Com a entrada em vigor da Lei Federal nº 13.709/2018 – a Lei Geral de Proteção de Dados Pessoais (LGPD)¹ e a sua expressa aplicabilidade às Delegações dos Serviços Extrajudiciais de Notas e de Registro², decidi concorrer ao processo de adaptação dos serviços realizados pelo cartório à LGPD em co-participação e contribuição conjuntiva com a ARPEN-SP.

Feita a inscrição, fui sorteado para participar na categoria de Serventias com menos de 15 funcionários sob a orientação do Escritório Soares Picon Sociedade de Advogados, capitaneado pelo Dr. Tarcisio Soares e com participação dos Drs. Érica Ribeiro – líder; Alexandre R. Coelho, Yuri G. G. Toledo, Alana de Paula, Evelyn A. Bucovic e Milena Ginjo.

O projeto teve início com a apresentação das fases do processo de adequação da serventia à LGPD com reuniões virtuais entre a equipe de advogados, Oficial e prepostos. Nesses encontros foram aplicados questionários, realizadas entrevistas, começo dos mapeamentos dos serviços notariais e de registro, revisão dos contratos e a inclusão de aditivos, sugestões do modelo de governança e políticas de segurança a serem implementadas, e ainda a orientação dos planos de mitigação segundo a classificação dos riscos.

Desde logo foi dada muita ênfase na conscientização sobre a privacidade e proteção dos dados pessoais de seus titulares no tratamento realizado pelo Oficial e prepostos, bem como dos principais aspectos da LGPD: conceitos, princípios, os direitos do titular, os agentes de tratamento, as penalidades, a Autoridade Nacional de Proteção de Dados – ANPD, dentre outros conhecimentos necessários a fim de se evitar o tratamento indevido dos dados pessoais.

O passo seguinte para o processo de adequação foi a demonstração do funcionamento da serventia, a complexidade dos serviços notarias e de registro, a finalidade de cada ato que praticamos e sua previsão legal ou normativa, e assim, surgiram as vulnerabilidades frente a proteção buscada pela LGPD.

A implementação da adequação à LGPD necessita a identificação e registro individual de cada ato praticado pela Serventia, seja de competência registral e notarial bem como as atribuições de natureza administrativa³, a saber:

A) ATOS NOTARIAIS: abertura de firma (cartão de assinatura); reconhecimento de firma: a) por semelhança, b) por autenticidade, c) sinal público; autenticação de cópias, materialização/desmaterialização; ata notarial e ata notarial de usucapião extrajudicial; escrituras públicas negociais, inventário e partilha, declaratórias, pacto antenupcial, divórcios; emancipação; procuração, substabelecimento, revogação, renúncia e anotações recíprocas; testamento e revogação; certidão de ato notarial; carta de sentença; apostilamento; arquivamento; buscas de atos notariais; controle de selos, cartões, folhas livro e traslado/certidões; digitalizações.

B) ATOS REGISTRAIS: anotações; averbações; buscas de assentos; certidão de registro Civil (inteiro teor/breve relato/quesitos/materialização): a) física, b) CRC; registro de nascimento; habilitação de casamento: civil, religioso e conversão de união estável; registro de casamento civil, religioso e conversão de união estável; registro de óbito/natimorto; e-protocolo; procedimentos administrativos: de alteração de nome; transgênero; reconhecimento de filiação: a) biológico, b) socioafetivo e de retificação administrativa (art. 110 LRP); procedimento de registro tardio; serviços do ofício da cidadania; fechamento do fundo de custeio dos atos gratuitos (SINOREG); apostilamento; arquivamento; buscas de atos registrais; controle de papeis de segurança; digitalizações.

C) ATIVIDADES ADMINISTRATIVAS: Ou seja, as atividades de gerenciamento administrativo e financeiro, tais como: compras; contratações (desde o recebimento de currículos e armazenamento destes até o efetivo registro); demissões; confecção livro caixa; pagamentos de contas e pagamentos de despesas trabalhistas, dentre outros que envolvam o tratamento de dados pessoais.

O registro das atividades de tratamentos de dados ou o mapeamento do fluxo de tratamentos dos dados pessoais pelas Serventias é vital para demonstrar as vulnerabilidades e a elaboração da matriz de riscos, pois ele tem início com a recepção dos dados pessoais até o arquivamento ou exclusão.

Além dos registro das atividades de tratamentos de dados, devemos fazer a política de privacidade e a política de segurança da informação, a indicação de encarregado e a elaboração de cláusulas específicas para contratação de serviços terceirizados⁴.

Para a adequação do Serviço Notarial e de Registro de Pindorama/SP à LGPD, os advogados do Escritório Soares, Picon Sociedade de Advogados apresentaram os seguintes documentos:

a) Inventário de dados (ROPA);

b) Política de privacidade;

c) Modelo de cartaz para divulgação da política de privacidade;

d) Política de segurança da informação;

e) Termo de nomeação de encarregado;

f) Plano de resposta a incidentes de segurança;

g) Modelo de resposta às requisições simples – prazo imediato;

h) Modelo de resposta às requisições complexas – declaração no prazo de 15 dias;

i) Modelo de contrato de trato a título de experiência adequação à LGPD;

j) Manual de governança;

k) Registro de incidentes de segurança e da informação;

l) Termo aditivo LGPD aos contratos de trabalho vigentes;

m) Termo aditivo LGPD aos contratos de prestação de serviços terceirizados (programas informatizados, serviços de contabilidade e de arquivo em nuvem);

n) Apresentação com a matriz de risco.

O inventário de dados ou ROPA (Record Of Processing Activities) significa os registros das operações de tratamento dos dados pessoais na prática dos atos inerentes ao exercício de ofício e de gerenciamento administrativo e financeiro como vimos acima.

A política de privacidade “é o documento que informa como o cartório realiza o tratamento de dados pessoais no exercício de suas atribuições legais para cumprir a finalidade pública”⁵. Esse documento identifica o Oficial, o titular de dados, quais são os dados pessoais e pessoais sensíveis; o tratamento e a base legal; quem é controlador; quais são os princípios da LGPD e a finalidade; compartilhamento; armazenamento; eliminação; a forma de exercer os direitos garantidos pela LGPD e meio de contato.

Já a política de segurança da informação visa assegurar “níveis adequados de proteção dos dados pessoais e privacidade de seus titulares”⁶. Para isso, estabelece “competências, responsabilidades e limites da atuação dos prepostos e prestadores de serviços terceirizados em relação a segurança da informação e privacidade dos dados pessoais”⁷.

Outro item importante para a adequação das Serventias à LGPD é o plano de resposta a incidente de segurança com dados pessoais e deve ser direcionado ao encarregado nomeado pelo Oficial de Registro ou Tabelião. Ele traz o “procedimento padronizado para o tratamento de incidentes de segurança” que deve prever a comunicação ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça no prazo máximo de 24 horas⁸.

Uma vez feito o registro das atividades de tratamentos de dados ou o mapeamento do fluxo de tratamentos dos dados pessoais pela Serventia, é possível identificar os tipos de riscos e vulnerabilidades de acordo com os setores de trabalho internos da Serventia:

1º Atos de competência legal ou normativa das Serventias Notarias e de Registros: registro de nascimento, reconhecimento de firma...;

2º Atos administrativos das Serventias Notarias e de Registros: contratação dos prepostos, folha de pagamento; 

3º Serviços terceirizados dos serviços informatizados e de backup em nuvem: sistemas de informática para a prática dos atos de registro e notas e de backup em nuvem.

Em seguida, foram apontados como principais riscos e vulnerabilidades no tratamento dos dados pessoais:

a) possibilidade de vazamento de dados pessoais;

b) tratamento indevido dos dados pessoais;

c) uso ilícito ou exclusão dos dados pessoais;

d) acessos não autorizados;

e) contaminação com malwares e ataques de hackers;

f) impossibilidade de verificar a ocorrência de incidentes de segurança;

g) dificuldade de rastrear o executor do tratamento indevido dos dados pessoais, etc.

Diante dessas vulnerabilidades apresentadas pela serventia, e classificados em: muito alto (que exigem atuação prioritária); alto, médio e baixo, por sua vez, foram sugeridas ações a serem implementadas:

1) Gerenciamento e controle de acesso aos dados pessoais físicos e virtuais;

2) Rastreabilidade das atividades por meio de senhas pessoais e intransferíveis;

3) Implementar gestão de segurança da informação;

4) Conscientização e treinamento dos prepostos das exigências legais e normativas;

5) Eliminar dados pessoais com tratamento indevido (necessidade e adequação);

6) Divulgação da política de privacidade e do canal de contato com o encarregado.

Por fim, essa é minha singela participação nesse projeto de início da adequação da LGPD aos cartórios, e gostaria de agradecer toda a atenção do Escritório Soares Picon Sociedade de Advogados, aos amigos registradores com quem aprendi muito e em especial à vice presidente da ARPEN-SP Daniela Silva Mroz, que conduziu com muito afinco e dedicação todo esse projeto. Muito obrigado.

Notas:

¹ Art. 55, LGPD.

² Art. 23, §4º, LGPD.

³ Item 130.1 e 131.1, Cap. XIII, NSCGJ.

⁴ Item 133, Cap. XIII, NSCGJ.

⁵ Política de Privacidade do Cartório de Pindorama elaborado pelo Escritório Soares, Picon.

⁶ Política de Segurança da Informação do Cartório de Pindorama elaborado pelo Escritório Soares, Picon.

⁷ Política de Segurança da Informação do Cartório de Pindorama elaborado pelo Escritório Soares, Picon.

⁸ Plano de Resposta a Incidentes de Segurança do Cartório de Pindorama elaborado pelo Escritório Soares, Picon.

*João Paulo Martins Vitral é oficial de Registro Civil e Tabelião de Notas de Pindorama, da Comarca de Catanduva (SP).