Dando continuidade à série de conteúdos da Associação dos Registradores de Pessoas Naturais do Estado de São Paulo (Arpen/SP) sobre a adequação dos Cartórios de Registro Civil das Pessoas Naturais à Lei Geral de Proteção de Dados (LGPD), a entrevista exclusiva desta semana é com a CEO e fundadora da ESG Legacy, Roberta Pêgas.
 
Marcelo Borowski Gomes, sócio e diretor executivo da Compliance Total, também participa da entrevista, que dentre os assuntos abordados, destaca as diligências que as serventias devem ter quanto à adaptação à LGPD.
 
Leia abaixo a entrevista na íntegra:
 
Arpen/SP - Poderia descrever brevemente a experiência do escritório em Direito Digital, e particularmente, no desenvolvimento de projetos de adequação de empresas à LGPD?
 
Marcelo Borowski Gomes - No fundo, tanto a ESG Legacy quanto o Compliance Total são consultorias que prestam o serviço de implantação de programas de compliance e de programas de governança em privacidade. Inclusive, não sou advogado, sou engenheiro especialista em governança Coorporativa, com 20 anos de experiência em governança Coorporativa na Siemens, e também na implementação de programas de governança e programas de privacidade agora, no mercado brasileiro, e também fora do Brasil. Nossa especialidade é implantar o que a LGPD pede.
 
Roberta Pêgas - Sou advogada e trabalhei mais de 20 anos como head de áreas em empresas multinacionais na América Latina, mas como escritório de advocacia tem algumas limitações, porque a prerrogativa do serviço jurídico, de pareceres e de defesas judiciais, é do advogado. Quando você trabalha com algumas atividades de gestão empresarial, você vende um outro tipo de serviço, então estruturamos, por mais que tenha sócios da Compliance Total e da ESG Legacy, que são advogados, optamos por constituir uma sociedade empresária, não obstante o nosso conhecimento e a nossa bagagem. Mas é porque para fins de prover um serviço de mercado, você precisa ter essa caracterização legal de uma sociedade empresária especializada nessa parte de gestão empresarial com foco, obviamente no especifico, que é a governança, nesse caso que estamos falando, em privacidade e proteção de dados.
 
Marcelo Borowski Gomes - É exatamente essa experiência que faz com que prestemos um serviço que vai além do que é dito como Direito Digital ou como uma adequação meramente jurídica das serventias à LGPD. A implementação de um programa de governança em privacidade efetivo é fundamental para atender às prerrogativas da lei. E por isso o termo Programa de Governança, de acordo com o que trata a lei, é fundamental nesse trabalho. A Compliance Total já tem 13 anos de experiência de trabalho. Nosso grupo hoje é líder de mercado num pedaço importante nos programas de Governança de Compliance no Brasil, que é a parte justamente do acesso do dado do cliente final à empresa. Hoje já temos uma turma fechada com serventias inscritas para fazer a mentoria para a implantação dos cartórios à LGPD. São serventias grandes, referências no Brasil, e já temos nesse caminho todo uma grande experiência a compartilhar com todas as serventias do Brasil. Junto com a ESG Legacy, com essa experiência que a Roberta traz, de anos e anos trabalhando em multinacionais e com toda a experiência jurídica, eu diria que esse será o ganha-ganha da parceria ESG Legacy com Compliance Total.
  
Arpen/SP - Quais são as etapas fundamentais para que se faça um bom trabalho de adequação à LGPD?
 
Marcelo Borowski Gomes - Antes de falar das etapas, precisamos entender claramente o que pede a lei. A lei deixa bastante claro que no final das contas ela tem um objetivo único, que é dispor sobre o tratamento de dados pessoais, tanto de pessoas naturais quanto pessoas jurídicas de Direito público ou privado. Ela tem o objetivo de proteger o tratamento de dados pessoais, e, num determinado momento, no final do texto da lei, deixa claro que a implantação do programa de governança em privacidade é muito importante, inclusive para que as serventias possam mostrar que mesmo que venham a ter problemas – se é que vão ter – tomaram todos os cuidados e passos necessários para implantação de um programa de privacidade efetivo. Estamos falando daquela questão de não ser leniente, de não deixar as coisas correrem até o problema acontecer, mostrar que as serventia se prepararam para isso. A lei tem uma série de itens, e o primeiro é sobre a demonstração do comprometimento do controlador da serventia em relação a adotar processos e políticas que assegurem o comprimento da lei. Essa é uma parte fundamental e que depois é desdobrada na aplicação daquele conjunto de dados dentro da serventia. A adaptação de sua estrutura independe do seu tamanho. Cada unidade tem que adaptar sua estrutura para atender a lei com o objetivo de estabelecer uma relação de confiança com o titular do dado, com o cliente, para que ele tenha a confiança de que o dado que ele está entregando vá ser de fato bem cuidado. Agora, voltando às etapas da adaptação, a primeira é a análise de gaps e riscos, pois a atitude elementar que temos que fazer antes de iniciar um processo como esse é saber qual o meu risco, quais os gaps e lacunas que tenho em relação à lei e tenho dentro do meu cartório. A partir do momento que identifico essas lacunas e esses riscos, precisamos passar a escrever códigos e procedimentos para poder cobrir esses gaps. Depois que implementamos esses procedimentos, temos que dar treinamentos para todos os colaboradores, para que todos possam entender o que está acontecendo, e a partir daí implanta-se o processo junto ao cliente, que é o processo de atendimento do mesmo quando ele quiser fazer uma mudança e quiser saber como estão sendo protegidos seus dados. A última etapa desse processo é fazer com que esse programa tenha uma melhoria contínua dentro da unidade.
  
Arpen/SP - Com a experiência obtida até aqui no contato com registros civis, quais são os maiores fatores de risco que as serventias apresentam? Em outras palavras, qual deve ser o foco de atenção dos oficiais de registro para a adequada observância da lei?
 
Roberta Pêgas - Em primeiro lugar, acho importante considerar algumas premissas: Primeiro, os cartórios em geral, mas especificamente os de Registro Civil, lidam eminentemente com dados pessoais para todos os seus serviços, estamos falando de certidões de nascimento, de casamento, de óbito, tudo que diz respeito à pessoa civil. Ou seja, é a definição de dado pessoal. A atividade do dia a dia do RCPN lida com dados pessoais para o seu funcionamento. Então primeiro você tem o registro civil lidando com dados pessoais, você tem diversas áreas do registro civil e diversas pessoas lidando com estes dados pessoais, isso estou falando de empresas terceirizadas, como recepção, segurança, serviço de benefícios, como vales-refeições ou planos de saúde, todos lidam com dados pessoais dos empregados, dos funcionários do registro e/ou dos clientes, por meio dos serviços de nuvens e entre outros. A segunda premissa: Diversas pessoas acessam esses dados pessoais dentro e fora do registro, mas, uma vez que o dado entra para o registro, ele e o oficial passam a ser os controladores frente à lei. E quando a pessoa ou a empresa é o controlador do dado, ela fica responsável pelo cuidado e pela segurança deste dado. Então qualquer pessoa que utilize este dado em baixo do guarda-chuva do controlador, é responsabilidade do controlador, seja ele funcionário, terceiro, empresa terceirizada, ou outro. A lei inclusive fala algumas definições dessas pessoas, então considerando estas premissas e outra, que digo que a LGPD é uma lei nova, e por definição, leis novas sofrem ajustes, adequações e atualizações. Isso você pode ver no histórico de qualquer legislação, isso é normal. Não está sendo diferente com a LGPD. Já temos agora um andamento na comissão do CNJ exatamente para fazer alguns ajustes para a lei ficar ainda melhor. Mas isso acontece naturalmente e vai continuar acontecendo.
Então considerando todas essas premissas, qual é o principal fator de risco e onde o oficial tem que focar melhor é em ter um entendimento de que todas essas pessoas que lidam com esses dados entendam o que tem que ser feito e qual o risco. Existe um desconhecimento brutal, pessoas que conhecem muito e existem pessoas que não entendem absolutamente nada do assunto. Você vê pessoas falando de LGPD e acha que está falando de Segurança da Informação, vê pessoas falando de segurança de dados e estão falando em revisar um contrato, vê pessoas falando de segurança de dados e estão falando do serviço de nuvem.  O importante disso tudo é juntar todos estes conceitos e ser algo dinâmico. É uma ilusão você pensar que o que a lei pede, que é o programa de governança e privacidade de dados, é uma fotografia. O programa de governança em privacidade de dados é algo dinâmico, e para ele ser efetivo precisa acompanhar o dia a dia do cartório. A única maneira de você fazer isso no dia a dia é ter um sistema acontecendo e rodando, e para você ter esse sistema ele precisa ser constantemente atualizado. A política tem que refletir a alteração do dia a dia e uma vez que muda, tem que mudar a política. A legislação mudou, muda a política e o procedimento e isso tudo tem que ser atualizado. Esse sistema é orgânico e dinâmico, e isso se chama sistema de governança. Essa governança precisa ser a principal preocupação do oficial, porque se ele contrata a melhor consultoria/escritório do mundo, faz tudo, e no dia seguinte muda a lei, ele não tem mais. Se um funcionário saiu, foi demitido, teve um problema de saúde, quem fica no lugar dele? Como os recursos humanos contrata? Tem que ligar e contratar a pessoa para fazer todo o programa de novo para o novo funcionário que entrou? Não! Tem que ter um sistema dentro da empresa que tem uma metodologia, se sai alguém, faz isso, se a pessoa falta, tem isso, se a legislação muda, tem um alerta. Isso tudo de uma forma automática com alertas para ir chamando a atenção das pessoas e alguém que saiba utilizar essa dinâmica que é o modelo de governança em privacidade. Este é o principal ponto que o oficial tem que prestar atenção, não tenho a menor dúvida. Um outro ponto é a customização. Tem que se fazer tudo isso de uma forma customizada para aquela serventia, não pode ser uma política que valha para todas, porque se não seria muito simples, inclusive nem faria sentido existirmos.  Se você faz uma política, e todos seguem essa política, não existiria essa quantidade de escritórios e consultorias. Por que ela precisa ser específica e customizada? Porque se não ela é simplesmente uma folha de papel, se não serve à sua necessidade, ela simplesmente não dará para usar. Essa customização é algo que prezamos muito, e sabemos porque já atuamos do outro lado do balcão, não como consultores, mas como usuários e clientes das consultorias, que isso é o que faz toda a diferença.
 
Marcelo Borowski Gomes - Você tem cartórios de todos os tamanhos, desde cartórios muito pequenos até aqueles muito grandes. A própria lei prevê isso, que se implante programas de governança em privacidade adequando-o ao tamanho da empresa, no caso, à serventia. Junto da implantação entregamos uma plataforma digital que vai fazer com que esse mecanismo vivo de alteração de lei, de saída de funcionário, de treinamentos, programas e etc., não seja só customizado, mas que seja contínuo, independentemente das mudanças que são apresentadas no mundo externo e no mundo interno da serventia. Esta plataforma é a LGPD Station, que vem junto com a mentoria e vai sendo preenchida dentro dos seis meses de implantação do programa. Quando chegamos ao final deste período ela está implementada in vivo, e a partir daí é uma questão de mantê-la viva dentro da serventia, e quando acontecerem alterações externas e internas, a própria plataforma vai se adaptando. Dentro destes seis meses da mentoria, a própria serventia vai customizar quais são os procedimentos e as plataformas que de fato fazem sentido para aquele cartório, independentemente se tenha cinco ou cinquenta colaboradores.
  
Arpen/SP – Quais dicas poderiam dar para os registradores de unidades muito pequenas que não conseguem realizar uma contratação especializada?
 
Marcelo Borowski Gomes - O conselho é saber o que você quer fazer. Fazer uma análise de gaps e lacunas é o conselho de ouro para a serventia que vai se aventurar ou que gostaria de se aventurar a fazer isso sozinha. A partir do momento que o registrador pegou a lei, conseguiu identificar o que é necessário implementar e chegou à conclusão de que aquela lista de gaps e lacunas é possível de ser feita, então eu me aventuraria a fazer.  Mas o conselho de ouro é: Faça uma análise de gaps antes de começar a fazer a implantação. Saiba o que você precisa fazer.
 
Roberta Pêgas - Um ponto importante para refletir. Nós estamos cientes da quantidade de cartórios que são deficitários no Brasil e a dificuldade que as serventias têm, mas o fato é: existem algumas legislações que fazem diferença, elas têm uma mão mais leve para as microempresas. Este não é o caso da LGPD, pois ela não faz uma diferença se a empresa é pequena, média, grande, se é deficitária ou se não é, então o risco está lá. Gostaria de passar algo positivo, uma mensagem de esperança para esses sobreviventes, porque os pequenos cartórios são sobreviventes, eles estão fazendo um serviço de delegação, é um mercado, principalmente na pandemia, necessário. O risco está lá, nós não conseguimos tirar o risco. Dá para fazer sozinho? Sendo muito honesto, talvez dê, com uma pessoa bem treinada e com uma capacidade, que normalmente não será o caso. Porque se a pessoa está realmente está sem condições de fazer alguma coisa, então existe essa dificuldade. Mas eu acho que a resposta oficial é: O risco, da maneira que a LGPD é hoje, não tem uma diferença de rigor.

Marcelo Borowski Gomes - E nós não estamos nem falando da multa, que é a publicização da infração e a suspensão do exercício da atividade do tratamento dos dados pessoais. Imagina uma serventia que trabalha essencialmente com isso e é impossibilitada de trabalhar com os dados pessoais, ela fecha. Então o risco é fechar. Esse tema é muito delicado e precisa de fato ser avaliado.
 
Roberta Pêgas - A lei não faz diferenciação, o rigor da lei se aplica para os pequenos da mesma forma que se aplica para os grandes. Acho que isso é importante. A melhor coisa que pode ser feita para fazer o melhor trabalho, se quiser ser feito de uma maneira independente, é entender suas lacunas para então ver o que pode ser feito sozinho da maneira mais razoável possível.
  
Arpen/SP -  Qual é o grande diferencial da empresa em relação ao trabalho de adequação?
 
Roberta Pêgas - A Compliance Total tem uma metodologia própria registrada de implementação de programas de Compliance, de privacidade e de proteção de dados. Um outro ponto é a ferramenta LGPD Station. Diversos oficiais formadores de opinião falam que não é possível fazer uma implementação sem uma ferramenta, então acredito que a LGPD Station, em conjunto com a solução Mentoring in LGPD, ambas da Compliance Total, sejam um grande diferencial. Outro diferencial é que ao final deste processo você não tem apenas uma implementação, mas sim um modelo de gestão rodando, e as pessoas capacitadas para conduzir. Obviamente que tem todo o resto, que é treinamento, políticas, procedimentos, metodologias, análise de risco, sugestões de respostas, são mais de 30 módulos que são cobertos dentro desses 12 meses de consultoria, porque o que nós oferecemos é uma solução, um pacote. Não tenho dúvida que esta é a melhor solução do mercado. Muitas vezes as pessoas optam por outros caminhos por uma necessidade pontual ou porque não entendem a necessidade de se implementar efetivamente a LGPD, mas se você quer implementar um programa de governança, você precisa ter a governança implementada. As vezes você vê pessoas falando que já fizeram o programa, a política e o procedimento, mas se mudar o procedimento você faz o que? Contrata de novo a consultoria para fazer a nova política para adequar? Se tem um vazamento o que você faz? Porque a política não resolve esse problema, e muita coisa acontece fora da política, e como você faz isso? Você tem que ter uma metodologia de gestão para isso. É na prática mesmo que como você vai gerir os incidentes que acontecem na vida de todo mundo.
  
Arpen/SP - Por qual motivo é importante a adequação das Serventias de RCPN à LGPD? Quais os riscos e as responsabilidades envolvidos na ausência desta adequação?
 
Roberta Pêgas - Em primeiro lugar – e eu não acho que é sempre a melhor maneira –, você precisa cumprir a lei, pois existe o risco de uma penalidade, isso é fato. Minimamente por uma questão legal e mandatória, precisa cumprir. Então só por isso já precisaria seguir. Mas existe um outro lado, que é todo esse movimento que é o que minha empresa faz fortemente que você precisa tratar das pessoas. Os principais clientes, no caso dos RCPN, são as pessoas. As pessoas precisam confiar naquele registro, elas estão entregando os seus dados, e hoje o maior ouro do mercado são os dados. Então, ter cuidado com os dados pessoais, principalmente uma instituição como o Registro Civil, é fundamental para a reputação do cartório e para a sua sustentabilidade no fuuro. Além de prestar um bom serviço para a comunidade, eu diria que são três pontos: Um, é mandatório; dois, a reputação do registro depende da confiabilidade desse serviço, e o consumidor precisa confiar que quando ele entrega os dados para aquele registro, que esses dados vão estar bem cuidados e que serão usados para aquela finalidade; número três, para a sobrevivência do cartório a longo prazo; e o quatro é por uma questão de prestar um bom serviço para a comunidade.