das atividades diárias do Cartório.

Neste campo, recomenda-se, dentro das possibilidades de cada serventia, que a tarefa de mapeamento das atividades seja realizada por quem efetivamente participa do tratamento do dado, para evitar o risco de o mapeamento não espelhar a realidade dos fatos, e que seja acompanhada de perto pelo Oficial e/ou por chefes dos setores, pois o preenchimento incompleto e sem o devido entendimento impactará negativamente no resultado de todo o processo de adequação da Lei Geral de Proteção de Dados. Isso porque parte das Políticas de Governança em LGPD é elaborada com base nas respostas fornecidas nos formulários e, além disso, o mapeamento, ademais de cumprir com a obrigação legal de registrar as atividades da serventia[2], também serve como um verdadeiro guia para que o encarregado enfrente as demandas dos titulares com mais rapidez, planeje ações futuras de governança, sendo ferramenta fundamental para a gestão do programa de privacidade e o controle de vida dos dados.

Concluído o preenchimento dos formulários, o escritório transformou todas as respostas recebidas numa grande planilha com todos os registros das atividades mapeadas, indicando, ao final de cada uma delas, a respectiva base legal e, também, observações quanto à necessidade de descarte dos dados pessoais recebidos após o cumprimento de sua finalidade, bem como recomendações para a revisão de arquivamentos desnecessários de documentos etc.

A título de exemplo, após analisar o fluxo da atividade de apostilamento, o escritório recomendou que fosse revista a necessidade de manutenção do documento objeto do apostilamento em nosso servidor, além do requerimento e eventuais confirmações feitas em relação à sua autenticidade, tendo em vista que o documento apostilado é encaminhado e permanece armazenado no sistema do Conselho Nacional de Justiça.

Na mesma linha, a avaliação do fluxo da atividade de formação de carta de sentença e formal de partilha levou à conclusão de que não existia política de descarte para os documentos apresentados quando o processo era eletrônico.

O mapeamento também nos mostrou que as certidões pedidas para serem entregues pelo correio eram, muitas vezes, por solicitação do interessado, enviadas previamente por e-mail e que as imagens desses documentos permaneciam no servidor sem política de descarte. 

Da mesma forma, apuramos que as certidões das escrituras digitalizadas para envio para o registro de imóveis de forma eletrônica também permaneciam no Servidor juntamente com a matrícula recebida sem critério de descarte. Ainda, no mesmo sentido, os comprovantes de transferências de veículo enviados para a Secretaria da Fazenda também eram armazenados eletronicamente sem política de descarte.

Esses pequenos exemplos mostram a importância de o processo de adequação ser feito de forma individual pelo delegatário, pois nem sempre as atividades são realizadas seguindo os mesmos trâmites e o mesmo tratamento, e a utilização de políticas construídas para uma realidade que não a do delegatário certamente será prejudicial.

2.1.2 Avaliação da maturidade de governança em privacidade e proteção de dados e Relatório de diagnóstico

Também foi necessário avaliar o nível de cumprimento por parte do Cartório das obrigações relativas à estrutura de governança, entendidas tais obrigações em termos amplos, como a existência de mecanismos e políticas de gestão das obrigações de proteção de dados, impostas aos controladores pela Lei Geral de Proteção de Dados e previstas no Provimento CGJ/SP nº 23/20. Para apresentarmos o status do Cartório naquele momento, passamos por uma entrevista de governança, em que fomos questionados sobre se o Cartório já havia nomeado encarregado, se já dispunha de Politica de Segurança, se já tinha ocorrido treinamento interno sobre a LGPD, se este treinamento havia sido documentado, se existia tabela de temporalidade de descarte de dados/documentos, aviso de privacidade na coleta das informações de dados pessoais, se já tinha ocorrido solicitação de algum titular em relação ao uso do seu dado e, se tivesse ocorrido  esta solicitação, se já existia procedimento de monitoramento em relação a esta solicitação, etc.

A partir das respostas obtidas e, ainda, do mapeamento das atividades e de outros documentos enviados pelo Cartório durante o projeto[3], o escritório atribuiu ao Cartório notas sobre o grau de maturidade de governança considerando dez quesitos que giravam em torno do ciclo de vida dos dados na serventia, atendimento dos titulares em questões atinentes à LGPD, segurança da informação, monitoramento de desconformidades, avaliação de risco, entre outros.

No relatório apresentado ao lado da nota dada a cada um dos quesitos, foram apontados o critério de avaliação, sugestões e ações a serem promovidas para aumentar o grau de adequação ao padrão concebido, que, diga-se, sempre foi bastante elevado. Neste relatório foram indicadas as medidas que poderiam ser tomadas a partir da execução e assimilação dos documentos que seriam elaborados pelo escritório e previstos para entrega na fase 2, conforme será tratado no tópico seguinte.

Apesar de já termos algum ponto de contato com as regras de compliance, por exemplo, a adequação do Cartório aos requisitos do Provimento nº 74/2018 do Conselho Nacional de Justiça, que é a base para a formação da Política de Segurança da Informação, a avaliação confirmou o que imaginávamos: nosso nível de cumprimento com a LGPD estava baixo e indicava a necessidade de nos empenharmos nessa fase, com as dificuldades que todos conhecemos do dia-a-dia, para cumprir essa legislação num grau satisfatório. Diante desta experiência e da dificuldade que teríamos encontrado para avançar com a adequação sem o olhar técnico dos advogados contratados , consideramos recomendável, dentro das possibilidades de cada responsável pela delegação, que seja contratada assessoria jurídica especializada, de preferência já com alguma familiaridade aos Serviços de Notas e de Registro, para auxiliar o delegatário a enxergar as inconsistências e ser um verdadeiro parceiro para que a implementação da LGPD ocorra com mais acerto e técnica. 

 2.2. Fase 2 – Desenvolvimento do Programa de Governança em Proteção de Dados

A fase 2 contemplou a elaboração dos documentos que integrarão o programa de governança em proteção de dados, com especial atenção ao cumprimento dos requisitos trazidos pelo Provimento CGJ/SP nº 23/2020. 

Os documentos foram produzidos pelo escritório contratado, com a participação da Serventia, que fez comentários, sugestões e pedidos de adaptações, de maneira bastante facilitada em todo contato. De forma resumida, indicamos na tabela abaixo os documentos elaborados e que dão suporte à implementação da LGPD no âmbito desta Serventia, com a respectiva finalidade e base regulatória  de exigência: 

A documentação de suporte ao programa de implementação da LGPD é composta por políticas, com conteúdo normativo, mas também por guias e orientações específicas para o encarregado e, também, para sensibilização da equipe do cartório em relação aos seus direitos e dos titulares, sobre como devemos agir para cumprir as normas e evitar danos, sobre os efeitos do descumprimento das normas, etc. É sempre um exercício eficiente que as políticas sejam elaboradas com exemplos de situações que possam ocorrer na rotina das serventias e que, na medida do possível, as orientações também retratem esse tipo de evento.  

A revisão dos documentos indicou que algumas políticas criavam obrigações e  rotinas de difícil cumprimento para o Cartório neste primeiro momento. Assim, dialogando com o escritório, foram feitos pedidos de ajustes para que novas versões fossem criadas com o objetivo de simplificar as rotinas e obrigações, mas que ao mesmo tempo mantivessem um grau adequado de cumprimento com o previsto na lei.

A título de exemplo a política de compartilhamento criava obrigação de o responsável pelo setor entregar relatório para o encarregado respondendo mais de dez itens relacionados à decisão de compartilhamento de determinado dado. Esta obrigação foi atenuada com a indicação do que deve ser observado pelo encarregado na decisão de compartilhamento.

Na mesma linha, notamos que o banco de cláusulas sugeridas, apesar de incluírem cláusulas de diferentes níveis de detalhamento de acordo com o risco da contratação, eram bastantes complexas para os tipos de fornecedores que estamos habituados a contratar. O escritório, então, também formulou redação simplificada, sugerindo que as cláusulas mais complexas fossem mantidas para avaliação de inclusão em eventual contratação futura.

Com relação ao Aviso de Privacidade, destacamos o cuidado que a assessoria teve em indicar que alguns direitos listados na LGPD podem ser limitados e/ou inexistentes em razão dos dispositivos expressos na Lei de Registros Públicos como, por exemplo, as hipóteses de retificação de registro, eliminação de dados, anonimização, consentimento e portabilidade.

Com parte desta etapa foi feita uma nova entrevista de governança visando a avaliação do progresso da serventia na gestão e proteção de dados pessoais, na qual pudemos indicar os elementos do programa de implementação que já foram internalizados pela Serventia. Citamos, por exemplo, a nomeação do encarregado de proteção de dados pessoais, divulgação de seu nome e formas de contato, políticas já avaliadas e aprovadas e em fase de implementação, comunicação de temas de proteção de dados pessoais à equipe do cartório, adoção de cláusulas contratuais padrão nos principais contratos de fornecedores da serventia, aviso de privacidade para o público externo e interno afixado na serventia, indicação de integrantes do comitê para respostas a incidentes, entre outros elementos que demonstram passos decisivos dados por nós em direção ao processo de implementação da LGPD, com os ajustes e limitações da nossa realidade.

De nada serviria termos toda a documentação inserida no servidor da serventia, avisos de privacidade e todas as cautelas e sistemas de infraestrutura de tecnologia implementados se o processo não envolvesse a qualificação dos funcionários que estão executando as tarefas do Cartório. De maneira ainda incipiente, mas já perceptível, notamos uma preocupação maior no tratamento dos dados pessoais, na coleta, no questionamento sobre procedimentos já rotineiros, mas que de modo satisfatório demonstra que aos poucos a consciência para a importância da privacidade e proteção dos dados dos usuários já passa a fazer parte da realidade do nosso público.

3. Conclusão

A atividade notarial e registral exige enorme cautela e responsabilidade em razão da delegação exercida de serviço público e, em igual medida, em relação aos dados dos usuários que a delegação deve resguardar por trafegarem em seus ambientes para a prestação do serviço. Como bem pontuado por Bernardo Chezzi, “O cerne da aplicação de LGPD nas serventias, portanto, é a proteção do acervo registral e notarial. Ao redimensionar o papel das informações pessoais nesse acervo público, a LGPD incrementa a segurança jurídica, protege o delegatário de falhas de segurança da informação que ultrapassem as medidas técnicas e organizacionais adotadas em consideração ao porte da organização e melhora o desempenho dos serviços de registros públicos em prol de toda sociedade”[5].

Após esses meses do processo de adequação, já estamos sentindo que foi plantada a semente do espírito da lei, mas ainda será preciso muito esforço e engajamento de todos os colaboradores para que as políticas e todas as ações não fiquem adormecidas no papel. Sabemos que o correto tratamento dos dados pessoais dos usuários da serventia é o principal objetivo da LGPD, mas que ela e nossas normas especiais exigem mais: que adotemos as cautelas necessárias para prevenir as violações e que criemos um ambiente atento e que se oriente pelas boas práticas de governança já consolidadas em outros ramos do direito voltadas à prevenção de riscos indesejáveis. Em outras palavras, quando falamos de gestão de procedimentos que envolve alto risco, não basta que os eventos e violações não ocorram, devemos demonstrar que adotamos as medidas preventivas que as boas práticas já indicavam.

Neste momento em que concluímos este artigo, recebemos o relatório final do projeto de implementação no qual fomos avaliados em relação à evolução do projeto, com um comparativo da maturidade inicial e final da Serventia e as indicações de ajustes que ainda precisam ser observados. Ficamos satisfeitos em relação a ele, pois a mudança que sentíamos no dia à dia também se refletiu na percepção dos profissionais que nos acompanharam. Em todos os 10 quesitos do framework de privacidade do escritório, nossa pontuação mais do que dobrou em relação à avalição inicial. Passos corretos foram dados num caminho que está traçado e ainda há muito por se fazer.

Não restam dúvidas de que a implantação da Lei Geral de Proteção de Dados será feita de forma dinâmica e não estanque. Neste ponto está inclusive a advertência inscrita na exposição de motivos ao Prov. CGJ/SP nº 23/20, ao afirmar que a implementação da LGPD é um processo que será objeto de “constante atualização e adequação às novas diretrizes definidas pela Autoridade Nacional de Proteção de Dados”, podendo a CGJ fixar novas normativas a partir da atuação regulamentar da autarquia nacional. Assim, é certo que devemos estar prontos para buscarmos o aperfeiçoamento e a melhoria contínua do programa, que não se encerra ao fim de sua implantação inicial.

Notas:

[1] Sobre os princípios citados, Julia Claudia Rodrigues da Cunha Mota e Juliana da Cunha Mota ensinam: os princípios da (i) finalidade, pelo qual os dados pessoais apenas poderão ser utilizados para propósitos legítimos, específicos e previamente informados ao titular, sendo vedadas operações de tratamento de dados posteriores para fins diversos; (ii) adequação, o qual obriga que haja uma compatibilidade entre o uso dos dados pessoais e as finalidades informadas aos titulares, de acordo com o contexto do tratamento; e (iii) necessidade, pelo qual as informações pessoais apenas poderão ser tratadas quando estritamente necessárias para atender àquela finalidade legítima previamente indicada. (Rodrigues da Cunha Mota, Júlia Cláudia e da Cunha Mota, Juliana. “ Breves Considerações sobre a Lei Geral de Proteção de Dados e sobre o Registro Civil das Pessoas Naturais”. Disponível aqui. Acesso 04.10.2021.

[2] O item 133.6 do Prov. 23/2020 estabelece que os responsáveis pelas delegações dos serviços extrajudiciais devem manter em suas unidades sistema de controle de fluxo abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro.

[3] A título de conhecimento, enviamos ao escritório os aditivos realizados com os fornecedores de sistema e prestadores de serviços de informática, termos de compromisso sobre os requisitos e responsabilidades decorrentes da LGPD firmados pelos colaboradores e prestadores de serviço de informática, informação e evidências sobre a realização de cursos sobre a Lei Geral de Proteção de Dados.

[4] As indicações das finalidades foram extraídas dos Relatórios e documentos produzidos pelo escritório Sampaio Ferraz Advogados.

[5] Chezzi, Bernardo. “A Lei Geral de Proteção de Dados Pessoais e sua aplicação a notários e registradores”, Consultor Jurídico, 25 de março de 2021. Disponível aqui. Acesso 24.09.2021.

*Priscila Francisco de Paula é oficial de Registro Civil e Tabeliã de Notas da sede da comarca de Cajamar (SP).