Aplicação da LGPD aos serviços notariais e de registro

A Lei Geral de Proteção de Dados Pessoais - LGPD (lei 13.709/18) finalmente entrou em vigor em 18 de setembro de 2020, inserindo o Brasil no caminho para a consolidação e difusão da cultura de proteção de dados pessoais e da privacidade.

Além de haver um estreitamento nas relações comerciais com fornecedores e parceiros estrangeiros, vemos uma aceleração na onda de projetos de adequação, o que, inevitavelmente, faz surgir inúmeras dúvidas de ordem prática quanto à aplicação dos conceitos e regras da lei.

Nesse contexto, uma questão ainda pouco abordada de forma geral é a aplicabilidade da LGPD aos serviços notariais e de registro. E, mais precisamente, como isso pode influenciar na escolha de um cartório ou tabelionato por empresas que precisam desses serviços de forma recorrente.

Como ponto de partida, a primeira parte da análise deve ser sobre as particularidades envolvendo a atuação dos cartórios e tabelionatos para, então, adentrar na necessidade ou não de sua adequação à LGPD.

No Brasil, os serviços notariais e de registro são exercidos em caráter privado, por delegação do poder público conforme previsão do artigo 236 da Constituição Federal, sendo regulamentados pela lei 8.935/94 (Lei dos cartórios).

Observa-se que os cartórios possuem uma natureza jurídica híbrida, vez que são exercidos em caráter privado por delegação do poder público, com ingresso após aprovação em concurso público de provas e títulos, estando sujeito à fiscalização de seus atos pelo Poder Judiciário do respectivo Estado.

Além do mais, a quem é delegado o exercício da atividade notarial e de registro, como os notários, tabeliães e oficiais de registro, são profissionais do direito, dotados de fé pública e, consequentemente, seus atos traduzem a autenticidade de fatos e documentos. Sendo assim, o tratamento de dados pessoais destinado à prática dos atos inerentes ao exercício dos respectivos ofícios é promovido para atender à finalidade da prestação do serviço, na persecução do interesse público, com os objetivos de executar as competências legais e desempenhar atribuições legais e normativas dos serviços públicos delegados

Por tratamento de dados pessoais, a LGPD dispõe que é assim considerada toda operação realizada com dados pessoais durante o seu ciclo de vida (coleta, uso, armazenamento, compartilhamento e descarte), como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (artigo 5º, X).

Desse modo, o tratamento de dados pessoais realizado pelos cartórios por meio de notários, tabeliães de notas e de protesto de títulos, como com a realização de atas notariais, autenticação de cópias, reconhecimento de firmas, autenticação de fatos ou a lavratura de protesto de títulos são serviços que assumem especial importância no cotidiano das pessoas e das empresas.

Nos encontramos, portanto, diversas vezes diante de situações em que nos são exigidas a autenticação de firmas, documentos e fatos por agente público dotado de fé-pública, tornando a necessidade de utilização desses serviços uma obrigação legal, sendo o tratamento de dados pessoais destinados à prática dos atos inerentes ao exercício dos ofícios notariais e registrais, no cumprimento de obrigação legal ou normativa, independe da obtenção do consentimento específica da pessoa natural que deles for titular.

Diante desse cenário tão particular, observa-se que a própria LGPD fez questão de estabelecer que os serviços notariais e de registro devem ter o mesmo tratamento dispensado às pessoas jurídicas de direito público, nos termos do artigo 23.

Ou seja, considerando o exercício privado dos serviços notariais e de registro, por delegação do Poder Público, bem como disposição expressa da lei, torna-se evidente a aplicação da LGPD a tais serviços, ou seja, aos cartórios e tabelionatos, em tratamento semelhante ao dispensado às pessoas jurídicas de direito público.

Tal entendimento vem em complemento à iniciativa anterior, refletida no provimento 74/2018 do CNJ, de endereçar preocupações de tecnologia e segurança da informação por meio de padrões mínimos a serem seguidos por esses entes. E, também, à criação de grupo de trabalho destinado à elaboração de estudos e de propostas voltadas à adequação dos tribunais à LGPD (portaria 212/2020 do CNJ¹).

Não obstante, por se tratar a LGPD de norma geral voltada à proteção de dados pessoais, particularidades relativas à atuação dos cartórios, por vezes, acabam não sendo endereçadas diretamente pela lei, gerando dúvidas e a necessidade de regulamentação específica, conforme já apontado pelo próprio Conselho Nacional de Justiça - CNJ².

Nesse sentido, tendo em vista que os serviços notariais e registrais são organizados sob o guarda-chuva das justiças estaduais, cabe a cada Estado traçar regras de implementação da proteção de dados nas atividades de sua jurisdição.

É o que já aconteceu no Estado de São Paulo, por exemplo, cuja Corregedoria Geral da Justiça emitiu o provimento CGJ 23/2020³, incluindo seção sobre o tratamento e proteção de dados pessoais nas suas Normas de Serviço.

Além de qualificar os responsáveis pelas delegações dos serviços extrajudiciais de notas e de registro, no desempenho de suas atividades, como controladores de dados pessoais, o Provimento estabelece uma série de regras aos cartórios, como sobre manutenção da unidade, controle de acesso, controle de fluxo exclusivo, elaboração de Relatório de Impacto à Proteção de Dados (RIPD), anonimização, direitos do titular, dentre outros.

Em resumo, enquanto controladores de dados pessoais, a eles competem as decisões referentes ao tratamento de dados pessoais e, devem implementar programa de governança em privacidade que, no mínimo (artigo 50, §2º, I da LGPD):

a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;

c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) conte com planos de resposta a incidentes e remediação; e

h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;

Importante que as unidades de serviços extrajudiciais de notas e de registro façam a nomeação de um encarregado de proteção de dados, que atuará como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Outros aspectos importantes a serem observados pelos responsáveis pelas delegações dos serviços extrajudiciais é a conscientização de seu pessoal, para que estejam aptos a direcionar a demandas e cientes do que é permitido ou não fazer com os dados pessoais em posse do cartório, a fim de respeitar os princípios da proteção de dados (artigo 6º da LGPD).

Além do mais, deve-se manter o controle do fluxo de dados pessoais, abrangendo a coleta, uso, armazenamento e compartilhamento de dados pessoais, até a restrição de acesso futuro, que deverá conter a identificação das formas de obtenção dos dados pessoais, do tratamento interno e do seu compartilhamento nas hipóteses em que houver determinação legal ou normativa, bem como manter o registro das atividades de tratamento de dados pessoais que contenham a finalidade do tratamento; a base legal; a categoria dos dados; prazo de retenção; medidas de segurança adotadas; dentre outras.

Medidas físicas, técnicas e organizativas de segurança da informação para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, com base em normas técnicas como as da família ISO/IEC 27000, também se fazem importantes em razão da LGPD se tratar de legislação principiológica, que dispõe apenas "o que fazer" e não "como fazer".

Por fim, outro aspecto basilar do compliance com a legislação de proteção de dados a ser observado é o relacionamento e contratação de fornecedores, terceiros e a relação com controladores conjuntos de dados pessoais, sendo de rigor a regulação da contratação por meio de cláusulas contratuais específicas para proteção de dados.

Portanto, o que se percebe é que os serviços notariais e de registro estão sujeitos à legislação de proteção de dados vigente no país, demandando tanto um esforço para sua adequação, quanto atenção pelos usuários e organizações que se utilizam de seus serviços na escolha do ente que melhor atende aos requisitos da LGPD, garantindo segurança, transparência e proteção aos dados pessoais.

----------