1. Home
  2. Detalhe notícias

Detalhe notícias

Notas para pesquisa - Proteção de dados pessoais

blog

NOTAS PARA PESQUISA

 

PROTEÇÃO DE DADOS PESSOAIS:

LEI E NORMAS ESQUEMATIZADAS

R. Baumbach*

**Elaborado em 2020. Nesta versão, não atualizado ao Provimento n. 134, do CNJ.

 

Contexto e sentido geral

Os exponenciais avanços da tecnologia da informação permitem atualmente que mesmo uma massa assombrosa de dados possa ser transmitida, como cópia inclusive, de um lugar para outro em poucos minutos, senão instantaneamente. Essa incrível facilidade na disseminação de informações abrange, claro, também dados pessoais, ou seja, informações de pessoas naturais. 

Nesse contexto, dados e dados pessoais amealhados passaram a constituir, como fonte de informação, um bem de alto valor. E abusos são e continuam a ser verificados: dados pessoais fornecidos para dada finalidade passaram a ser utilizados para outra e, ou, compartilhados por quem os reuniu, sob remuneração às vezes, para terceiros e sem o consentimento do titular das informações, sobretudo tendo em vista fins comerciais.

Em reação a esse quadro geral, surge um movimento global de proteção de dados pessoais, inclusive com a afirmação de um direito fundamental, novo, de autodeterminação dos dados pessoais. Entre nós emerge, então, a Lei 13.709, de 2018, isto é, a Lei Geral de Proteção de Dados Pessoais – LGPD. Embora a lei tutele os dados pessoais em qualquer quantidade e base, é evidente que o foco da preocupação está, corretamente, nos dados eletrônicos havidos em massa.

E a LGPD motivou a edição do Provimento n. 23, de 2020, da Corregedoria Geral do Tribunal de Justiça do Estado de São Paulo, pelo qual foram adicionadas diversas regras sobre o assunto no Tomo II da Normas de Serviço da Corregedoria Geral do Tribunal de Justiça do Estado de São Paulo – NSCGJ, acondicionadas no Capítulo XIII em novel seção, própria para a matéria

Convém realçar que a LGPD não revogou nenhum dispositivo da legislação que regula os profissionais e os serviços cartoriais, esses que visam, aliás, garantir a publicidade, autenticidade, segurança e eficácia dos atos jurídicos (cf. Lei dos Notários e Registradores – LNR, i. e., Lei 8.935, de 1994, art. 1º), aspectos esses, de resto, intrinsicamente relacionados.

Vale dizer, a publicidade é da essência e fim dos serviços notariais e registrais, e isso não é alterado pela LGPD, que, porém, impõe sua normatividade em tudo o que não seja, em forma, meio, continente e conteúdo, estrita e exata expressão de tratamento de dado pessoal inerente à prática dos atos do ofício notarial e registral.

Assim, a LGPD é diretamente aplicável nos cartórios, p. ex., nos tratamentos de dados pessoais até a lavratura da escritura e mesmo que acabe não sendo lavrada escritura. Nesse mesmo sentido geral, ela também como que reforça deveres já impostos aos responsáveis por cartórios e seus colaboradores, como o de guardar sigilo sobre a documentação e os assuntos de natureza reservada de que tenham conhecimento em razão do exercício de sua profissão (LNR, art. 30, VI).

A LGPD determina, v. g., que o “tratamento de dados pessoais cujo acesso é público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização” (art. 7º, § 3º). Decerto, também se deve respeitar a forma pela qual, conforme a legislação específica, deve se dar o acesso ao público: no caso dos cartórios, quanto aos atos passados em seus livros, mediante certidão, em regra.

Aplicação, fundamentos e princípios

A LGPD “dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (art. 1º). E disciplina a  proteção de dados pessoais com base nestes fundamentos: I - o respeito à privacidade; II - a autodeterminação informativa; III - a liberdade de expressão, de informação, de comunicação e de opinião; IV - a inviolabilidade da intimidade, da honra e da imagem; V - o desenvolvimento econômico e tecnológico e a inovação; VI - a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII - os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais” (art. 2º).

Conforme previsto no art. 6º da LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

- Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

- Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

- Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

- Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

- Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

- Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

- Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

- Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

- Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

- Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Basicamente, ressalvadas algumas exceções, a lei incide em qualquer operação de tratamento de dados realizada no território nacional por qualquer pessoa, inclusive cartórios, aos quais se aplica o mesmo modelo normativo a que se vinculam as pessoas jurídicas de direito público (cf. arts. 3º, 4º e 23, § 4º e 5º).

O regime estabelecido na LGPD, ressalvado o disposto em seu art. 4º, deve ser observado em todas as operações de tratamento de dados pessoais realizadas pelas delegações dos serviços extrajudiciais de notas e de registro. No tratamento dos dados pessoais, os responsáveis pelas delegações dos serviços extrajudiciais deverão observar os objetivos, fundamentos e princípios da LGPD (Tomo II, NSCGJ, cap. XIII, itens 127 e 128).

Base conceitual

A correta observância da Lei e do Provimento passa pela apreensão, e densificação, de diversos conceitos fixados pelos próprios atos normativos em questão, sobretudo na Lei, cumprindo aqui destacar os seguintes (vide art. 5º da LGPD, em especial):

- Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;

- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável; Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;

- Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

- Agentes de tratamento: o controlador e o operador;

- Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;

- Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;

- Encarregado: pessoa que deve ser indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional (cf. art. 41);

- A autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional; a esse ente compete, p. ex., zelar pela proteção dos dados pessoais, fiscalizar e aplicar sanções, editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, e promover na população o conhecimento das normas e das políticas públicas sobre o tema (cf. arts. 55-J); a autoridade nacional e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas correspondentes esferas de atuação (art. 55-J, § 3º);

- Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento; os dados anonimizados não serão considerados dados pessoais salvo quando o processo de anonimização ao qual foram submetidos for revertido, utilizando exclusivamente meios próprios, ou quando, com esforços razoáveis, puder ser revertido (art. 12);

- Banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico;

- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;

- Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

Titulares, seus direitos

É titular tutelado pela LGPD toda pessoa natural a quem se referem os dados objeto de tratamento. Os seus direitos estão previstos a partir do art. 17 da LGPD, em seção específica, e em dispositivos esparsos por todo o diploma. Eles têm assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade (art. 17). Têm direito outrossim a acesso facilitado às informações sobre o tratamento de seus dados, que deverão ser disponibilizadas de forma clara, adequada e ostensiva acerca de, entre outras características, existência, finalidade, forma e duração do tratamento (art. 9º e 18). Tem direito também a obter, p. ex., acesso e correção de seus dados (art. 18), e ainda tem a prerrogativa de revogar o consentimento (art. 8º, § 5º, e 18, IX).

Os direitos dos titulares serão exercidos mediante requerimento expresso, a agente de tratamento, sem custos (art. 18, §§ 3º a 5º). O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional e perante os organismos de defesa do consumidor (art. 18, §§ 1º e 8º).

A confirmação de existência ou o acesso a dados pessoais serão providenciados, mediante requisição do titular: em formato simplificado, imediatamente; - por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, observados os segredos comercial e industrial, fornecida no prazo de até quinze dias, contado da data do requerimento do titular (art. 19). Os prazos e procedimentos para exercício dos direitos do titular perante o Poder Público observarão o disposto em legislação específica (art. 23, § 3º).

Os titulares terão livre acesso aos dados pessoais, mediante consulta facilitada e gratuita que poderá abranger a exatidão, clareza, relevância, atualização, a forma e duração do tratamento e a integralidade dos dados pessoais (141). O livre acesso é restrito ao titular dos dados pessoais e poderá ser promovido mediante informação verbal ou escrita, conforme for solicitado (142). Na informação deverá constar a advertência de que foi entregue ao titular dos dados pessoais, na forma da LGPD, e que não produz os efeitos de certidão e, portanto, não é dotada de fé pública para prevalência de direito perante terceiros (142.1).

Os responsáveis pelas delegações extrajudiciais não se equiparam a fornecedores de serviços ou produtos para efeito de portabilidade de dados pessoais mediante solicitação de seus titulares (147).

Certidões e informações de atos do ofício

O direito de livre acesso assegurado ao titular dos dados pessoais não se confunde com um hipotético direito de receber gratuitamente informações e certidões dos atos extrajudiciais. Ademais, a legislação protetora de dados pessoais, ressalvados aspectos pontuais, não tange o direito de todos de obter certidões e informações dos referidos atos. A LGPD não revogou ou alterou qualquer dispositivo legal que regula o tópico. A publicidade dos atos notariais e registrais, uma das finalidades basilares que justifica a própria existência dos cartórios, dá-se em regra justamente mediante certidões e informações.

O Provimento deixa isso bastante claro, subministrando normas a respeito, a começar pela regra, já mencionada, que obriga fazer constar em informação sobre dados pessoais a advertência de que foi entregue ao titular na forma da LGPD, não produzindo efeitos de certidão e, portanto, não é dotada de fé pública (142.1). As certidões e informações sobre o conteúdo dos atos notariais e de registro, para efeito de publicidade e de vigência, serão fornecidas mediante remuneração por emolumentos, ressalvadas as hipóteses de gratuidade previstas em lei específica (143).

Certas cautelas, porém, poderão ou deverão ser adotadas na expedição de informações e certidões. Conforme regula o Provimento, para a expedição de certidão ou informação restrita ao que constar nos indicadores e índices pessoais poderá ser exigido o fornecimento, por escrito, da identificação do solicitante e da finalidade da solicitação (144). Igual cautela poderá ser tomada quando forem solicitadas certidões ou informações em bloco, ou agrupadas, ou segundo critérios não usuais de pesquisa, ainda que relativas a registros e atos notariais envolvendo titulares distintos de dados pessoais (144.1). Devem ser denegadas fundamentadamente as solicitações de certidões e informações formuladas em bloco quando as circunstâncias da solicitação indicarem a finalidade de tratamento de dados pessoais, pelo solicitante ou outrem, de forma contrária aos objetivos, fundamentos e princípios LGPD (144.2).  

Será exigida a identificação do solicitante para as informações, por via eletrônica, que abranjam dados pessoais, salvo se a solicitação for realizada por responsável pela unidade, ou seu preposto, na prestação do serviço público delegado (145). Naturalmente, a retificação de dado pessoal constante de registro ou em ato notarial observara as regras pertinentes havidas no plano do direito notarial e registral, não o modelo normativo correspectivo previsto na LGDP (146).

Controlador, operador e encarregado, seus deveres

É controlador, conforme positiva a LGPD, qualquer pessoa a quem competem as decisões referentes ao tratamento de dados pessoais. O Provimento pontifica que os responsáveis por delegação, titular ou em outra condição, são considerados controladores (129) a eles competindo verificar o cumprimento, pelos operadores prepostos ou terceirizados, do tratamento de dados pessoais conforme as instruções que fornecer e as demais normas sobre a matéria (132.3).

Operador é qualquer pessoa que realiza o tratamento de dados pessoais em nome do controlador, segundo as instruções por ele fornecidas (art. 39). Nos termos do Provimento, o controlador sob sua exclusiva responsabilidade, poderá nomear operadores integrantes e operadores não integrantes do seu quadro de prepostos, desde que na qualidade de prestadores terceirizados de serviços técnicos (132). Vale dizer, de acordo com o Provimento, são operadores todos os colaboradores dos cartórios, o que tem sido objeto de crítica pelos especialistas na matéria.

Cabe ao controlador providenciar a orientação de todos os seus operadores sobre deveres, requisitos e responsabilidades decorrentes da LGPD, e sobre as formas de coleta, tratamento e compartilhamento de dados pessoais. A orientação deve abranger ao menos as medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais, e a informação de que a responsabilidade dos operadores subsiste mesmo após o término do tratamento (132.1, 132.2 e 132.4).

Encarregado é a pessoa que deve ser indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a autoridade nacional. A identidade e as informações de contato do encarregado deverão ser divulgadas publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do controlador. As atividades do encarregado consistem, p. ex., em aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências, e em orientar os funcionários e os contratados da entidade (cf. art. 41). Cada cartório deve nomear um encarregado de dados, que será inclusive responsável por orientar prepostos e terceirizados, o que não afasta o dever de atendimento pelo controlador, nem sua responsabilidade alusiva a orientação de prepostos e terceirizados (133). 

Tratamento de dados pessoais

O tratamento de dados pessoais somente poderá ser realizado em algumas hipóteses, entre as quais (cf. art. 6º e 10º):

- Para o cumprimento de obrigação legal ou regulatória pelo controlador, hipótese mais comum de tratamento de dados em cartórios;

- Mediante o fornecimento de consentimento pelo titular; o controlador que obteve o consentimento e que necessitar comunicar ou compartilhar dados pessoais com outros controladores deverá obter consentimento específico do titular para esse fim;

- Pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos;

- Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

- Em princípio e limitadamente, manejando só os dados pessoais estritamente necessários, quando necessário para atender interesses legítimos do controlador, p. ex., para apoio e promoção de suas atividades;

- Para a proteção do crédito.

O tratamento de dados pessoais cujo acesso seja público deve considerar a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização. A eventual dispensa da exigência do consentimento não desobriga os agentes de tratamento das demais obrigações previstas nesta Lei, especialmente da observância dos princípios gerais e da garantia dos direitos do titular (art. 7º, § 3º e § 6º). O tratamento de dados pessoais sensíveis e os de crianças e adolescentes se submete a regras específicas, mais rigorosas art. 11 e 14).

O consentimento, que deve se referir a finalidades determinadas e que pode ser revogado a qualquer momento, deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular. Sendo outorgado por escrito, deverá ser objeto de cláusula destacada (cf. art. 8º).

O término do tratamento de dados pessoais ocorrerá, entre outras hipóteses, quando verificado o atingimento da finalidade ou finalizado o período de tratamento (art. 15). Os dados devem ser eliminados após o término do seu tratamento, autorizada a conservação, p. ex., para cumprimento de obrigação legal ou regulatória pelo controlador.

O tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público (art. 23).  É vedado ao Poder Público transferir a entidades privadas dados pessoais constantes de bases de dados a que tenha acesso, exceto nalguns casos, como quando os dados são acessíveis publicamente, ou havendo previsão legal respaldo contratual (art. 26, § 1º).

Aos cartórios se aplica o mesmo regime normativo das pessoas jurídicas de direito público (art. 23, § 4º). O Provimento distingue entre o tratamento de dados para a atividade finalística do cartório e o alusivo à administração da serventia. Naquele caso, em que a finalidade do tratamento é inerente ao serviço demandado, não é necessário colher autorização específica do titular dos dados. Confira-se:

- O tratamento de dados pessoais destinado à prática dos atos inerentes ao exercício dos respectivos ofícios será promovido de forma a atender à finalidade da prestação do serviço, na persecução do interesse público, e com os objetivos de executar as competências legais e desempenhar atribuições legais e normativas dos serviços públicos delegados (130); para a finalidade em perspectiva, o tratamento de dados pessoais, no cumprimento de obrigação legal ou normativa, independe de autorização específica do titular dos dados (131); consideram-se inerentes ao exercício do serviço delegado os atos praticados nos livros, atos extraprotocolares, informações e certidões, comunicações para outras serventias, atos para escrituração de livros previstos nas normas administrativas, atos de informação e comunicação para centrais de serviços compartilhados e para entes públicos em atenção a legislação de regência pertinente (130.1);

- O tratamento de dados pessoais decorrente do exercício do gerenciamento administrativo e financeiro promovido pelos responsáveis pelas delegações será realizado em conformidade com os objetivos, fundamentos e princípios decorrentes do exercício da delegação mediante outorga a particulares (131.1).

A inutilização e eliminação de documentos será promovida de forma a impedir a identificação dos dados pessoais neles contidos. Eventual inutilização não afasta responsabilidade sobre dados que remanescerem em outras bases (148).

É vedado aos responsáveis pelas delegações, aos seus prepostos e prestadores de serviço terceirizados, ou qualquer outra pessoa que deles tenha conhecimento em razão do serviço, transferir ou compartilhar com entidades privadas dados a que tenham acesso, salvo mediante autorização legal ou normativa (149).

As transferências, ou compartilhamentos, de dados pessoais para as Centrais de Serviços Eletrônicos Compartilhados serão promovidas conforme os limites legais e normativos (149.1). Para o recebimento de informações que contenham dados pessoais, as Centrais deverão declarar que cumprem, de forma integral, os requisitos, objetivos, fundamentos e princípios previstos LGPD (150).

Registro das operações, controle de fluxo

O controlador e o operador devem manter registro das operações de tratamento de dados pessoais que realizarem, especialmente quando baseado no legítimo interesse (art. 37). Conforme regulado no Provimento, os titulares devem manter sistema de controle do fluxo dos dados na serventia, abrangendo a coleta, tratamento, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro (133.6, I, 135, 136). O controle de fluxo deve conter:

- A identificação das formas de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento nas hipóteses em que houver determinação legal ou normativa (135, I);

- Os registros de tratamentos de dados pessoais contendo, entre outras, informações sobre: 1 - finalidade do tratamento; 2 - base legal ou normativa; 3 - descrição dos titulares; 4 - categoria dos dados que poderão ser pessoais, pessoais sensíveis ou anonimizados, com alerta específica para os dados sensíveis; 5 - categorias dos destinatários; 6 - prazo de conservação; 7- identificação dos sistemas de manutenção de bancos de dados e do seu conteúdo; 8 - medidas de segurança adotadas; 9 - obtenção e arquivamento das autorizações emitidas pelos titulares para o tratamento dos dados pessoais, nas hipóteses em que forem exigíveis; 10 - política de segurança da informação; 11 - planos de respostas a incidentes de segurança com dados pessoais (135, II);

Os registros serão elaborados de forma individualizada (136). Os sistemas de controle de fluxo, mantidos de forma exclusiva em cada serventia, deverão proteger contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, e permitir, quando necessário, a elaboração dos relatórios de impacto (137, 138.1).  As entidades representativas de classe poderão fornecer formulários e programas de informática para o registro do controle de fluxo (138).

Política de privacidade, canal de atendimento

Os cartórios devem estabelecer uma política de privacidade e manter um canal de atendimento aos usuários, que devem ser divulgados por meio de cartazes afixados nas unidades e avisos nos sítios eletrônicos mantidos pelas delegações (133.6, II e III, 134).

A política de privacidade deve descrever os direitos dos titulares de dados pessoais, de modo claro e acessível, os tratamentos realizados e a sua finalidade (133.6, II). O canal de atendimento deve ser adequado para informações, reclamações e sugestões ligadas ao tratamento de dados pessoais, com fornecimento de formulários para essa finalidade (133.6, III).

Segurança e sigilo, boas práticas 

Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Qualquer pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término (arts. 46 e 47).

Em prazo razoável, detalhando o acontecido, o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (art. 48). Nos cartórios, o plano de resposta a incidentes de segurança deverá prever a comunicação ao Juiz Corregedor Permanente e à Corregedoria Geral da Justiça, no prazo máximo de 24 horas, com esclarecimento da natureza do incidente e das medidas adotadas para a apuração das suas causas e a mitigação de novos riscos e dos impactos causados aos titulares dos dados (139). Os operadores devem comunicar imediatamente ao titular do cartório as ocorrências de incidentes de segurança com dados pessoais que venham a detectar (139.1).

Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares (art. 48; no Provimento, item, 138.2). Decerto, essa exigência se aplica também ao ambiente de rede e demais elementos de hardware e software implicados em tratamento informatizado de dados pessoais.

O controlador poderá formular regras de boas práticas e de governança que estabeleçam, p. ex., as condições de organização, o regime de funcionamento, os procedimentos, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos. Nisso, deve levar em consideração a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular (art. 50). As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente (art. 50, § 3º).

Em aplicação dos princípios da segurança e da prevenção, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá implementar programa de governança em privacidade (art. 50, § 2º, I).  

Responsabilidades, miscelânea

- A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento (p. ex., art. 10, § 3º, e 38); os sistemas de controle de fluxo cartoriais deverão permitir, quando necessário, a elaboração dos relatórios de impacto (137);

- A anonimização de dados pessoais para a transferência de informações para as Centrais Eletrônicas, ou outro destinatário, será efetuada em conformidade com os critérios técnicos previstos na LGPD (140);

- As Centrais de Serviços Eletrônicos Compartilhados deverão comunicar os incidentes de segurança com dados pessoais, em 24 horas contados do seu conhecimento, aos responsáveis pelas delegações de notas e de registro de que os receberam e à Corregedoria Geral da Justiça, com esclarecimento sobre o plano de resposta, que conterá, no mínimo, a indicação da natureza do incidente, das suas causas, das providências adotadas para a mitigação de novos riscos, dos impactos causados e das medidas adotadas para a redução de possíveis danos aos titulares dos dados pessoais (151);

- O controlador e o operador são responsáveis civil e administrativamente pela violação das normas de proteção de dados pessoais (cf., arts. 42 e ss. e 52 e ss.). O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes. Deve-se adotar medidas para evitar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (cf. art. 44 e 46, p. ex.);

- Devem ser arquivadas: as orientações transmitidas por escrito aos operadores, e respectivos comprovantes de ciência (132.2); tendo em mira a eventual elaboração de relatório de impacto, os comprovantes de eventos educacionais propiciados ao encarregado e operadores (132.5); e ainda os atos de nomeação de encarregado (133.3).

 *Titular do Tabelionato Embu das Artes (https://www.facebook.com/tabelionatoembudasartes/), Bacharel em Direito e Administração, Especialista em Direito Civil e em Direito Constitucional, e Mestre em Direito pela Universidade de Brasília.