Adequação dos cartórios à LGPD - Entrevista com Andrezza Leite e Gabriel Vieira

No último dia 28 de setembro, a Corregedoria-Geral de Justiça do Estado de Sergipe, por meio do corregedor Diógenes Barreto, publicou o Provimento nº 12/2021, que dispõe sobre a adequação dos serviços notariais e de registro ao regime estabelecido pela Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais - LGPD). Na prática, isto significa que, trinta dias após a publicação, o Provimento estará em vigor, exigindo que todos os cartórios de Sergipe funcionem de acordo com a normatização da referida Lei.

O documento, no entanto, não deve, ou não deveria, pegar ninguém de surpresa. Desde a publicação da LGPD, em 2018, além de debates e estudos feitos por especialistas, enunciados, definições e diretrizes estratégicas fixadas pelo Conselho Nacional de Justiça e pela Corregedoria Nacional de Justiça têm dado rumos ao cumprimento da legislação.

Criada com o objetivo principal de proteger os direitos fundamentais de liberdade e de privacidade da pessoa natural, a LGPD tem também como foco a criação de um ambiente de segurança jurídica. Para tal, a padronização de regulamentos e práticas para promover a proteção aos dados pessoais de todo cidadão que esteja no Brasil de acordo com os parâmetros internacionais vigentes é fundamental.

Por se tratar de uma lei que afeta a estrutura organizacional de uma empresa, o processo de adaptação aos novos fluxos de trabalho não é simples. E a não adequação também dói no bolso devido a multas aplicadas por violações de privacidade.

Para falar sobre a necessária obediência à Lei Geral de Proteção de Dados Pessoais por parte das serventias extrajudiciais - instituições que lidam diariamente com um imenso número de dados pessoais - entrevistamos a contadora Andrezza Leite, gestora da Andrezza Leite Soluções Contábeis, Gestão e Treinamento, empresa parceira da ANOREG/SE, que presta assessoria e consultoria para cartórios também no tema LGPD, e o advogado Gabriel Vieira, pós-graduando na lei e integrante da equipe de Andrezza. Ambos já estão adequando e implantando a lei aos cartórios e discorreram sobre o tema para o nosso site.

Qual a importância da LGPD no quesito proteção para a nossa sociedade?

ANDREZZA LEITE: É possível perceber um crescimento intenso na utilização de dados pessoais, seja para fins lícitos ou ilícitos. Nesse novo cenário há, muitas vezes, a coleta massiva de dados pessoais, que posteriormente são utilizados para violar a privacidade do titular e, ainda, manipular sua forma de pensar sobre determinado tema, de forma intencional. Além disso, a inexistência de uma cultura de proteção de dados pessoais, com compartilhamentos e distribuição desses dados em massa, sem a devida autorização, apresenta grande risco à intimidade, à honra e à imagem do titular de dados.

É nesse sentido que a Lei Geral de Proteção de Dados objetiva garantir o livre desenvolvimento da personalidade, além de proteger a privacidade de cada titular.

Portanto, verificou-se a necessidade de criar de um conjunto de regras para proteger os dados pessoais de serem violados e utilizados de forma inequívoca. Assim, a É dessa forma que se caminha para uma sociedade com maior liberdade de expressão e opinião, com possibilidade de maior desenvolvimento econômico, uma vez que as organizações que possuem maior cultura de proteção de dados pessoais conquistam maior confiança de seus clientes.

A LGPD entrou em vigor para garantir mais segurança e privacidade aos dados pessoais dos brasileiros. O que são considerados dados pessoais?

GABRIEL VIEIRA: Dado pessoal, conforme conceituado pela própria LGPD, é toda e qualquer informação relacionada à pessoa natural identificada ou identificável. Dessa forma, qualquer informação que está vinculada a uma pessoa, seja de forma direta ou indireta, é considerado dado pessoal pela nossa legislação. Importante mencionar, ainda, que o dado pessoal pode estar presente tanto em meio físico como virtual, sendo a lei aplicada em ambos os casos. Já quando se fala de dados sobre uma pessoa jurídica, estes não são considerados dados pessoais para a aplicação da lei.

Já o dado pessoal sensível, outro conceito importante trazido pela lei, é o dado pessoal que versa sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou à organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual e dado genético ou biométrico. Para o dado pessoal sensível, a LGPD traz uma maior proteção, tendo em vista que um incidente de segurança envolvendo tais informações causa maior dano para o titular.

Como será a implantação da LGPD nos cartórios?

AL: A implantação da LGPD nas serventias extrajudiciais deverá ser realizada de maneira planejada e estruturada, uma vez que esta adequação poderá alterar a cultura e a rotina do cartório em vários sentidos.

Por isso, é preciso que seja contratado um profissional especializado no assunto e para isso temos o dr. Gabriel Vieira. É ele quem vai garantir a conformidade com a legislação e estabelecer um programa para a implantação dentro da serventia com o objetivo de proteger os dados pessoais que estão em sua posse.

Lembrando que os órgãos notariais e de registro são expressamente citados na Lei Geral de Proteção de Dados Pessoais, visto que possuem um enorme acervo de documentos e informações pessoais, inclusive dados pessoais sensíveis.

Quais adequações os cartórios precisarão fazer?

GV: Tanto a LGPD como o Provimento nº 12/2021 da Corregedoria Geral de Justiça de Sergipe trazem obrigações que os cartórios precisam cumprir. Primeiramente, toda unidade de serviço notarial e de registro deverá nomear e manter um encarregado que, entre outras atribuições, deverá atuar como canal de comunicação entre o controlador, que é aquele responsável pelo cartório, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). Além disso, o trabalho de preparação e orientação da equipe, também desempenhada pelo encarregado, é essencial para lidar com os titulares e evitar incidentes de segurança, como vazamentos de dados pessoais.

O Provimento nº 12/2021 também impõe que os responsáveis pelos cartórios devem manter um sistema de controle de fluxo dos dados pessoais que transitam na serventia, bem como política de privacidade, descrevendo os direitos dos titulares, os tratamentos realizados e sua finalidade. Ainda, é obrigatória a manutenção de um canal de atendimento para informações, reclamações e sugestões relacionadas ao tratamento de dados pessoais. Por fim, a serventia deve possuir um plano de resposta em caso de incidentes de segurança que envolvam dados pessoais.

Com o tráfego de dados por meio das Centrais Eletrônicas, o que mudará com a lei?

GV: O compartilhamento de dados pessoais com as Centrais Eletrônicas, ou mesmo com órgãos públicos como Receita Federal, INCRA, Poder Judiciário e demais entidades, decorre de obrigação legal ou regulatória imposta ao responsável pela serventia. Essa é uma hipótese prevista na LGPD, não sendo necessária a interrupção dessa prática ou coleta de consentimento do titular dos dados pessoais nesses casos.

Sobre o tema, o provimento da Corregedoria de Sergipe estabelece que a transferência para as Centrais ou outros destinatários deve observar, quando possível, o processo de pseudoanonimização, que nada mais é que um procedimento que impossibilita a associação da informação com o seu titular, sendo mantida em local diverso à informação que é capaz de identificar e vincular novamente o dado com respectivo titular.

Como fica o compartilhamento de dados entre os cartórios ou instituições de fiscalização?

GV: Conforme dito anteriormente, o compartilhamento de dados pessoais realizado pelas serventias decorre de obrigação legal ou regulatória que deve ser cumprida. É de suma importância que o cartório avalie a forma mais segura de fazer o compartilhamento, bem como deve atentar-se ao princípio da necessidade, a fim de que haja o compartilhamento apenas dos dados necessários.

Outrossim, o controle de fluxo de dados pessoais na serventia deve conter listagem de entidades, públicas e privadas, com as quais os dados pessoais são compartilhados. Esse controle é essencial para verificar se o cartório está em conformidade com a LGPD e o Provimento n° 12/2021 de Sergipe. O provimento, inclusive, garante ao titular de dados o direito de requisitar a lista de entidades com as quais os seus dados são compartilhados.

A normatização feita pela Corregedoria-Geral de Justiça de Sergipe, com a publicação do Provimento nº 12/2021, será difícil de ser seguida?

GV: O Provimento nº 12/2021, semelhante ao de outros estados, é bastante descritivo e detalhado. Assim, a normativa já estabelece os documentos e obrigações para as serventias, que, se não iniciaram o processo de adequação, devem iniciá-lo com maior brevidade possível. Ademais, o próprio provimento descreve sobre os requisitos de cada documentação, como o controle de fluxo, política de privacidade e plano de resposta a incidentes de segurança.

É essencial destacar que a adequação de uma serventia à LGPD e ao Provimento de Sergipe deve sempre ser compatível com a realidade da unidade, uma vez que não é razoável exigir que serventias menores possuam o mesmo grau de investimento e estrutura existentes nas de maior fluxo.

De que forma a participação de consultorias especializadas no tema pode facilitar o trabalho dos cartórios dentro da lei?

AL: O trabalho de adequação de uma serventia não é simples, tampouco rápido, podendo durar alguns meses. Portanto, é importante contar com o apoio de uma consultoria especializada no tema, de forma a assegurar que o cartório está realizando um trabalho de adequação correto e detalhado, que será eficaz, duradouro e em conformidade com a legislação.

Além disso, entendo que a consultoria especializada é muito importante na capacitação e treinamento dos diversos colaboradores da serventia. Percebe-se que grande parte dos incidentes de segurança são causados por erros humanos, fato que reforça a necessidade de treinamentos e orientações contínuas para a equipe da organização.

Outro ponto importante é que, por se tratar de um tema atual, constantemente aparecem notícias, jurisprudências e novas normas. A consulta especializada acompanha e avalia tais ocorrências, reduzindo, neste aspecto, a responsabilidade do delegatário, que já possui uma extensa lista de normativas estaduais e federais para observar e possíveis prejuízos.

Em Sergipe, qual avaliação você faz sobre o estágio de adequação a LGPD?

AL: Não só em Sergipe, como em diversos estados, tenho a percepção de que várias organizações não se atentaram às obrigações impostas pela LGPD quando a mesma entrou em vigência, em 2020.

Como o programa de implantação pode ser longo, o ideal é que tivesse sido iniciado com a entrada em vigência da LGPG. No entanto, não foi o que ocorreu. Percebe-se que os cartórios aguardaram até agosto de 2021, momento em que passou a ser possível a aplicação de sanções administrativas, e a publicação do Provimento nº 12/2021 para se preocupar em como fazer a devida adequação. Como esse não é o comportamento mais prudente é de extrema importância correr atrás do tempo perdido se adequando o mais rápido possível.

Por outro lado, é possível notar que muitas organizações, especialmente as que tratam dados pessoais sensíveis, iniciaram seu processo de adequação e estão atentas às novidades sobre o tema.

Não se fala mais que a lei não “pegará” ou que será esquecida, até porque já é possível observar a judicialização de demandas envolvendo o tema.